Разработка микропроцессорного устройства управления

 

5 Права и привилегии учетных записей

Рисунок 5.1– Права и привилегии учетных записей

Многие операции, выполняемые  процессами, нельзя авторизовать через  подсистему защиты доступа к объектам, так как при этом не происходит взаимодействия с конкретным объектом. Например, возможность обходить проверки прав доступа при открытии файлов для резервного копирования является атрибутом учетной записи, а не конкретного объекта. Windows использует как привилегии, так и права учетных записей, чтобы системный администратор мог управлять тем, каким учетным записям разрешено выполнять операции, затрагивающие безопасность.

Привилегия (privilege) – это право (right) учетной записи на выполнение определенной операции, затрагивающей безопасность, например на выключение компьютера или изменение системного времени. Право учетной записи разрешает или запрещает конкретный тип входа в систему, скажем, локальный или интерактивный.

Системный администратор  назначает привилегии группам и  учетным записям с помощью  таких инструментов, как ММС-оснастка Active Directory Users and Groups (Active Directory – пользователи и группы) или редактора локальной политики безопасности (Local Security Policy Editor).

Заметьте, что этот редактор не различает привилегии и права  учетных записей. Но вы можете сделать  это сами, поскольку любое право, в названии которого встречается слово «logon» («вход»), на самом деле является привилегией. 
 
 
Таблица 5.1– Права учетной записи

Право	Описание
Deny logon interactively (Отклонить  интерактивный вход), Allow logon interactively (Интерактивный вход)	Используется для интерактивного входа, запрос на который исходит с локального компьютера
Deny logon over the network (Отказ  в доступе к компьютеру из  сети), Allow logon over the network (Доступ к компьютеру  из сети)	Используется для входа, запрос на который исходит с удаленного компьютера
Deny logon through Terminal Services* (Запретить  вход в систему через службу  терминалов), Allow logon through Terminal Services (Разрешать вход в систему через службу терминалов)	Используется для входа  через клиент службы терминалов
Deny logon as a service (Отказать  во входе в качестве службы), Allow logon as a service (Вход в качестве  службы)	Применяется SCM при запуске  сервиса под учетной записью  определенного пользователя
Deny logon as a batch job (Отказ  во входе в качестве пакетного задания), Allow logon as a batch job (Вход в качестве пакетного задания)	Используется при пакетном входе

Впервые введено в Windows XP.

Права учетной записи не вводятся в действие монитором  состояния защиты (Security Reference Monitor, SRM) и не хранятся в маркерах. За вход отвечает функция LsaLogonUser. В частности, WinLogon вызывает API-функцию Logon-User, когда пользователь интерактивно входит в систему, a LogonUser обращается к LsaLogonUser. Эта функция принимает параметр, указывающий тип выполняемого входа, который может быть интерактивным, сетевым, пакетным, сервисным, через службу терминала или для разблокировки (unlock).

В ответ на запросы  входа служба локальной безопасности (Local Security Authority, LSA) извлекает назначенные  пользователю права учетной записи из своей базы данных; эта операция выполняется при попытке пользователя войти в систему. LSA сверяет тип входа с правами учетной записи и по результатам этой проверки отклоняет попытку входа, если у учетной записи нет права, разрешающего данный тип входа, или, напротив, есть право, которое запрещает данный тип входа.

Рисунок 5.2– Привилегии

Число привилегий, определяемых в операционной системе, со временем выросло. В отличие от прав пользователей, которые вводятся в действие в одном месте службой LSA, разные привилегии определяются разными компонентами и ими же применяются. Скажем, привилегия отладки, позволяющая процессу обходить проверки прав доступа при открытии описателя другого процесса через API-функцию OpenProcess, проверяется диспетчером процессов.

В отличие от прав учетной  записи привилегии можно включать и  отключать. Чтобы проверка привилегии прошла успешно, эта привилегия должна находиться в указанном маркере и должна быть включена. Смысл такой схемы в том, что привилегии должны включаться только при реальном их использовании, и в том, чтобы процесс не мог случайно выполнить привилегированную операцию.

