Большинстве концепций безоивеноге
администрирования ОС Microsoft Windows МТ отводят особую
роль многочисленным нестройном параметров ОС,
уделяй недостаточно внимания вопросам
определения ролей администроторо и других
привилегированных пользователей ОС. Таким
образом, не учитывается тот факт, что даже
некоторые штатные действия пельзователей могут
нести угрозу безопасности всей ОС, не говоря уже
об ошибках администрирования или злонамеренных
действиях по взлому отдельных элементов системы
защиты,
Введение
Как известно, порядок функционирования системы
безопасности ОС Microsoft Windows NT (в дальнейшем, за
исключением особо оговариваемых случаев, речь
идет о версии 4.0 с произвольным Service Pack)
определяется большим числом настроек параметров
и элементов ее структуры, которые при
инсталляции ОС по умолчанию устанавливаются
таким образом, что решению задачи защиты
информации в ОС отводится второстепенная роль.
Данное обстоятельство вынуждает пользователя ОС
самостоятельно выбрать тот или иной путь решения
задачи защиты информации. Важную роль при этом
играет принятая пользователем политика
безопасности, а если посмотреть на проблему шире,
концепция повышения эффективности защиты ОС
Microsoft Windows NT.
Следует отметить, что в большинстве известных
автору концепций (некоторые из них будут
изложены ниже) особое внимание уделяется
многочисленным настройкам параметров ОС с целью
приведения порядка ее функционирования в
соответствие неким формальным требованиям, а
также проверке корректности работы отдельных
защитных механизмов. В то же время вопросам
определения ролей администратора и других
привилегированных пользователей ОС, правил
безопасного администрирования, порядка
взаимодействия распределенных компонентов
системы защиты, на взгляд автора, уделяется
недостаточно внимания. Таким образом, не
учитывается тот факт, что даже некоторые штатные
действия пользователей могут нести угрозу
безопасности всей ОС, не говоря уже об ошибках
администрирования или злонамеренных действиях.
В настоящей статье будет представлена
концепция безопасного администрирования ОС,
построенная с учетом описанных недостатков.
Некоторые известные атаки на ОС Microsoft Windows NT
Рассмотрим атаки на ОС Microsoft Windows NT, цель которых
— реализация угроз конфиденциальности или
целостности информации. Их можно разделить на
несколько групп.
Атаки, реализуемые через воздействие на
подсистему аутентификации, с использованием
следующих возможностей [ 1,11 ]:
1. Возможность получения прямого доступа или
доступа через загрузку на компьютере иной ОС
(например, ОС MS-DOS) к разделам SAM или SECURITY реестра
ресурсов с целью последующей модификации
хранящихся в них аутентификационных данных
пользователей.
2. Возможность получения прямого доступа или
доступа через загрузку на компьютере иной ОС к
разделам SAM или SECURITY реестра ресурсов с целью
последующего подбора хранящихся в них
аутентификационных данных пользователей.
3. Возможность модификации системного
программного обеспечения, с целью подмены
процедуры аутентификации.
4. Возможность перехвата и анализа пакетов
сетевого информационного обмена с целью подбора
переданных по каналам ЛВС аутентификационных
данных пользователей.
Атаки, реализуемые путем незаконного
захвата привилегий. По используемой бреши в
системе защиты их можно разделить на две группы.
1. С использованием отсутствия проверки наличия
привилегии отлаживать системные процессы в
некоторых функциях ОС. По этому принципу
работает известная программа GetAdmin [4]. Несмотря на
то что в ОС Microsoft Windows NT 4.0 Service Pack 4 данная проблема
решена, как показывает опыт, нет гарантий
отсутствия аналогичных брешей.
2. С использованием возможности подмены
нарушителем системных именованных
коммуникационных каналов (pipe) и получения за счет
этого привилегий пользователей к ним
обратившихся. Данный подход реализован в
программе AdminTrap [3]. Захват привилегий происходит
при удаленном редактировании реестра ресурсов
ОС, журнала аудита, администрировании сетевого
принтера и в некоторых других случаях.
Атаки, реализуемые путем внедрения в ОС
программных закладок или троянских коней. Для
внедрения закладок в большинстве случаев
необходимы получение прав администратора ОС или
загрузка на компьютере отличной от Microsoft Windows NT
операционной системы. По уровню внедрения
закладки в ОС их можно разделить на две группы.
