Wykład 5 181
AUTORYZACJA 182
Autoryzacja Autoryzacja jest to proces polegający na sprawdzeniu uprawnienia użytkownika do zasobów. Jest to konieczne, gdy użytkownicy mają mieć dostęp do części zasobów. Aby przeprowadzić proces autoryzacji, należy potwierdzić tożsamość użytkownika. Dlatego też przed procesem autoryzacji muszą być przeprowadzone procesy uwierzytelnienia. 183
Określanie uprawnień Załóżmy, że użytkownicy należą do kilku grup, a każda grupa ma inne uprawnienia do danego obiektu, jakie więc uprawnienia będzie posiadał dany użytkownik? Rozważmy to na przykładzie: Użytkownik Tomek należy do grupy Sekretariat oraz Biuro 184
Przypadek 1 Ponieważ Odmawiaj jest zawsze najważniejsze i występuję w grupie Biuro to użytkownik Tomek nie będzie miał dostępu do Dysku lokalnego (C:) 185
Przypadek 2 Ponieważ dla grupy Biuro uprawnienia nie są określone to użytkownik Tomek będzie miał dostępu do Dysku lokalnego (C:) ponieważ zezwalają mu na to uprawnienia z grupy Sekretariat 186
Przypadek 3 Ponieważ dla żadnej z grup uprawnienia nie są określone to użytkownik Tomek nie będzie miał dostępu do Dysku lokalnego (C:) (ponieważ żadna z grup nie ma prawa dostępu Zezwalaj) 187
MODELOWANIE ZAGROŻEŃ W SIECIACH MICROSOFT 188
Jak zacząć? Burza mózgów; Spojrzenie na system z punktu widzenia atakującego; Spojrzenie na system z punktu widzenia użytkownika; Spojrzenie na system z punktu widzenia jego elementów; Diagram przepływu danych w systemie; 189 MSDN Blogs > Larry Osterman's WebLog > Threat Modeling again. Drawing the diagram. 31 Aug 2007 12:31 PM
STRIDE (threat model) Zagrożenie Czego dotyczy? Definicja Podszywanie (Spoofing) Manipulowanie (Tampering) Wypieranie (Repudiation) Ujawianie informacji (Information Disclosure) Uwierzytelnianie (Authentication) Integralność (Integrity) Niezaprzeczalność (Non-repudiation) Poufność (Confidentiality) Podszywanie się pod coś lub kogoś innego. Modyfikacja danych lub kodu. Nie przyznawanie się do wykonania czynności. Udostępnianie informacji osobie nieupoważnionej. Odmowa dostępu (Denial of Service) Dostępność (Availability) Odmowa lub degradacja dostępu do usług. Podnoszenie uprawnień (Elevation of Privilege) Autoryzacja (Authorization) Uzyskanie uprawnień bez odpowiedniego upoważnienia. 190 MSDN Blogs > The Security Development Lifecycle > STRIDE chart, Adam Shostak, 11 Sep 2007 7:18 PM
STRIDE per element Zagrożenia z natury są stałe dla danego elementu Dla każdego elementu należy określić wszystko możliwe typy zagrożeń Analiza poszczególnych typów zagrożeń dla każdego elementu 191
STRIDE per Element 192 http://msdn.microsoft.com/en-us/library/ee810587%28v=cs.20%29.aspx
Plan działań Wymienić możliwe naruszenia zabezpieczeń. Określić kategorie zagrożeń. Zaplanować operacje umożliwiające wykrycie i odróżnienie ataków przeszłych i trwających. Określić sposób odpowiedzi na ataki z każdej kategorii. Rozdzielić realizację i odpowiedzialność za odpowiedzi na ataki. Zaplanować reakcje po zakończeniu działań. 193
Odpowiedź na włamanie wykrycie zdarzenia; odpowiedź na włamanie przez wykonanie pewnej akcji; ograniczenie włamania; przywracanie systemów; wznowienie normalnego działania; analiza informacji; poprawienie implementacji zabezpieczeń 194
PROJEKTOWANIE BEZPIECZEŃSTWA - INSPEKCJA 195
Event Viewer (Podgląd zdarzeń) Usługa systemu Windows Serwer Event Log (Dziennik zdarzeń) jest uruchamiana automatycznie na wszystkich komputerach systemu Windows Server. Usługa ta rejestruje zdarzenia w jednym z trzech wymienionych poniżej dzienników: Application (Aplikacja) Projektanci aplikacji mogą definiować, aby w tym dzienniku rejestrowane były zmiany konfiguracji, błędy lub inne zdarzenia związane z napisanym przez nich oprogramowaniem. 196
Event Viewer (Podgląd zdarzeń) System W tym dzienniku rejestrowane są zdarzenia związane z systemem operacyjnym Windows Server (uruchomienie usługi, nieprzewidziane wyłączenia, uszkodzenia urządzeń itp). Konfiguracja zdarzeń protokołowanych w tym dzienniku jest wstępnie zdefiniowana. Security (Zabezpieczenia) W dzienniku rejestrowane są zdarzenia dotyczące logowania i dostępu do zasobów (inspekcje). Konfiguracja większości tych zdarzeń określana jest przez administratora. 197
