СП лекция-06ua

Змістовний модуль № 1: Системне програмування в Wındows

04.10.2021

Лектор:
Доцент кафедри Інформаційних систем
кандидат технічних наук, доцент
Голубничий Дмитро Юрійович

відслідковувати спроби обходу захисту

Захищена багато користувачева система повинна:

Рівень С2 Управління доступом

забезпечувати контроль за доступом до ресурсів

пам'ять повинна бути захищена

в момент входу в систему користувач повинен однозначно ідентифікувати себе

системний адміністратор повинен мати можливості перевіряти всі події, пов'язані з безпекою

система повинна запобігати себе від зовнішнього впливу або втручання в її роботу

Рівень С1 Дискреційне забезпечення секретності

Рівень B1 Захист із застосуванням мета-безпеки

Рівень B3 Домени безпеки

Рівень A1
Перевірений дизайн

Рівень вище A1

Рівень B2 Структурований захист

B Мандатний захист

А Перевірений захист

С Дискреційний захист

D Мінімальний захист

Безпека в роботі

взаємодія

безпечна архітектура
Новітні технології
Зменшення вразливості коду

Зменшення областей можливих атак
Відключення невикористаного за замовчуванням
Тільки мінімально необхідні привілеї

Запобігання, виявлення, запобігання, відновлення, управління
навчання користувачів

Ясність поставлених цілей
Повноцінне членство в світовому співтоваристві
Microsoft Security Response Center

захист пам'яті

Головна ідея, лежить в основі системи безпеки Windows - це створення шлюзу, через який повинен пройти кожен користувач системних ресурсів

аутентифікація і ідентифікація користувачів

управління доступом користувачів до об'єктів

SSP - security support provider - провайдер підтримки безпеки

LUID - locally unique identifier - локальний унікальний ідентифікатор

SAS - secure attention sequence - комбінація CTRL + ALT + DEL

SID - security identifier ідентифікатори безпеки

ACL - access control list - список контролю доступу

PT - primary token - первинний маркер доступу

RT - restricted token - обмеженим маркером доступу

ACE - access-control entries - елементи контролю доступу

DACL - discretionary access-control list - список розмежувальної контролю доступу

SACL - system access-control list - системний список контролю доступу

CSP - Cryptographic Service Provider - криптопровайдер

Клієнтська програма

SSPI

SSP

Чи не інтерактивна аутентифікація

обмежений маркер доступу
(restricted token)

лістинг 1. структура SID

typedef struct _SID
{
BYTE Revision; // рівень перегляду SID
BYTE SubAuthorityCount; // кількість значень // поставторізаціі
SID_IDENTIFIER_AUTHORITY IdentifierAuthority; / *ідентифікатор авторизації* /
#ifdef MIDL_PASS
[Size_is (SubAuthorityCount)] DWORD SubAuthority [*];
# Else // MIDL PASS
DWORD SubAuthority [ANYSIZE_ARRAY];
#endif // MIDL_PASS
}SID, *PISID;

рівні поставторізаціі

рівень перегляду

наприклад

S-1-3256-81 ..................

SID:

з рівнем перегляду = 1

ідентифікатором авторизації = 3256

рівнем поставторізаціі = 81

ініціалізація структури SID

Не тільки ініціалізація структури, а й покладання на систему турботу про виділення для неї пам'яті

BOOL AllocateAndlnitializeSid (PSID_IDENTIFIER_AUTHORITY pldentifierAuthority,
BYTE nSubAuthorityCount, DWORD nSubAuthority0,
DWORD nSubAuthority1,
DWORD nSubAuthority2,
DWORD nSubAuthority3,
DWORD nSubAuthority4,
DWORD nSubAuthority5,
DWORD nSubAuthority6,
DWORD nSubAuthority7,
PSID * pSid)

BOOL LookupAccountSid (LPCSTR lpSystemName, PSID Sid, LPSTR Name, LPDWORD cbName, LPSTR ReferencedDomainName, LPDWORD cbReferencedDomainName, PSID_NAME_USE peUse)

Розмір буфера, виділеного для SID для всіх рівнів поставторізаціі

Для визначення кількості рівнів поставторізаціі

Отримання імені користувача по SID

видалення SID

PVOID FreeSid (PSID pSid)

