Методические указания к лабораторным работам по курсу «Методы и средства защиты компьютерной информации» Волгоград 2011 (стр. 3 из 5)
Для просмотра и изменения прав доступа к объектам в режиме командной строки предназначена команда cacls (icacls в Windows Vista и Widows 7).
cacls имя_файла [/t] [/e] [/c] [/g пользователь:разрешение] [/r пользователь [...]] [/p пользователь:разрешение [...]] [/d пользователь [...]]
Назначения параметров команды приведены в таблице 3.
Таблица 3. Параметры команды cacls
| <имя файла> | Задаёт файл или папку, права доступа к которой необходимо просмотреть/изменить (допустимо использовать шаблоны с символами * и ?). |
| /t | Изменение избирательных таблиц контроля доступа (DACL) указанных файлов в текущем каталоге и всех подкаталогах |
| /e | Редактирование избирательной таблицы управления доступом (DACL) вместо ее замены |
| /c | Заставляет команду продолжить изменение прав доступа при возникновении ошибки, связанной с нарушениями прав доступа |
| /g <пользователь | группа: разрешение> | Предоставление прав доступа указанному пользователю |
| /r <пользователь | группа> | Отнимает права доступа указанного пользователя. |
| /p <пользователь | группа: разрешение> | Заменяет права доступа указанного пользователя |
| /d <пользователь | группа> | Отказывает в праве доступа указанному пользователю или группе |
Для указания добавляемых или отнимаемых прав используются следующие значения:
F - полный доступ;
C - изменение (запись);
W - запись;
R - чтение;
N - нет доступа.
Рассмотрим несколько примеров.
cacls d:\test
Выдаст список DACL для папки test.
cacls d:\test /d ИмяКомпьютера\ИмяПользователя /e
Запретит доступ к объекту для указанного пользователя.
cacls d:\test /p ИмяКомпьютера\ИмяГруппы:f /e /t
Предоставит полный доступ к папке d:\test и ее подпапках всем для членов указанной группы.
Для программного просмотра и изменения списков DACL можно использовать API-функции AddAccessAllowedAce, AddAccessDeniedAce, SetSecurityInfo. Подробнее с этими функциями и примерами их использования можно ознакомиться в [пособие].
1.4. Подсистема аудита.
Важный элемент политики безопасности – аудит событий в системе. ОС Windows ведет аудит событий по 9 категориям:
1. Аудит событий входа в систему.
2. Аудит управления учетными записями.
3. Аудит доступа к службе каталогов.
4. Аудит входа в систему.
5. Аудит доступа к объектам.
6. Аудит изменения политики.
7. Аудит использования привилегий.
8. Аудит отслеживания процессов.
9. Аудит системных событий.
Рассмотрим более подробно, какие события отслеживает каждая из категорий.
Аудит событий входа в систему
Аудит попыток пользователя войти в систему с другого компьютера или выйти из нее, при условии, что этот компьютер используется для проверки подлинности учетной записи.
Аудит управления учетными записями
Аудит событий, связанных с управлением учетными записями на компьютере: создание, изменение или удаление учетной записи пользователя или группы; переименование, отключение или включение учетной записи пользователя; задание или изменение пароля.
Аудит доступа к службе каталогов
Аудит событий доступа пользователя к объекту каталога Active Directory, для которого задана собственная системная таблица управления доступом (SACL).
Аудит входа в систему
Аудит попыток пользователя войти в систему с компьютера или выйти из нее.
Аудит доступа к объектам
Аудит событий доступа пользователя к объекту – например, к файлу, папке, разделу реестра, принтеру и т. п., - для которого задана собственная системная таблица управления доступом (SACL).
Аудит изменения политики
Аудит фактов изменения политик назначения прав пользователей, политик аудита или политик доверительных отношений.
Аудит использования привилегий
Аудит попыток пользователя воспользоваться предоставленным ему правом.
Аудит отслеживания процессов
Аудиту таких событий, как активизация программы, завершение процесса, повторение дескрипторов и косвенный доступ к объекту.
Аудит системных событий
Аудит событий перезагрузки или отключения компьютера, а также событий, влияющих на системную безопасность или на журнал безопасности.
