лекция№10 (1088440), страница 2
Текст из файла (страница 2)
2). Провайдер осуществляет аутентификацию, передавая имя и пароль на средний уровень подсистемы аутентификации с помощью системного вызова LogonUser. При этом, если аутентификация прошла успешно, создается маркер доступа пользователя.
3). Если маркер доступа пользователя создан успешно, провайдер осуществляет авторизацию пользователя, запуская процесс Userlnit.exe от имени аутентифицированного пользователя. Для этого используется системный вызов CreateProcessAsUser, который отличается от вызова Сге-ateProcess только тем, что запускаемому процессу назначается маркер доступа, отличный от маркера доступа процесса-родителя. В данном случае процессу Userlnit назначается только что созданный маркер доступа авторизуемого пользователя.
4). Процесс Userlnit загружает индивидуальные настройки пользователя из его профиля (profile), монтирует ключ реестра, соответствующий данному пользователю, загружает программную среду пользователя (по умолчанию в Windows NT 4.0 – Explorer) и завершает работу.
При выполнении второго этапа данной процедуры WinLogon использует привилегии псевдопользователя SYSTEM создавать маркеры доступа и выступать от имени операционной системы, а при выполнении третьего этапа - привилегию назначать процессам маркеры доступа. Таким образом, если эти привилегии не будут предоставлены псевдопользователю SYSTEM, вход пользователей в систему станет невозможен.
Средний уровень. В средний уровень подсистемы аутентификации Windows NT входят локальный распорядитель безопасности (local security authority, LSA) и так называемые пакеты аутентификации - заменяемые библиотеки, реализующие большую часть низкоуровневых функций аутентификации. Так же как и WinLogon, LSA представляет собой обычный процесс (по имени lsass.exe), выполняющийся от имени псевдопользователя SYSTEM. Аварийное завершение LSA приводит к аварийному завершению работы всей операционной системы. Как и WinLogon, LSA передоверяет большинство своих функций заменяемым библиотекам. Стандартная схема аутентификации реализуется пакетом MSV 1.0 (msv1_0.dll).
Пакет аутентификации осуществляет аутентификацию пользователя в процессе обработки системного вызова LogonUser. Аутентификация производится следующим образом:
1). Пакет аутентификации получает от верхнего уровня подсистемы аутентификации имя и пароль пользователя и генерирует образ пароля.
2). Используя услуги нижнего уровня подсистемы аутентификации, пакет аутентификации получает эталонный образ пароля и сравнивает его с образом пароля из п. 1.
3). При совпадении образов паролей LSA получает от нижнего уровня подсистемы аутентификации информацию о том, может ли данный пользователь начинать в данный момент работу с данной рабочей станцией (не устарел ли пароль, не заблокирован ли бюджет пользователя и т.д.).
4). При положительном результате проверки LSA формирует маркер доступа пользователя, получая необходимую информацию от нижнего уровня подсистемы аутентификации.
5). LSA передает сформированный маркер доступа верхнему уровню подсистемы аутентификации.
Для генерации образа пароля стандартный пакет аутентификации MSV 1.0 применяет хеш-функцию MD4. Для совместимости с более ранними версиями Windows MSV 1.0 поддерживает другой формат образа пароля. В этом случае пароль преобразуется в формат ANSI, все латинские буквы приводятся к верхнему регистру, пароль разбивается на две строки по 7 байт (если пароль короче, он дополняется нулями). Затем каждая половина пароля используется в качестве ключа при шифровании "магической" строки "KGS!@#$%" по алгоритму DES. Полученные два шифртекста по 8 байт каждый и представляют собой образ пароля.
Недостатком обоих алгоритмов генерации образа пароля является то, что ни один из них не использует маркант, и поэтому одинаковым паролям различных пользователей соответствуют одинаковые образы паролей.
Нижний уровень. Нижний уровень подсистемы аутентификации Windows NT отвечает за хранение в системе учетной информации о пользователях, в том числе и эталонных образов паролей. При аутентификации пользователя нижний уровень подсистемы аутентификации передает среднему уровню эталонный образ пароля пользователя, а при авторизации - список групп и привилегий пользователя.
