ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 08.11.2023
Просмотров: 293
Скачиваний: 4
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
Y — мно- жество стратегий «нарушителя», Y = U
{
U
}; H — матрица выиг- рышей. При |X| = m, |Y| = n предлагается использовать матрицу выиг- рышей следующего вида (перед началом строк и над столбцами ука- заны соответствующие элементы множеств X и Y):
0
)
1
(
1
)
1
(
)
1
)(
1
(
)
1
(
1
)
1
(
)
1
(
)
1
(
1
)
1
(
1 1
11 1
1
)
1
(
1
n
m
m
m
n
m
m
m
m
m
n
n
h
h
C
h
h
h
h
h
C
h
h
h
h
h
C
U
U
U
H
,
(4.7) где
ij
h — оценки потерь от реализации «нарушителем» j-й обобщен- ной угрозы в отношении ИС, где реализован i-й проект подсистемы защиты;
i
h — затраты на реализацию i-го проекта. Обе составляющие берутся со знаком минус, т. к. для «защитника» это потери (отрица- тельный выигрыш).
Построенная антагонистическая игра отражает ситуацию наибо- лее пессимистичного прогноза: предполагается, что «нарушитель»
194 всемогущ и имеет цель нанести максимальный вред. Если можно до- стоверно оценить возможности «нарушителя» и ценность для него ре- зультатов атаки на ИС, то предлагается использовать биматричные игровые модели. Биматричная игра определяется следующим обра- зом:
Г = < X, Y, H, H
2
>,
(4.8) где X и Y — множества стратегий игроков I и II, H — матрица выиг- рышей «защитника», H
2
— матрица выигрышей «нарушителя»:
0
0
0
)
1
(
)
1
(
1 1
)
1
)(
1
(
)
1
)(
1
(
1
)
1
(
1
)
1
(
)
1
(
)
1
(
1
)
1
(
1 11 11 1
)
1
(
1 2
n
m
n
m
m
m
n
m
n
m
m
m
m
n
n
n
h
h
h
h
C
h
h
h
h
C
h
h
h
h
C
U
U
U
H
,
(4.9) где
ij
h
— оценка выигрыша «нарушителя» от реализации j-й угрозы в отношении ИС, где реализован i-й проект;
ij
h
— оценка затрат
«нарушителя» на реализацию этой угрозы. Для угроз, источниками которых являются случайные события (например, сбой оборудова- ния), принимаем
ij
h
= 0, а
ij
h
равным по модулю соответствующему элементу матрицы выигрышей игрока I. Нули в последнем столбце матрицы H
2
соответствуют отказу от атаки на ИС. Данная модель от- ражает менее пессимистичный прогноз, основанный на наличии неко- торых дополнительных знаний о «нарушителе».
Если для построенной игры существует решение в чистых стра- тегиях, то это указывает наиболее предпочтительный проект (или проекты) подсистемы защиты. Значение игры покажет максимальные ожидаемые потери при реализации наилучшего проекта. Если реше- ние существует только в смешанных стратегиях, оно нуждается в до- полнительной интерпретации: в реальной ИС невозможно поочередно использовать различные проекты защиты, как это предполагается определением смешанной стратегии. В этом случае можно отобрать проекты, попавшие в спектр оптимальной стратегии, и попытаться
195 сформировать компромиссный вариант, объединяющий их сильные стороны.
Достоинством подобной игровой модели
«защитник- нарушитель» является то, что она позволяет учесть не только стои- мость, но и особенности внедряемого проекта (через изменение оце- нок ожидаемых потерь).
5. ПРАКТИКУМ ПО ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ
5.1. УПРАВЛЕНИЕ ДОСТУПОМ К ФАЙЛАМ НА NTFS
Цель работы.
Приобретение практических навыков настройки разрешений на доступ к файлам в операционных системах семейства Windows.
Используемые программные средства.
Компьютер или виртуальная машина с установленной ОС Win- dows 7 или Windows Server 2008. Для выполнения работы необходи- мы права администратора.
Теоретические сведения.
Операционные системы семейства Windows NT, в которое вхо- дят и Windows 7 и 8, обладают достаточно развитыми встроенными механизмами защиты информации. При соответствующей настройке они могут быть эффективно использованы для достижения различных целей безопасности.