Несколько привилегий дают настолько широкие права, что пользователя, которому они назначаются, называют «суперпользователем» – он получает полный контроль над компьютером.

Например:

• debug programs (отладка программ);
• take ownership (смена владельца);
• load and unload device drivers (Загрузка и выгрузка драйверов устройств);
• act as part of operating system (Работа в режиме операционной системы).

Эти привилегии позволяют  получать неавторизованный доступ к  закрытым ресурсам и выполнять любые  операции. Но мы уделим основное внимание применению привилегии на запуск кода, который выдает привилегии, изначально не назначавшиеся пользователю, и при этом не будем забывать, что это может быть использовано для выполнения любой операции на локальном компьютере.

Отладка программ. Пользователь с этой привилегией может открыть любой процесс в системе независимо от его дескриптора защиты. Например, располагая такой привилегией, можно запустить свою программу, которая открывает процесс LSASS, копирует в ее адресное пространство исполняемый код, а затем внедряет поток с помощью API-функции CreateRemoteThread для выполнения внедренного кода в более привилегированном контексте защиты. Этот код мог бы выдавать пользователю дополнительные привилегии и расширять его членство в группах.

Смена владельца. Эта привилегия позволяет ее обладателю сменить владельца любого защищаемого объекта, просто вписав свой SID в поле владельца в дескрипторе защиты объекта. Вспомните, что владелец всегда получает разрешение на чтение и модификацию DACL дескриптора защиты, поэтому процесс с такой привилегией мог бы изменить DACL, чтобы разрешить себе полный доступ к объекту, а затем закрыть объект и вновь открыть его с правами полного доступа. Это позволило бы увидеть любые конфиденциальные данные и даже подменить системные файлы, выполняемые при обычных системных операциях, например LSASS, своими программами, которые расширяют привилегии некоего пользователя.

Восстановление файлов и каталогов. Пользователь с такой привилегией может заменить любой файл в системе на свой – также, как было описано в предыдущем абзаце.

Загрузка и выгрузка драйверов устройств. Злоумышленник мог бы воспользоваться этой привилегией для загрузки драйвера устройства в систему. Такие драйверы считаются доверяемыми частями операционной системы, которые выполняются под системной учетной записью, поэтому драйвер мог бы запускать привилегированные программы, назначающие пользователю-злоумышленнику другие права.

Создание маркерного объекта. Эта привилегия позволяет создавать объекты «маркеры», представляющие произвольные учетные записи с членством в любых группах и любыми разрешениями.

Работа в режиме операционной системы. Эта привилегия проверяется функцией LsaRegisterLogonProcess, вызываемой процессом для установления доверяемого соединения с LSASS. Злоумышленник с такой привилегией может установить доверяемое соединение с LSASS, а затем вызвать LsaLogonUser – функцию, используемую для создания новых сеансов входа. LsaLogonUser требует указания действительных имени и пароля пользователя и принимает необязательный список SID, добавляемый к начальному маркеру, который создается для нового сеанса входа. В итоге можно было бы использовать свои имя и пароль для создания нового сеанса входа, в маркер которого включены SID более привилегированных групп или пользователей.

Заметьте, что расширенные  привилегии не распространяются за границы  локальной системы в сети, потому что любое взаимодействие с другим компьютером требует аутентификации контроллером домена и применения доменных паролей. А доменные пароли не хранятся на компьютерах (даже в зашифрованном виде) и поэтому недоступны злонамеренному коду.

 

Библиографический список

1. Принцип работы контроля учетных записей пользователя. [Электронный ресурс] Режим доступа

http://www.info.onlineunit.ru/pages/windows7/19_UAC_1.php.

2. Маркер доступа. Википедия. [Электронный ресурс] Режим доступа http://ru.wikipedia.org/wiki/.

3 Права и привилегии  учетных записей. [Электронный ресурс] Режим доступа http://www.ibm.com/developerworks/ru/edu/os_architecture_course/section3.htm.