Види уявлення привілеїв

звичайне ім'я

удобочитаем ім'я

локальне уявлення

Наприклад, привілеї в Windows

BOOL PrivilegeCheck (HANDLE ClientToken, PPRIVILEGE_SET RequiredPrivileges, LPBOOL pfResult)

об'єкти ядра

об'єкти реєстру

об'єкти, визначені користувачем

Лістинг 3. Структура дескриптора безпеки

typedef struct _SECURITY_DESCRIPTOR
{
BYTE Revision;
BYTE Sbz1;
SECURITY_DESCRIPTOR_CONTROL Control;
PSID Owner;
PSID Group;
PACL Sacl;
PACL Dacl; } SECURITY_DESCRIPTOR, * PISECURITY_DESCRIPTOR;

WINADVAPI BOOL WINAPI SetFileSecurity (LPCSTR IpFileName, SECURITY_INFORMATION Securitylnformation, PSECURITY_DESCRIPTOR pSecurityDescriptor)

WINADVAPI BOOL WINAPI SetKernelObjectSecurity (HANDLE Handle, SECURITY_INFORMATION Securitylnformation, PSECURITY_DESCRIPTOR SecurityDescriptor).

WINUSERAPI BOOL WINAPI GetUserObjectSecurity (HANDLE hObj, PSECURITY_INFORMATION pSIRequested, PSECURITY_DESCRIPTOR pSID, DWORD nLength, LPDWORD IpnLengthNeeded).

WINUSERAPI BOOL WINAPI SetUserObjectSecurity (HANDLE hObj, PSECURITY_INFORMATlON pSIRequested, PSECURITY_DESCRIPTOR pSID)

WINADVAPI LONG APIENTRY RegGetKeySecurity (HKEY hKey, SECURITY_INFORMATION Securitylnformation, PSECURITY_DESCRIPTOR pSecurityDescriptor, LPDWORD IpcbSecurityDescriptor)

WINADVAPI LONG APIENTRY RegSetKeySecurity (HKEY hKey, SECURITY_INFORMATION Securitylnformation, PSECURITYJDESCRIPTOR pSecurityDescriptor)

SACL (system access-control list) - системний список контролю доступу дозволяє адміністраторам протоколювати спроби доступу до захищених об'єктів.

Список контролю доступу (access-control list (ACL)) Являє собою список елементів контролю доступу (access-control entries (ACE)). кожен елементACE у списку ACL ідентифікує довірену особу (trustee) І задає його права доступу (дозволу, заборони і аудит).

Лістинг 4. опис заголовка ACL

typedef struct _ACL
{BYTE AclRevision;
BYTE Sbz1;
WORD AclSize;
WORD AceCount;
WORD Sbz2;
} ACL; typedef ACL * PACL;

Тип входу в структурі ACE

Лістинг 6. структура заголовка ACCESS_ALLOWED_ACE

typedef struct _ACCESS_ALLOWED_ACE
{ACE_HEADER Header;
ACCESS_MASK Mask;
DWORD SidStart;
} ACCESS_ALLOWED_ACE;

Лістинг 8. структура заголовка ACCESS_DENIED_ACE

typedef struct _ACCESS_DENIED_ACE
{ACE_HEADER Header;
ACCESS_MASK Mask;
DWORD SidStart;
} ACCESS_DENIED_ACE;
typedef ACCESS_DENIED_ACE * PACCESS_DENIED_ACE;

WINADVAPI BOOL WINAPI InitializeAcI (PACL pAcI, DWORD nAclLength, DWORD dwAclRevision);

WINADVAPI BOOL WINAPI GetSecurityDescriplorDacI (PSECURITY_DESCRIPTOR pSecurityDescriptor, LPBOOL IpbDaclPresent, PACL *pDacl, LPBOOL IpbDaclDefaulted);

WINADVAPI BOOL WINAPI GetSecurityDescriptorSacI (PSECURITY_DESCRIPTOR pSecurityDescriptor, LPBOOL IpbSaclPresent, PACL *pSacl, LPBOOL IpbSaclDefaulted);

Функції для роботи з ACL