Задачи аутентификации пользователей и разграничения доступа к данным взаимосвязаны: эффективного разграничения доступа не может быть без надежной аутентификации. ОС Windows позволяет создавать учетные записи пользователей и группы в локальной базе безопасности, а если компьютер включен в домен, то появляется воз- можность использовать и доменные учетные записи и группы, кото- рые хранятся в базе Active Directory.
196
Допустим, компьютер с именем COMP1 включен в домен
KAFEDRA
. Тогда полное имя учетной записи User, если она является локальной, будет COMP1\User, если доменной — KAFEDRA\User.
Начиная с Windows 2000, стал поддерживаться и формат, разделяю- щий имя пользователя и полное имя домена символом «@». Пусть полное имя домена будет KAFEDRA.mydomain.ru, тогда имя поль- зователя может быть записано как User@KAFEDRA.mydomain.ru.
В ОС Windows имена пользователей и доменов не чувствительны к регистру: имена учетной записи user, User и USER будут равно- значны. Значение пароля чувствительно к регистру.
Пользователи, группы пользователей и компьютеры в домене
Windows имеют уникальные идентификаторы безопасности — SID
(Security ID). SID имеет уникальное значение в пределах домена и формируется во время создания пользователя или группы, либо когда компьютер регистрируется в домене. SID сохранится и в том случае, если учетную запись переименовать. Вместе с ним сохранятся и все назначенные разрешения (см. далее). А вот удаление учетной записи и создание новой с тем же именем приведет к изменению SID.
Когда пользователь при входе в систему вводит имя и пароль,
ОС выполняет проверку правильности пароля и, если она проходит, создает маркер доступа для пользователя. Маркер включает в себя
SID пользователя и все SID’ы групп, в которые данный пользователь входит.
Для объектов, подлежащих защите, таких как файлы и папки, создается дескриптор безопасности. С ним связывается список управ- ления доступом (англ. Access Control List — ACL), который содержит информацию о том, каким субъектам даны те или иные права на до- ступ к данному объекту. Чтобы определить, можно ли предоставить запрашиваемый субъектом тип доступа к объекту, ОС сравнивает SID в маркере доступа субъекта с идентификаторами, содержащимися в
ACL.
197
Для каждого из предусмотренных типов доступа к файлу или папке (чтение, запись и т. д.) пользователю или группе может быть установлено «разрешить» (англ. allow), «запретить» (англ. deny) или разрешение может быть не установлено. Разрешения суммируются.
Например, если у пользователя есть право на чтение, а у группы, куда он входит — на запись, то действующее (или эффективное) разреше- ние будет включать чтение и запись. Явное запрещение (deny) более приоритетно, чем аналогичное разрешение: например, если у пользо- вателя есть разрешение на операцию, а одной из групп, в которые он входит, эта операция явно запрещена, пользователю эту операцию выполнить будет нельзя. Выполнить действие можно только в том случае, если оно разрешено, то есть отсутствие разрешения в итого- вом («эффективном») наборе разрешений пользователя приведет к тому, что он не сможет выполнить соответствующее действие.
Если говорить о файлах и папках, то механизмы защиты на уровне файловой системы поддерживаются только на дисках с фай- ловой системой NTFS. Файловая система FAT (и ее разновидность —
FAT32) не предполагает наличия атрибутов безопасности файла или связанного с файлом ACL. Соответственно, нельзя установить разре- шения на файл или папку, находящуюся на диске с FAT.
План лабораторной работы.
Лабораторная работа выполняется под учетной записью, обла- дающей правами локального администратора на компьютерах в учеб- ном классе. Упражнения выполняются на диске с файловой системой
NTFS.
1. В указанном преподавателем каталоге («папке») на локальном диске или диске виртуальной машины создайте новый каталог для выполнения данной лабораторной работы. Там создайте текстовый файл с произвольным содержанием. Просмотрите его разрешения на вкладке «Безопасность» (англ. Security) в свойствах файла (щелчок правой клавишей мыши на файле, в выпадающем меню — «Свой-
198 ства», англ. Properties). Вы увидите картинку, аналогичную представ- ленной на рис. 5.1.
Рис. 5.1. Закладка «Безопасность» в свойствах файла
Обратите внимание, что сначала в списке могут появляться но- мера, потом они заменяются именами пользователей и групп. Эти но- мера и есть идентификаторы SID, которые затем, если это возможно, разрешаются в имена. На рис. 5.1 в ACL находится идентификатор удаленной учетной записи, который не может быть разрешен в имя пользователя (англ. Account Unknown — неизвестная учетная запись).