Konfigurowanie inspekcji LOC i AD zasady inspekcji w GPO; inspekcja plików, folderów, drukarek i rejestru; inspekcja obiektów AD; zasady dziennika zdarzeń; uprawnienia użytkowników: Generowanie zdarzeń inspekcji zabezpieczeń Zarządzanie inspekcją i dziennikiem zabezpieczeń 198
Inspekcja mechanizmów zabezpieczeń Security Configuration and Analysis secedit Resultant Set of Policy 199
Inspekcja znanych usterek Microsoft Baseline Security Analyzer (MBSA); narzędzia innych firm (np. NetChk Protect); 200
Inne zagadnienia inspekcji inspekcja zabezpieczeń fizycznych; inspekcja zasad, procedur oraz standardów; kontrola świadomości bezpieczeństwa; inspekcja osób obcych i sporadycznych gości; 201
MONITOROWANIE 202
Wydajność 203
Menedżer zadań Program Task Manager (Menedżer zadań) udostępnia informacje o programach i procesach uruchomionych na komputerze. W programie wyświetlanych jest także kilka charakterystycznych dla procesu liczników wydajności. 204
Inne narzędzia do monitorowania nslookup ipconfig DNSLint Netdiag (Windows Server 2000) Portqry (<Windows Server 2003)... Resource Kit! (<Windows Server 2008) 205
PROJEKTOWANIE BEZPIECZEŃSTWA POZIOM FUNKCJONALNOŚCI DOMENY I LASU 206
Poziom funkcjonalności domeny Poziom funkcjonalności domeny Obsługiwane kontrolery domeny Windows 2000 mixed Windows NT 4.0 Windows 2000 Windows Server 2003 Windows 2000 lokalny (native) Windows 2000 Server Windows Server 2003 Windows Server 2008 Windows Server 2008 R2 Windows Server 2003 Windows Server 2003 Windows Server 2008 Windows Server 2008 R2 Windows Server 2008 Windows Server 2008 Windows Server 2008 R2 Windows Server 2008 R2 Windows Server 2008 R2 207
Windows 2000 lokalny Wszystkie domyślne funkcje usługi Active Directory oraz następujące funkcje: Są włączone grupy uniwersalne - zarówno dla grup dystrybucyjnych, jak i grup zabezpieczeń. Zagnieżdżanie grup. Jest włączona konwersja grup, co umożliwia konwertowanie między grupami zabezpieczeń a grupami dystrybucyjnymi. Historia identyfikatorów zabezpieczeń SID. 208
Windows 2003 Wszystkie domyślne funkcje usługi Active Directory, wszystkie funkcje poziomu funkcjonalności domeny Windows 2000 lokalny, a także następujące funkcje: Możliwość używania narzędzia do zarządzania domeną Netdom.exe w celu przeprowadzania przygotowań do zmiany nazwy kontrolera domeny. Aktualizowanie sygnatury czasowej logowania. Atrybut lastlogontimestamp jest aktualizowany z użyciem czasu ostatniego logowania użytkownika lub komputera. Ten atrybut jest replikowany w obrębie domeny. Możliwość ustawiania atrybutu userpassword jako działającego hasła dla obiektu inetorgperson i obiektów użytkowników. 209
Windows 2003 Możliwość przekierowywania kontenerów Użytkownicy i Komputery. Domyślnie do przechowywania kont komputerów i kont grup/użytkowników są stosowane dwa dobrze znane kontenery: cn=komputery,<katalog_główny_domeny> oraz cn=użytkownicy,<katalog_główny_domeny>. Dzięki tej funkcji można zdefiniować nową dobrze znaną lokalizację dla tych kont. Menedżer autoryzacji może przechowywać swoje zasady autoryzacji w usługach AD DS. 210
Windows 2003 Jest dołączone delegowanie ograniczeń, co umożliwia aplikacjom korzystanie z bezpiecznego delegowania poświadczeń użytkowników przy użyciu protokołu uwierzytelniania Kerberos. Delegowanie można skonfigurować tak, aby było dozwolone tylko dla określonych usług docelowych. Jest obsługiwane uwierzytelnianie selektywne, co umożliwia określanie użytkowników i grup z lasu zaufanego, w przypadku których jest dozwolone uwierzytelnianie na serwerach zasobów w lesie ufającym. 211
Windows 2008 Wszystkie domyślne funkcje usługi Active Directory, wszystkie funkcje poziomu funkcjonalności domeny Windows Server 2003, a także następujące funkcje: Obsługa replikacji rozproszonego systemu plików dla woluminu SYSVOL - bardziej niezawodna i szczegółowa replikacja zawartości woluminu SYSVOL. 212