1. Закладки, внедряемые на уровне ядра ОС (kernel
mode). Эти закладки позволяют динамически
модифицировать в памяти компьютера код ядра ОС,
осуществлять доступ к объектам (файлам) без учета
требований системы разграничения доступа.
2. Закладки, внедряемые на пользовательском
уровне ОС (user mode). Данные закладки позволяют
модифицировать процедуру аутентификации
пользователя или осуществлять доступ к объектам
(файлам) от имени пользователя с максимальными
правами (правами пользователя SYSTEM).
Так как в дальнейшем предполагается
рассматривать доменную архитектуру ОС как
базовую при построении системы защиты
информации и с учетом описанных выше атак, можно
выделить следующие наиболее уязвимые элементы и
данные системы защиты в домене ОС Microsoft Windows NT:
аутентификационные данные пользователей
рабочих станций, хранящиеся в их реестрах
ресурсов;
аутентификационные данные пользователей
домена, сохраняемые в реестрах ресурсов рабочих
станций, с которых они осуществляли вход в домен;
системное программное обеспечение рабочих
станций;
аутентифкационные данные пользователейи
рабочих станций, передаваемые по каналам ЛВС;
некоторые штатные действия Администратора
домена по непосредственному или удаленному
администрированию рабочих станций;
некоторые обращения друг к другу
распределенных компонентов ОС.
Модель нарушителя защиты
Перед тем как приступить к рассмотрению
известных концепций повышения эффективности
защиты ОС Microsoft Windows NT и представлению концепции
безопасного администрирования, определим модель
нарушителя защиты. Ориентиром при этом будет
классификация нарушителя по его возможностям в
автоматизированной системе, описанная в
руководящих документах Гостехкомиссии России [6].
Так как в домене ОС Microsoft Windows NT компьютеры имеют
различные роли (контроллер домена, сервер,
рабочая станция), то нецелесообразно относить
злоумышленника к одному определенному классу.
Будем считать, что на рабочих станциях, число
которых может быть велико и, следовательно,
осложнен контроль за их безопасностью,
возможности нарушителя соответствуют третьему
классу (возможность влиять на порядок
функционирования и параметры системы защиты). На
контроллерах домена, защиту которых от
непосредственного доступа злоумышленника и
запуска им на них своих приложений вполне
реально обеспечить, возможности злоумышленника
будем считать соответствующими второму классу
(возможность удаленного обращения с помощью
программ, содержащих нештатные функции).
Кроме того, следует отметить, что в конкретной
ситуации модель нарушителя может уточняться.
Анализ известных концепций повышения
эффективности защиты ОС Microsoft Windows
Первой в 1996 году концепцию повышения
эффективности защиты предложила сама корпорация
Microsoft. В качестве основного ориентира ею были
выбраны требования класса защиты С2 TCSEC [9]. Однако
в дополнение к этим требованиям предлагалось
наложить существенное ограничение на порядок
конфигурирования ОС, а именно: компьютеры, на
которых функционирует ОС Microsoft Windows NT, должны быть
изолированными, то есть отключенными от
локальных или глобальных вычислительных сетей.
Сертификация ОС Microsoft Windows NT Workstation, Server version 3.5 U.S.
Service Park 3 по классу защиты С2 TCSEC была успешно
проведена в 1996 году [9]. При этом были представлены
необходимые настройки ОС и требования к ее
конфигурации [9]. Анализируя указанные настройки,
можно сделать вывод, корпорацией Microsoft была
использована следующая концепция повышения
эффективности защиты ОС Microsoft Windows NT.
Обеспечение безопасности ОС Microsoft Windows NT в
соответствии с требованиями класса С2 TCSEC
возможно:
без установки дополнительного программного
или аппаратного обеспечения,
с помощью соответствующих настроек
параметров и порядка конфигурирования ОС [9],
только в случае, если компьютер, на котором
функционирует ОС, является изолированным.
При реализации этой концепции основной
проблемой является обеспечение защиты
компьютера от загрузки иной ОС, отличной от ОС
Microsoft Windows NT. Для решения этой проблемы
предлагается использовать парольную защиту
программы модификации параметров работы
компьютера (пароль на BIOS Setup) с целью не допустить
возможности загрузки с флоппи-диска.
Данная концепция может быть реализована на
практике, но требуемая при этом изоляция
компьютеров от вычислительных сетей существенно
сужает область ее практического применения.
Поэтому сертификация ОС Microsoft Windows NT 3.5 SP3 по
классу защиты С2 TCSEC хотя и имела важное значение
для дальнейшего совершенствования системы
защиты данной ОС, но в основном носила рекламный
характер.