Проанализируйте текущие разрешения на созданный вами файл, имеющиеся у различных групп и пользователей. Эти разрешения уна- следованы вашим файлом от объекта более высокого уровня, то есть от каталога, в котором он находится. Убедитесь в этом.
199
Для редактирования ACL нажмите кнопку Edit. Попробуйте вы- полнить следующие действия:
- добавить в ACL новую учетную запись, дав ей разрешения на изменение файла (англ. Modify);
- убрать группу Users из списка доступа на свой файл.
В связи с тем, что используется наследуемый ACL, вторую часть задания выполнить сразу не удастся: сначала нужно создать для объ- екта собственный ACL. Для этого нажмите кнопку Advanced (рис. 5.1) и в появившемся окне Advanced Security Settings (Дополнительные параметры безопасности) — кнопку Change Permissions (Изменить разрешения). Отказаться от использования наследуемых разрешений можно, убрав отметку Include inheritable permissions from this object’s parent (переносить наследуемые от родительского объекта разреше- ния на этот объект), см. рис. 5.2. При этом будет предложено доба- вить в собственный ACL объекта разрешения из родительского спис- ка (англ. Add) или полностью убрать их (англ. Remove). Лучше вы- брать первый вариант, а потом уже отредактировать список так, как нужно.
Рис. 5.2. Окно редактирования разрешений
200
Убрав группу Users (Пользователи) из ACL вашего файла, по- пробуйте открыть его от имени другой учетной записи, не имеющей явных разрешений и не входящей ни в одну из оставшихся в ACL групп (при необходимости создайте такую учетную запись). Если все сделано правильно, зайдя под подобной учетной записью Вы не полу- чите доступа к файлу.
По умолчанию, локальная группа Users (Пользователи) включа- ет всех локальных и доменных пользователей (если компьютер вхо- дит в домен Windows). Ознакомьтесь по справке или указанной ниже статье TechNet с другими стандартными локальными группами. http://technet.microsoft.com/ru-ru/library/cc771990.aspx.
2. По справке или статье http://technet.microsoft.com/ru- ru/library/cc732880.aspx ознакомьтесь с разрешениями, которые мож- но давать на папку или файл в Windows. Подготовьте ответы на при- веденные ниже вопросы.
Как можно просмотреть набор элементарных разрешений (из которых составлено, например, разрешение «изменить»), имеющихся у пользователя на файл или папку?
Чем составное разрешение «Изменить» (Modify) отличается от разрешения «Полный доступ» (Full Control)?
Дает ли разрешение на запись в папку право просматривать ее содержимое?
3. Эффективные или действующие разрешения (Effective Permis- sions) — это итоговые разрешения, складывающиеся из разрешений, данных пользователю и группам, которые и определяют, можно или нельзя данному субъекту получить доступ к данному объекту. Для выбранной учетной записи их можно узнать на вкладке Effective Per- missions окна Advanced Security Settings, которое мы уже использова- ли при выполнении задания 1. Посмотрите действующие разрешения на ваш файл для одной из существующих учетных записей.
Чтобы лучше разобраться правилами назначения разрешений, выполните приведенные ниже задания.
201
При необходимости создайте локальную группу (назовем ее
Students) и включенную в нее учетную запись (Student). Можно вос- пользоваться уже существующей записью. Группе Students дайте раз- решение на чтение созданного вами файла. Проверьте, чтобы пользо- ватель Student отсутствовал в перечне разрешений на файл. Зайдите под этой учетной записью. Может ли данный пользователь прочитать файл?
Повторите эксперимент, дополнительно указав на вкладке «Без- опасность», что пользователю Student запрещено чтение файла. Смо- жет ли пользователь прочитать файл или нет? Ведь, с одной стороны, он в группе, которой разрешено чтение, с другой стороны — ему са- мому чтение запрещено.
4. Посмотрите разрешения на папку Program Files. Опишите в отчете, каким группам какие разрешения даются на эту папку, куда по умолчанию устанавливаются программы.
5. У объектов файловой системы, таких как файлы, папки и то- ма, есть владельцы. По умолчанию владельцем объекта становится его создатель. Владелец всегда может изменять разрешения для объ- екта, даже при отсутствии доступа к нему.