Windows 2008 Obsługa szyfrowania AES (Advanced Encryption Services, 128 i 256) dla protokołu uwierzytelniania Kerberos. Funkcja informacji o ostatnim logowaniu interakcyjnym. Umożliwia ona wyświetlanie czasu ostatniego pomyślnego logowania interakcyjnego dla użytkownika z informacją o stacji roboczej, z której przeprowadzono logowanie, oraz o liczbie nieudanych prób logowania od czasu ostatniego logowania. Szczegółowe zasady haseł, które pozwalają określać zasady haseł i zasady blokownia kont dla użytkowników oraz globalnych grup zabezpieczeń w domenie. 213
Windows 2008 R2 Wszystkie domyślne funkcje usługi Active Directory, wszystkie funkcje z poziomu funkcjonalności domeny systemu Windows Server 2008, a także następujące funkcje: Gwarancja mechanizmu uwierzytelniania, dzięki której informacje dotyczące typu metody logowania (karta inteligentna lub nazwa użytkownika/hasło) używanej do uwierzytelniania użytkowników domeny są umieszczane w tokenie protokołu Kerberos każdego użytkownika. Po włączeniu tej funkcji w środowisku sieciowym, w którym wdrożono infrastrukturę do federacyjnego zarządzania tożsamościami, na przykład usługi Active Directory Federation Services (AD FS), informacje zawarte w tokenie mogą być wyodrębniane za każdym razem, gdy użytkownik próbuje uzyskać dostęp do aplikacji obsługującej oświadczenia, która określa autoryzację na podstawie metody logowania użytkownika. 214
Poziom funkcjonalności lasu Poziom funkcjonalności domeny Obsługiwane kontrolery domeny Windows 2000 Windows NT 4.0 Windows 2000 Windows Server 2003 Windows Server 2008 Windows Server 2008 R2 Windows Server 2003 (domyślny) Windows Server 2003 Windows Server 2008 Windows Server 2008 R2 Windows Server 2008 Windows Server 2008 Windows Server 2008 R2 Windows Server 2008 R2 Windows Server 2008 R2 215
Windows Server 2003 Wszystkie domyślne funkcje usługi Active Directory oraz następujące funkcje: Relacje zaufania lasów. Zmienianie nazw domen. Replikacja wartości połączonych (zmiany w magazynie informacji o członkostwie w grupach oraz replikowanie wartości dla indywidualnych elementów członkowskich zamiast replikowania całego członkostwa jako pojedynczej jednostki). Dzięki temu można uzyskać mniejsze zużycie pasma i procesora podczas replikacji oraz wyeliminować możliwość utraty aktualizacji w przypadku, gdy różne elementy członkowskie są dodawane i usuwane jednocześnie na różnych kontrolerach domeny. 216
Windows Server 2003 Możliwość wdrożenia kontrolera domeny tylko do odczytu (RODC) z systemem Windows Server 2008. Większa skalowalność i ulepszone algorytmy narzędzia sprawdzania spójności informacji. Generator topologii międzylokacyjnej (ISTG) używa ulepszonych algorytmów, które mogą być stosowane do obsługi lasów z większą liczbą lokacji, niż jest to możliwe na poziomie funkcjonalności lasu systemu Windows 2000. Możliwość tworzenia wystąpień dynamicznej klasy pomocniczej o nazwie dynamicobject w partycji katalogu domeny. 217
Windows Server 2003 Możliwość konwertowania wystąpienia obiektu klasy inetorgperson na wystąpienie obiektu klasy User i odwrotnie. Możliwość tworzenia wystąpień nowych typów grup nazywanych grupami podstawowymi aplikacji oraz grup zapytań LDAP (Lightweight Directory Access Protocol) do obsługi autoryzacji opartej na rolach. Możliwość dezaktywowania i ponownego definiowania atrybutów oraz klas w schemacie. 218
Windows Server 2008 Ten poziom funkcjonalności oferuje wszystkie funkcje dostępne na poziomie funkcjonalności systemu Windows Server 2003 - bez żadnych dodatkowych funkcji. Jednak wszystkie domeny, które zostaną dodane do lasu działającego na poziomie funkcjonalności systemu Windows Server 2008, będą domyślnie działać na tym poziomie funkcjonalności domeny. 219
Windows Server 2008 R2 Wszystkie funkcje dostępne na poziomie funkcjonalności lasu systemu Windows Server 2003, a także następujące funkcje: Kosz usługi Active Directory umożliwiający przywracanie w całości usuniętych obiektów w czasie działania usług domenowych w usłudze AD. Wszystkie domeny, które zostaną dodane do lasu, będą domyślnie działać na poziomie funkcjonalności domeny systemu Windows Server 2008 R2. 220