Изолированность компьютеров от ЛВС,
необходимая для приведения настроек и
конфигурации ОС Microsoft Windows NT 3.5 SP3 в, соответствие с
требованиями класс защиты С2 TCSEC, не могла
устроить большинство пользователей данной ОС. В
связи с этим следующим шагом корпорации Microsoft
была разработка требований к настройке
параметров и конфигурации ОС в соответствии с
требованиями класса F-C2 и уровня адекватности ЕЗ
ITSEC, при этом ОС может функционировать на
компьютерах, соединенных между собой в единую
ЛВС. Сертификация по данному классу защиты ОС
Microsoft Windows NT Workstation, Server version 4.0 (build 1381) Service Park 3 была
осуществлена в 1999 году [10]. Итак, корпорацией Microsoft
была предложена новая концепция повышения
эффективности защиты ОС Microsoft Windows NT.
Обеспечение безопасности ОС Microsoft Windows NT в
соответствии с требованиями класса F-C2 и уровня
адекватности ЕЗ ITSEC возможно:
без установки дополнительного программного
или аппаратного обеспечения,
с помощью соответствующих настроек
параметров и порядка конфигурирования ОС [10].
Данная концепция позволяет повысить
эффективность защиты ОС, но в то же время
содержит ряд недостатков.
1. Не в полном объеме указаны необходимые
настройки ОС, связанные с обеспечением
безопасной работы на компьютерах, подключенных к
ЛВС:
отключение возможности удаленной
аутентификации по протоколу LANManager;
запрет выдачи списка сетевых ресурсов для
анонимного пользователя;
разрешение удаленного доступа к реестру
ресурсов только специально на это
уполномоченным пользователям;
запрет использования службы удаленного
запуска задач (Shedule).
2. Защита данных, передаваемых по
коммуникационным каналам ЛВС, от их перехвата
без использования дополнительных (в первую
очередь криптографических) модулей, как правило,
является сложной и труднореализуемой на
практике задачей.
3. Не представлен порядок действий
администратора домена по предотвращению или
сокращению ущерба описанных выше атак,
реализующих незаконный захват привилегий.
4. Структура системы защиты домена представлена
в концепции в виде одного рубежа, в ней не
приведены требования к настройке и
конфигурированию ОС, цель которых сократить
ущерб общей безопасности домена при преодолении
нарушителем защиты одной из рабочих станций,
компрометации аутентификационных данных одного
из пользователей и т. д.
Для устранения недостатков первой группы можно
воспользоваться специальными настройками ОС [1,5].
При устранении недостатков последующих трех
групп целесообразно иметь в виду следующие
обстоятельства:
Основная причина перечисленных недостатков
указанной выше концепции состоит в том, что в
качестве ориентира при ее разработке были
выбраны требования класса F-C2 и уровня
адекватности ЕЗ ITSEC, которые являются достаточно
общими, так как предназначены для оценки
безопасности широкого класса систем защиты.
Поэтому за рамками рассмотрения при разработке
концепции остались указанные в недостатках
необходимые для обеспечения безопасности
настройки параметров, элементы структуры,
требования к порядку функционирования и
администрирования ОС. Таким образом, необходим
выбор новой концепции, учитывающей специфику ОС
Microsoft Windows NT как сетевой многопользовательской
ОС.
Новую концепцию невозможно построить на
основе требований каких-либо других
функциональных классов защиты ITSEC, так как
требования следующего за F-C2 функционального
класса F-BI невыполнимы, поскольку в них
содержится условие реализации мандатной
политики безопасности, что практически
невозможно без полного изучения ОС, а реализация
требований функциональных классов F-AV, F-DI, F-DX не
устраняет недостатков 3 и 4 группы.
При разработке новой концепции необходимо
иметь в виду факт недоступности для независимой
экспертизы исходных текстов исполняемых модулей
и полной документации ОС Microsoft Windows NT, а
следовательно, не может быть получено
достаточных гарантий корректности работы всех
защитных механизмов ОС.
Не приведет к желаемому результату
использование в качестве ориентира требований
классов защиты автоматизированных систем,
представленных в руководящих документах
Гостехкомиссии России [7]. В силу наличия
требования реализации мандатной политики
безопасности в классах 1 и 2 групп, возможными для
использования остаются только классы 3 группы,
требования которых в свою очередь не устраняют
перечисленных выше недостатков.