Более подробную информацию по этому поводу можно полу- чить из справки или приведенной ниже статьи TechNet. http://technet.microsoft.com/ru-ru/library/cc732983.aspx.
Ознакомьтесь с этими материалами. Подготовьте ответы на во- просы.
Кто может стать новым владельцем объекта (какие разрешения для этого нужны)?
Как сменить владельца объекта?
Предложите и выполните эксперимент, иллюстрирующий воз- можности владельца файла, отличающие его от других пользователей.
6. Управлять разрешениями на файлы и папки можно не только из графического интерфейса Windows, но и из командной строки. Для этого рекомендуется использовать утилиту icacls.exe (также для сов-
202 местимости поддерживается утилита cacls.exe). С возможностями этой утилиты можно ознакомиться по справке или из статьи TechNet. http://technet.microsoft.com/ru-ru/library/cc753525.aspx.
С помощью утилиты выполните перечисленные ниже действия.
- сохраните текущий ACL выбранного вами файла в текстовый файл;
- предоставьте пользователю Student разрешение на изменение данного файла (modify);
- проверьте работу сделанных настроек;
- восстановите исходный ACL из копии, сделанной в начале вы- полнения задания.
7. При копировании и перемещении файлов на NTFS надо учи- тывать следующее:
- ACL файла или папки (и соответственно, все разрешения) со- храняется при перемещении объекта в пределах одного тома
NTFS;
- при прочих операциях (перемещение между томами или копи- рование в любых вариантах) ACL заменяется на унаследован- ный от нового родительского контейнера.
Предложите и реализуйте эксперимент, позволяющий проверить выполнение этих правил.
5.2. УПРАВЛЕНИЕ ДОСТУПОМ В СУБД SQL SERVER
Цель работы.
Приобретение практических навыков настройки разрешений на доступ к объектам баз данных в среде СУБД Microsoft SQL Server
2008/2012.
Используемые программные средства.
Компьютер или виртуальная машина с установленной ОС се- мейства Windows и СУБД SQL Server. При работе в сети возможно совместное использование одного экземпляра SQL Server. В этом случае на остальных компьютерах должны быть установлены только клиентские компоненты и SQL Server Management Studio. Для выпол-
203 нения работы необходимы права, позволяющие создавать новую базу данных на экземпляре SQL Server.
Теоретические сведения.
Управление разрешениями на объекты реляционной базы дан- ных несколько отличается от аналогичных операций в отношении объектов файловой системы. В данной лабораторной работе на при- мере СУБД SQL Server эти отличия будут показаны.
При работе с разрешениями в SQL Server используется понятие участников (principals), которые могут запрашивать ресурсы SQL
Server, и которым могут предоставляться разрешения на использова- ние таких ресурсов. Выделяются следующие группы участников:
- участники уровня Windows, к которым относятся локальные и доменные учетные записи пользователей и группы;
- участники уровня SQL Server, к которым относятся учетные записи SQL Server и роли уровня сервера;
- участники уровня базы данных — пользователи базы данных и роли уровня базы данных и приложения.
Необходимо отметить, что SQL Server разделяет понятие учет- ной записи (login) и пользователя (user). Сервер может быть сконфи- гурирован на использование только аутентификации Windows (англ.
Windows Authentication Mode, используется по умолчанию) или на использование смешанного режима аутентификации (англ. SQL Server and Windows Authentication mode), см. рис. 5.3. В первом случае login можно создать только для пользователя или группы Windows. Во вто- ром случае также возможно использовать собственные учетные запи- си SQL Server — логин и пароль хранятся самой СУБД, и ее же сред- ствами выполняется проверка подлинности. При использовании сме- шанной аутентификации становится доступной административная учетная запись sa, которую рекомендуется переименовать и назна- чить ей надежный пароль. Учетная запись авторизуется на выполне- ние одной из серверных ролей (табл. 5.1).