При стандартной конфигурации операционной системы нижний уровень подсистемы аутентификации включает в себя систему управления списком пользователей SAM и сервис NetLogon. SAM используется для извлечения информации из реестра локального компьютера, a NetLogon - информации из реестра контроллера домена. Администраторы системы могут устанавливать и другие сервисы аналогичного назначения.
Учетная информация о пользователях хранится в ключах реестра \Registry\Machine\SAM и \Registry\Machine\SECURITY. Эталонные образы паролей хранятся зашифрованными на идентификаторе пользователя по алгоритму DES.
Подсистема управления доступом
Для просмотра и обслуживания локальных учетных записей и локальных групп необходимо открыть User Manager. С помощью этой программы осуществляется администрирование SAM, в том числе настройка политики учетных записей, прав пользователей и политики аудита.
Политика учетных записей (Account policy). Использование учетных записей определяют настройки для пароля и блокировок. Можно потребовать от пользователей соблюдать ограничения на минимальную длину пароля, регулярно менять пароли и запретить повторное их использование. Настройки блокировок снижают риск перехвата паролей со стороны злоумышленников.
Права пользователей (User rights). Права пользователя (привилегии) - это особые полномочия, которые дают возможность выполнять определенные операции на системном уровне. Например, чтобы зарегистрироваться с локальной консоли, требуется право Logon locally. В окне User Rights Policy приводится список привилегий, доступных пользователю локальной станции.
Списки контроля доступа (ACL). Для доступа к файлам и каталогам используются разрешения на объектном уровне. Каждый объект обладает списком разрешений ACL, который определяет, какие пользователи и группы имеют право обращаться к объекту и как именно. При этом разрешения (permissions) не совпадают с правами (rights). Разрешения настраиваются на объектном уровне через списки контроля доступа – ACL. Чтобы просмотреть список ACL какого-либо файла, нужно открыть Windows Explorer и обратиться к контекстному меню файла. Выбрав Properties, следует открыть вкладку Security и затем выбрать Permissions. NT назначает пользователям кумулятивный доступ на основе его принадлежности той или иной группе.
Административные полномочия (Administrative authority). Они распространяются на встроенные группы Administrators и Power Users. Члены группы Administrators могут помечать для совместного использования каталоги и принтеры, создавать и обслуживать локальные учетные записи SAM, назначать права пользователям и устанавливать политики аудита. В отличие от группы Administrators, члены Power Users не могут устанавливать политики аудита.
Стандартные типы объектов доступа в Windows NT.
1. Файловые объекты:
-файлы;
-дисковые директории - директории, расположенные на логических дисках; дисковые директории могут содержать файлы и другие дисковые директории;
-устройства - объекты, используемые для взаимодействия приложений с драйверами физических и логических устройств;
-каналы, или трубы, или пайпы (pipes), - объекты, используемые для организации взаимодействия процессов;
-почтовые ящики (mailslots) - объекты, используемые для асинхронной передачи сообщений между процессами.
2. Объектовые директории (object directories) - объекты, содержащие в себе другие объекты. В отличие от дисковых директорий объектовые директории могут содержать любые объекты. Объектовые директории являются временными объектами и хранятся только в оперативной памяти.
3. Ключи реестра (registry keys) - подмножества элементов конфигурации операционной системы.
4. Процессы - экземпляры программ, выполняющихся в данный момент на данном компьютере.
5. Потоки или нити (threads) - потоки машинных команд, последовательно выполняющиеся на процессоре. Один процесс может включать в себя несколько одновременно работающих параллельных потоков.
6. Диспетчер сервисов (service control manager) - объект Windows NT, используемый для управления сервисами.
7. Сервисы (services) - исполняемые модули, управляемые диспетчером сервисов. Сервисы используют программный интерфейс, несколько отличный от интерфейса, используемого обычными процессами и библиотеками. В программном интерфейсе Win32 к сервисам относятся как собственно сервисы, так и драйверы устройств. В "родном" программном интерфейсе ядра Windows NT управление драйверами осуществляется посредством управления соответствующими им устройствами. Таким образом, при выполнении запроса управления драйвером, инициированного из среды Win32, проверяется доступ к двум разным объектам - сервису и устройству, фактически представляющим собой единый объект-драйвер.