В концепции безопасного администрирования
ОС Microsoft Windows NT нельзя не учесть последние
достижения в области разработки критериев
оценки защищенных компьютерных систем,
изложенных в Единых критериях безопасности
информационных технологий [8]. Целесообразно
учесть профили защиты, описывающие, например,
требование точного определения роли
администраторов безопасности и требование
выделения необходимого числа доменов в
соответствии с политикой безопасности [1].
Таким образом устранение недостатков
описанной выше концепции приведения настроек
системы защиты ОС Microsoft Windows NT в соответствии с
требованиями класса F-C2 уровня адекватности ЕЗ
ITSEC возможно через разработку и реализацию
положений новой концепции безопасного
администрирования. Эта новая концепция должна
учитывать перечисленные выше обстоятельства и
быть специфичной для ОС иностранного
производства, недоступной для полного анализа и
изучения.
Положения концепции безопасного
администрирования ОС Microsoft Windows NT
Опишем концепцию безопасного
администрирования, цель которой дать набор
рекомендаций по повышению эффективности защиты
систем обработки информации, построенных на
основе данной ОС, от угроз конфиденциальности и
целостности информации. Представляемые в
концепции меры и рекомендации направлены в
первую очередь на предотвращение угроз,
описанных ранее.
Не вызывает сомнения факт, что большой объем
кода модулей ОС Microsoft Windows NT и отсутствие
полноценной документации (включая исходные
тексты исполняемых модулей) не позволяют реально
провести детальное изучение и независимую
экспертизу данной ОС и ее системы защиты. Таким
образом, для повышения эффективности защиты ОС
желательно конфигурировать ее таким образом,
чтобы нарушитель был вынужден последовательно
преодолеть несколько рубежей защиты,
построенных на основе распределенных
независимых труднодоступных для нарушителя
элементов. По этой причине должна быть выбрана
доменная архитектура построения ОС Microsoft Windows NT,
так как в этом случае аутентификация
пользователей выполняется на контроллерах
домена, непосредственный доступ к которым должен
быть ограничен.
При эксплуатации больших распределенных ЛВС
задача обеспечения защиты каждой рабочей
станции является чрезвычайно сложной и
труднореализуемой. С учетом сказанного выше
трудно обеспечить достаточные гарантии
целостности данных и программного обеспечения
всех рабочих станций, а также не может быть
полного доверия к штатным механизмам защиты
аутентификационных данных пользователей.
Следовательно, на рабочих станциях не стоит
оставлять аутентификационных данных,
модифицировав или воспользовавшись которыми
нарушитель мог бы осуществить НСД ресурсам
других рабочих станций. Этого можно достичь с
помощью запрета сохранения хэшированных паролей
пользователей в реестре ресурсов рабочих
станций, запрета регистрации на рабочих станциях
пользователей, вывода администратора рабочей
станции из группы ее администраторов.
При удаленном администрировании рабочих
станций (чтении журналов аудита, реестра
ресурсов, управлении сетевым принтером и т.д.)
возможна реализация атаки с использованием
программы AdminTrap. Таким образом, очевидно, что даже
некоторые штатные действия администратора
домена несут угрозу безопасности всего домена, а
интерактивный (непосредственный) вход
администратора домена на рабочую станцию несет
угрозу:
перехвата его аутентификационных данных
программной закладкой, подменяющей процедуру
входа в систему, или при их передаче по каналам
ЛВС,
использования программных закладок типа
троянский конь, запускаемых от его имени и с
его привилегиями.
В связи с этим, администратор домена должен
выполнять свои функции только на контроллере
домена и только с использованием штатного
программного обеспечения, и он не должен
осуществлять удаленный доступ к рабочим
станциям домена. Функции администратора домена
желательно ограничить только управлением
бюджетами пользователей и рабочих станций
домена (регистрация, удаление, изменение
параметров), а также непосредственное управление
ресурсами контроллеров домена. Тогда функции
администрирования рабочих станций должен
выполнять пользователь, отличный от
администратора домена, и при этом желательно
сократить ущерб от возможной компрометации его
аутентификационных данных, Для достижения этой
цели можно поручить выполнение административных
функций на данной рабочей станции выделенному
зарегистрированному в домене пользователю,
имеющему право осуществлять вход в домен только
с данной рабочей станции.
Как и некоторые штатные действия
администратора домена, обращения распределенных
компонентов ОС друг к другу также могут нести
угрозу безопасности. При определении порядка
обращения одних компонентов ОС к другим,
особенно при дооснащении ОС дополнительными
подсистемами защиты, целесообразно использовать
политику безопасных обращений, построенную по
аналогии с мандатной политикой безопасности.