204
Рис. 5.3. Окно редактирования настроек безопасности экземпляра SQL Server
Т а б л и ц а 5 . 1
1 ... 13 14 15 16 17 18 19 20 ... 24
Y — мно- жество стратегий «нарушителя», Y = U
{
U
}; H — матрица выиг- рышей. При |X| = m, |Y| = n предлагается использовать матрицу выиг- рышей следующего вида (перед началом строк и над столбцами ука- заны соответствующие элементы множеств X и Y):
0
)
1
(
1
)
1
(
)
1
)(
1
(
)
1
(
1
)
1
(
)
1
(
)
1
(
1
)
1
(
1 1
11 1
1
)
1
(
1
n
m
m
m
n
m
m
m
m
m
n
n
h
h
C
h
h
h
h
h
C
h
h
h
h
h
C
U
U
U
H
,
(4.7) где
ij
h — оценки потерь от реализации «нарушителем» j-й обобщен- ной угрозы в отношении ИС, где реализован i-й проект подсистемы защиты;
i
h — затраты на реализацию i-го проекта. Обе составляющие берутся со знаком минус, т. к. для «защитника» это потери (отрица- тельный выигрыш).
Построенная антагонистическая игра отражает ситуацию наибо- лее пессимистичного прогноза: предполагается, что «нарушитель»
194 всемогущ и имеет цель нанести максимальный вред. Если можно до- стоверно оценить возможности «нарушителя» и ценность для него ре- зультатов атаки на ИС, то предлагается использовать биматричные игровые модели. Биматричная игра определяется следующим обра- зом:
Г = < X, Y, H, H
2
>,
(4.8) где X и Y — множества стратегий игроков I и II, H — матрица выиг- рышей «защитника», H
2
— матрица выигрышей «нарушителя»:
0
0
0
)
1
(
)
1
(
1 1
)
1
)(
1
(
)
1
)(
1
(
1
)
1
(
1
)
1
(
)
1
(
)
1
(
1
)
1
(
1 11 11 1
)
1
(
1 2
n
m
n
m
m
m
n
m
n
m
m
m
m
n
n
n
h
h
h
h
C
h
h
h
h
C
h
h
h
h
C
U
U
U
H
,
(4.9) где
ij
h
— оценка выигрыша «нарушителя» от реализации j-й угрозы в отношении ИС, где реализован i-й проект;
ij
h
— оценка затрат
«нарушителя» на реализацию этой угрозы. Для угроз, источниками которых являются случайные события (например, сбой оборудова- ния), принимаем
ij
h
= 0, а
ij
h
равным по модулю соответствующему элементу матрицы выигрышей игрока I. Нули в последнем столбце матрицы H
2
соответствуют отказу от атаки на ИС. Данная модель от- ражает менее пессимистичный прогноз, основанный на наличии неко- торых дополнительных знаний о «нарушителе».
Если для построенной игры существует решение в чистых стра- тегиях, то это указывает наиболее предпочтительный проект (или проекты) подсистемы защиты. Значение игры покажет максимальные ожидаемые потери при реализации наилучшего проекта. Если реше- ние существует только в смешанных стратегиях, оно нуждается в до- полнительной интерпретации: в реальной ИС невозможно поочередно использовать различные проекты защиты, как это предполагается определением смешанной стратегии. В этом случае можно отобрать проекты, попавшие в спектр оптимальной стратегии, и попытаться
195 сформировать компромиссный вариант, объединяющий их сильные стороны.
Достоинством подобной игровой модели
«защитник- нарушитель» является то, что она позволяет учесть не только стои- мость, но и особенности внедряемого проекта (через изменение оце- нок ожидаемых потерь).
5. ПРАКТИКУМ ПО ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ
5.1. УПРАВЛЕНИЕ ДОСТУПОМ К ФАЙЛАМ НА NTFS
Цель работы.
Приобретение практических навыков настройки разрешений на доступ к файлам в операционных системах семейства Windows.
Используемые программные средства.
Компьютер или виртуальная машина с установленной ОС Win- dows 7 или Windows Server 2008. Для выполнения работы необходи- мы права администратора.
Теоретические сведения.
Операционные системы семейства Windows NT, в которое вхо- дят и Windows 7 и 8, обладают достаточно развитыми встроенными механизмами защиты информации. При соответствующей настройке они могут быть эффективно использованы для достижения различных целей безопасности.
Задачи аутентификации пользователей и разграничения доступа к данным взаимосвязаны: эффективного разграничения доступа не может быть без надежной аутентификации. ОС Windows позволяет создавать учетные записи пользователей и группы в локальной базе безопасности, а если компьютер включен в домен, то появляется воз- можность использовать и доменные учетные записи и группы, кото- рые хранятся в базе Active Directory.
196
Допустим, компьютер с именем COMP1 включен в домен
KAFEDRA
. Тогда полное имя учетной записи User, если она является локальной, будет COMP1\User, если доменной — KAFEDRA\User.