Решения об аудите конкретного типа событий безопасности принимаются в соответствии с политикой аудита локальной системы. Политика аудита, также называемая локальной политикой безопасности (local security policy), является частью политики безопасности, поддерживаемой LSASS в локальной системе, и настраивается с помощью редактора локальной политики безопасности (Оснастка gpedit.msc, Конфигурация компьютера - Конфигурация Windows – Параметры безопасности – Локальные политики – Политика аудита, рис. 8).
Для каждого объекта в SD содержится список SACL, состоящий из записей ACE, регламентирующих запись в журнал аудита удачных или неудачных попыток доступа к объекту. Эти АСЕ определяют, какие операции, выполняемые над объектами конкретными пользователями или группами, подлежат аудиту. Информация
аудита хранится в системном журнале аудита. Аудиту могут подлежать как успешные, так и неудачные операции. Подобно записям ACE DACL, правила аудита объектов могут наследоваться дочерними объектами. Процедура наследования определяются набором флагов, являющихся частью структуры ACE.
 |
Настройка списка SACL может быть осуществлена в окне дополнительных свойств объекта (пункт “Дополнительно”, закладка “Аудит”, рис. 9).
Для программного просмотра и изменения списков SACL можно использовать API-функции GetSecutityInfo и SetSecutityInfo.
При инициализации системы и изменении политики LSASS посылает SRM сообщения, информирующие его о текущей политике аудита. LSASS отвечает за прием записей аудита, генерируемых на основе событий аудита от SRM, их редактирование и передачу Event Logger (регистратору событий). SRM посылает записи аудита LSASS через свое LPC-соединение. После этого Event Logger заносит записи в журнал безопасности.
События аудита записываются в журналы следующих типов:
1. Журнал приложений. В журнале приложений содержатся данные, относящиеся к работе приложений и программ.
2. Журнал безопасности. Журнал безопасности содержит записи о таких событиях, как успешные и безуспешные попытки доступа в систему, а также о событиях, относящихся к использованию ресурсов.
3. Журнал системы. В журнале системы содержатся события системных компонентов Windows. Например, в журнале системы регистрируются сбои при загрузке драйвера или других системных компонентов при запуске системы.
4. Журнал службы каталогов. В журнале службы каталогов содержатся события, заносимые службой каталогов Windows (на контроллере домена AD).
5. Журнал службы репликации. В журнале службы репликации файлов содержатся события, заносимые службой репликации файлов Windows (на контроллере домена AD).
 |
Просмотр журнала безопасности осуществляется в оснастке «Просмотр событий» (eventvwr.msc, рис. 10). Сами журналы хранятся в файлах SysEvent.evt, SecEvent.evt, AppEvent.evt в папке %WinDir%\system32\config.
В журнал записываются события 3 основных видов:
1. Информационные сообщения о событиях.
Описывают успешное выполнение операций, таких как запуск или некоторое действие системной службы.
2. Предупреждающие сообщения о событиях.
Описывают неожиданные действия, означающие проблему, или указывают на проблему, которая возникнет в будущем, если не будет устранена сейчас .
3. Сообщения о событиях ошибок.
Описывают ошибки, возникшие из-за неудачного выполнения задач.
1.5. Шифрующая файловая система.
Начиная с версии Windows 2000, в операционных системах семейства Windows NT поддерживается шифрование данных на разделах файловой системы NTFS с использованием шифрующей файловой системы (Encrypted File System, EFS). Основное ее достоинст во заключается в обеспечении конфиденциальности данных на дисках компьютера за счет использования надежных симметричных алгоритмов для шифрования данных в реальном режиме времени.
Для шифрации данных EFS использует симметричный алгоритм шифрования (AES или DESX) со случайным ключом для каждого файла (File Encryption Key, FEK). По умолчанию данные шифруются в Windows 2000 и Windows XP по алгоритму DESX, а в Windows XP с Service Pack 1 (или выше) и Windows Server 2003 — по алгоритму AES. В версиях Windows, разрешенных к экспорту за пределы США, драйвер EFS реализует 56-битный ключ шифрования DESX, тогда как в версии, подлежащей использованию только в США, и в версиях с пакетом для 128-битного шифрования длина ключа DESX равна 128 битам. Алгоритм AES в Windows использует 256-битные ключи.