Подсистема безопасности защищенных версий

ОС Windows

 

К защищенным версиям ОС Windows относятся Windows NT/2000/XP Professional. В состав этих ОС входит подсистема безопасности, архитектура которой представлена на рис. 27.

Ядром подсистемы безопасности является локальная служба безопасности (Local Security Authority, LSA), размещающаяся в файле lsass.exe.

После загрузки ОС автоматически запускается процесс входа (winlogon.exe), который остается активным до перезагрузки ОС или выключения питания компьютера. Аварийное завершение процесса входа приводит к аварийному завершению работы ОС. Этим обеспечивается практическая невозможность подмены процесса входа при функционировании системы.

После нажатия пользователем комбинации клавиш Ctrl+Alt+Delete процесс входа обращается к провайдеру аутентификации (динамически компонуемой библиотеке функций, DLL) для приема от пользователя его логического имени (ID) и аутентифицирующей информации (Р). Стандартный провайдер аутентификации размещается в файле msgina.dll и в качестве аутентифицирующей информации использует пароли пользователей.

 

 

Рис. 27. Архитектура подсистемы безопасности

защищенных версий Windows

 

Возможно использование других провайдеров аутентификации (например, считывающих ключевую информацию со смарт-карт). В этом случае необходимо, чтобы интерфейс к предоставляемым провайдером аутентификации функциям соответствовал определениям, содержащимся в файле winwlx.h (входит в состав любой системы программирования на языке С++ для Windows).

Путь к используемому провайдеру аутентификации должен быть записан в соответствующем разделе реестра.

Введенное пользователем логическое имя и пароль передаются процессом ввода в службу LSA, которая обращается к пакету аутентификации (библиотеке функций) для подтверждения подлинности пользователя. Если пользователь зарегистрирован на локальном компьютере, то пакет аутентификации вычисляет хеш-значение пароля H (P) и обращается к диспетчеру учетных записей (Security Account Manager, SAM) для проверки правильности введенного пароля и возможности для пользователя с введенным логическим именем начать работу в системе (не истек ли срок действия пароля, не заблокирована ли учетная запись пользователя и т.п.). Пакет аутентификации является заменяемым компонентом подсистемы безопасности (стандартный пакет аутентификации размещается в файле msvl_0.dll).

Диспетчер учетных записей обращается к базе данных учетных записей (базе данных SAM) для извлечения информации из учетной записи пользователя с введенным логическим именем. База данных учетных записей содержится в разделе реестра HKEY_LOCAL_MACHINE\SAM (а также в файле Windows\System32\Config\SAM). К базе данных SAM не может быть получен доступ для чтения или изменения с помощью штатных средств ОС даже администратором. Для ее редактирования предназначены специальные функции из набора Windows API и специальное системное приложение (в Windows XP – функция «Администрирование» панели управления).

Пароль пользователя в базе данных SAM хранится в виде двух хеш-значений, каждое из которых имеет длину 128 бит. Первое хеш-значение пароля пользователя вычисляется по алгоритму Windows NT. Второе хеш-значение пароля пользователя вычисляется по алгоритму LAN Manager.

Если проверка подтвердила подлинность пользователя и отсутствие препятствий для начала его работы в КС, то пакет аутентификации получает от SAM уникальный идентификатор безопасности пользователя SID (security identifier), который затем передается в LSA.

Идентификатор безопасности представляет собой структуру переменной длины, которая однозначно определяет пользователя или группу и сохраняется в регистрационной базе данных.

Получив идентификатор безопасности пользователя, локальная служба безопасности LSA создает для него маркер доступа АТ (access token), который идентифицирует пользователя во всех его действиях с объектами КС.

В маркере доступа содержится следующая информация:

SID пользователя;

идентификаторы безопасности его групп;

полномочия пользователя;

идентификаторы безопасности пользователя и его первичной группы, которые будут использованы при создании пользователем новых объектов в КС;

дискреционный список контроля доступа по умолчанию для вновь создаваемого объекта;

источник выдачи маркера доступа и т.д.

Полномочия (привилегии) пользователя и группы назначаются администратором КС и представляют собой права субъектов на выполнение действий, относящихся к системе в целом, а не к отдельным ее объектам.

Перечислим наиболее важные привилегии, которые могут быть назначены пользователям и группам:

завершение работы системы;

изменение системного времени;

отладка программ;

архивирование файлов и каталогов;

восстановление файлов и каталогов;

управление аудитом и журналом безопасности;

смена владельцев файлов или иных объектов и т.д.

Созданный LSA маркер доступа АТ передается процессу входа, который с помощью провайдера аутентификации завершает процесс авторизации пользователя в КС, запуская процесс его инициализации (userinit.exe) и передавая ему АТ. Процесс инициализации на основе содержащегося в АТ идентификатора безопасности пользователя загружает из реестра Windows его профиль и загружает программную оболочку – проводник Windows (explorer.exe), передавая ему маркер доступа пользователя. После этого процесс инициализации завершает свою работу.

Концепция рабочего стола пользователя (desktop) в защищенных версиях Windows отличается от аналогичного понятия в открытых версиях этой операционной системы. Рабочий стол в защищенных версиях Windows представляет собой совокупность окон, одновременно видимых на экране. Только процессы, окна которых расположены на одном рабочем столе, могут взаимодействовать между собой, используя средства графического интерфейса пользователя Windows (GUI).

Процесс входа (winlogon), получающий от пользователя имя и пароль, выполняется на отдельном рабочем столе (рабочем столе аутентификации). Никакой другой процесс, в том числе и программная закладка, внедренная нарушителем для перехвата паролей, не имеет доступа к этому рабочему столу.

Переключение экрана компьютера с одного рабочего стола на другой производится при нажатии комбинации клавиш Ctrl+Alt+Delete. В защищенных версиях Windows эта комбинация обрабатывается иначе – сообщение о нажатии данной комбинации клавиш посылается только процессу входа, который остается активным до перезагрузки ОС или выключения питания. Для всех других процессов (в частности, для всех прикладных программ, запущенных пользователем) нажатие этой комбинации клавиш совершенно незаметно.

Защита рассматриваемых версий ОС Windows от программных закладок такого рода может считаться весьма надежной.

Для управления списками пользователей и групп в КС, назначения им полномочий, определения параметров политики безопасности в ОС Windows 2000/XP администратором используются функции «Администрирование» и «Локальная политика безопасности» панели управления, а в ОС Windows NT для этого предназначалась системная программа «Диспетчер пользователей» (User Manager).

С помощью данных функций и программ можно изменить свойства учетной записи пользователя или свойства и состав группы пользователей.

В параметрах локальной политики безопасности определены две группы параметров учетных записей – параметры политики паролей и параметры политики блокировки учетных записей. Параметры политики паролей позволяют усилить парольную аутентификацию.

К параметрам политики блокировки учетной записи относятся:

пороговое значение блокировки (максимальное число ошибок входа в систему);

длительность блокировки учетной записи;

интервал времени, через который происходит сброс счетчика блокировок.