8. Объекты управления окнами (window-management objects, появились в версии 4.0):
-рабочие столы или рабочие поля (desktops) - совокупности взаимодействующих между собой окон; окна различных рабочих столов не могут быть видимы на экране компьютера одновременно;
-оконные станции (window stations) - совокупности рабочих столов; на разных оконных станциях могут одновременно работать разные пользователи.
9. Порты (ports) - объекты, используемые при передаче сообщений между процессами.
10. Секции разделяемой памяти (shared memory sections) или просто секции — области памяти, разделяемые между несколькими процессами.
11. Символические связи (symbolic links) - объекты, позволяющие создавать синонимы для имени объекта.
12. Маркеры доступа (access tokens) - объекты, содержащие информацию о работающих в системе пользователях и псевдопользователях.
13. Объекты синхронизации:
-события (events) - объекты, используемые при асинхронных обращениях к файловым системам и устройствам;
-пары событий (event pairs) - объекты, используемые при передаче сообщений от одного процесса к другому;
-семафоры (semaphores) - объекты, используемые для ограничения количества одновременных обращений разных потоков к одному объекту операционной системы;
-мьютексы (mutexes) - объекты, используемые для исключения одновременного доступа нескольких потоков к одному объекту операционной системы.
Файлы, дисковые директории и ключи реестра являются постоянными объектами и могут храниться на дисках компьютера. Остальные объекты являются временными и хранятся только в оперативной памяти.
Объекты, которые могут содержать другие объекты, а именно дисковые и объектовые директории, а также ключи реестра, называются контейнерами.
Windows NT позволяет прикладным и сервисным процессам создавать объекты доступа и других (нестандартных) типов. Перед созданием объекта нестандартного типа процесс должен зарегистрировать в системе данный тип объекта. Разграничение доступа субъектов к нестандартным объектам организуется в точности так же, как и к стандартным.
Субъекты доступа Windows NT.
Перечислим типы субъектов доступа, которые поддерживает операционная система Windows NT.
1). Пользователи (включая псевдопользователей). К псевдопользователям относятся следующие субъекты:
-SYSTEM - операционная система локального компьютера; этот псевдопользователь всегда входит в группу Administrators и имеет все привилегии;
-псевдопользователи с именами вида <имя_компьютера>$, где <имя_компьютера> - сетевое имя компьютера; эти псевдопользователи представляют операционные системы других компьютеров сети и используются при аутентификации рабочей станции на контроллере домена 1.
2). Группы пользователей. В Windows NT группы пользователей могут пересекаться, т.е. каждый пользователь Windows NT может входить в несколько групп. При этом для совместимости с программным интерфейсом POSIX, поддерживаемым Windows NT, среди групп, в которые входит пользователь, выделяется так называемая первичная группа, которая играет роль той единственной группы, в которую может входить пользователь в POSIX.
3). Специальные (временные) группы. В отличие от обычных групп членство пользователя в таких группах определяется операционной системой в зависимости от действий пользователя. Например, группа INTERACTIVE включает в себя пользователя, работающего с системой интерактивно, группа NETWORK - пользователей, работающих с системой через сеть, а группа DIALJJP - пользователей, работающих с системой по модему. Специальная группа не может быть объявлена первичной группой пользователя.
4). Относительные субъекты. Эти субъекты имеют смысл только в применении к объекту, для которого определяются права доступа. Существуют следующие относительные субъекты:
-CREATORJDWNER - владелец объекта;
-CREATOR_GROUP - первичная группа владельца объекта.
Относительные субъекты используются, если нужно описать права доступа пользователей к объектам по принципу "что кому принадлежит, то ему и доступно".
Следующие субъекты доступа Windows NT имеют предопределенные идентификаторы и присутствуют во всех экземплярах этой операционной системы:
-SYSTEM;
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