Суть политики безопасных обращений состоит в
том, что компоненты ОС распределяются по уровням
доверия, например, контроллер домена имеет
высокий уровень доверия, рабочая станция …
низкий. Тогда обращение считается безопасным,
если оно направлено от компонентов с низким
уровнем доверия к компонентам с более высоким
уровнем доверия. Например, при необходимости
ведения на некотором сервере безопасности
объединенного журнала аудита рабочие станции
должны передавать серверу безопасности данные
своих журналов аудита, а не сервер безопасности
забирать их с рабочих станций.
В некоторых случаях данные, в том числе
аутентификационные, передаваемые по каналам ЛВС,
могут стать уязвимыми для перехвата и анализа. В
такой ситуации желательно предпринять меры по
физической защите коммуникаций, а также при
наличии соответствующей возможности
использовать криптографические средства.
С учетом сказанного выше не может быть полного
доверия к штатной системе разграничения доступа
ОС Microsoft Windows NT, следовательно, целесообразно
ограничить перечень ресурсов, к которым
пользователи могут получить доступ на запись, а
сами эти ресурсы лучше защитить с использованием
дополнительных механизмов. Кроме того, при
организации защиты данной ОС желательно
использовать специальные настройки [1,5,9, 10], если
они не противоречат предыдущим положениям.
Описанная концепция безопасного
администрирования может быть использована для
повышения эффективности защиты широкого круга
систем обработки информации, построенных на
основе ОС Microsoft Windows NT. При этом в каждом
конкретном случае положения концепции могут
уточняться.
В заключение следует отметить, что концепция
безопасного администрирования:
не исключает применения в ОС дополнительных
механизмов защиты, например контроля
целостности среды. Главное, чтобы порядок
настройки дополнительных механизмов защиты не
противоречил положениям концепции;
может применяться не для ОС Microsoft Windows NT 4.0 SPx. С
учетом указанных выше обстоятельств, касающихся
невозможности проведения полноценной проверки
корректности функционирования защитных
механизмов, после необходимой адаптации
концепция может быть применима и к ОС Microsoft Windows
2000.
Литература:
1. ЗегждаД. П., Ивашко А. М. Как построить
защищенную информационную систему/Под научной
редакцией Д. П. Зегжды и В. В. Плато-нова СПб: Мир и
семья 95, 1997. 312 с.: ил.
2. Люцарев В. С., Ермаков К. В., Рудный Е. Б., Ермаков
И. В. Безопасность компьютерных сетей на основе
Windows NT. М.: Издательский отдел Русская редакция
ТОО Channel Trading Ltd., 1998. 304 с.: ил.
3. Проскурин В. Г. Проблемы защиты сетевых
соединений в Windows NT, http://www.hackzone.ru/articles/admintrap.html, 1999.
4. К. Соболев. Исследование системы безопасности
в Windows NT.
http://www.h<.ickzone.ru/articles/ntadmin.html/, 1998.
5. М. Дж. Эдварде. Безопасность в Интернете на
основе Windows NT 1 Пер. с англ. М.: Издательский отдел
Русская редакция ТОО Channel Trading Ltd., 1999. 656 с.: ил.
6. Гостехкомиссия России. Руководящий документ.
Концепция защиты средств вычислительной техники
и автоматизированных систем от
несанкционированного доступа к информации. М.:
Военное издательство, 1992.
7. Гостехкомиссия России. Руководящий документ.
Автоматизированные системы. Защита от
несанкционированного доступа к информации.
Классификация автоматизированных систем и
требования по защите информации. М.: Военное
издательство, 1992.
8. Common Criteria for Information Technology Security Evaluation. Communication
Security Establishment (Canada), Service Central de la Securite des Systemes dinformation
(France), Bundesarntfur Sicherheit in der Informationstechnik (Germany), Netherlands
National Communication Security Agency (Netherlands), Communication-Electronics Security
Group (United Kingdom), National Institute of Standards and Technology (United States),
National Security Agency (United States). Version 2.0. May 1998.
9. Microsoft Report on C2 Evaluation of Windows NT, Securing Your Windows NT OFC
Servers, http://ww}v.microsoft. corn.
10. UK ITSEC Scheme Certification Report P121, Microsoft Windows NT Workstation and
Server Version 4.0 (Build 1381) Service Park 3, http://www.itsec.gov.uk/, March 1999.
11. http://www.l0pht.com/l0phtcrack/.