Начиная с Windows 2000, стал поддерживаться и формат, разделяю- щий имя пользователя и полное имя домена символом «@». Пусть полное имя домена будет KAFEDRA.mydomain.ru, тогда имя поль- зователя может быть записано как User@KAFEDRA.mydomain.ru.
В ОС Windows имена пользователей и доменов не чувствительны к регистру: имена учетной записи user, User и USER будут равно- значны. Значение пароля чувствительно к регистру.
Пользователи, группы пользователей и компьютеры в домене
Windows имеют уникальные идентификаторы безопасности — SID
(Security ID). SID имеет уникальное значение в пределах домена и формируется во время создания пользователя или группы, либо когда компьютер регистрируется в домене. SID сохранится и в том случае, если учетную запись переименовать. Вместе с ним сохранятся и все назначенные разрешения (см. далее). А вот удаление учетной записи и создание новой с тем же именем приведет к изменению SID.
Когда пользователь при входе в систему вводит имя и пароль,
ОС выполняет проверку правильности пароля и, если она проходит, создает маркер доступа для пользователя. Маркер включает в себя
SID пользователя и все SID’ы групп, в которые данный пользователь входит.
Для объектов, подлежащих защите, таких как файлы и папки, создается дескриптор безопасности. С ним связывается список управ- ления доступом (англ. Access Control List — ACL), который содержит информацию о том, каким субъектам даны те или иные права на до- ступ к данному объекту. Чтобы определить, можно ли предоставить запрашиваемый субъектом тип доступа к объекту, ОС сравнивает SID в маркере доступа субъекта с идентификаторами, содержащимися в
ACL.
197
Для каждого из предусмотренных типов доступа к файлу или папке (чтение, запись и т. д.) пользователю или группе может быть установлено «разрешить» (англ. allow), «запретить» (англ. deny) или разрешение может быть не установлено. Разрешения суммируются.
Например, если у пользователя есть право на чтение, а у группы, куда он входит — на запись, то действующее (или эффективное) разреше- ние будет включать чтение и запись. Явное запрещение (deny) более приоритетно, чем аналогичное разрешение: например, если у пользо- вателя есть разрешение на операцию, а одной из групп, в которые он входит, эта операция явно запрещена, пользователю эту операцию выполнить будет нельзя. Выполнить действие можно только в том случае, если оно разрешено, то есть отсутствие разрешения в итого- вом («эффективном») наборе разрешений пользователя приведет к тому, что он не сможет выполнить соответствующее действие.
Если говорить о файлах и папках, то механизмы защиты на уровне файловой системы поддерживаются только на дисках с фай- ловой системой NTFS. Файловая система FAT (и ее разновидность —
FAT32) не предполагает наличия атрибутов безопасности файла или связанного с файлом ACL. Соответственно, нельзя установить разре- шения на файл или папку, находящуюся на диске с FAT.
План лабораторной работы.
Лабораторная работа выполняется под учетной записью, обла- дающей правами локального администратора на компьютерах в учеб- ном классе. Упражнения выполняются на диске с файловой системой
NTFS.
1. В указанном преподавателем каталоге («папке») на локальном диске или диске виртуальной машины создайте новый каталог для выполнения данной лабораторной работы. Там создайте текстовый файл с произвольным содержанием. Просмотрите его разрешения на вкладке «Безопасность» (англ. Security) в свойствах файла (щелчок правой клавишей мыши на файле, в выпадающем меню — «Свой-
198 ства», англ. Properties). Вы увидите картинку, аналогичную представ- ленной на рис. 5.1.
Рис. 5.1. Закладка «Безопасность» в свойствах файла
Обратите внимание, что сначала в списке могут появляться но- мера, потом они заменяются именами пользователей и групп. Эти но- мера и есть идентификаторы SID, которые затем, если это возможно, разрешаются в имена. На рис. 5.1 в ACL находится идентификатор удаленной учетной записи, который не может быть разрешен в имя пользователя (англ. Account Unknown — неизвестная учетная запись).
Проанализируйте текущие разрешения на созданный вами файл, имеющиеся у различных групп и пользователей. Эти разрешения уна- следованы вашим файлом от объекта более высокого уровня, то есть от каталога, в котором он находится. Убедитесь в этом.
199
Для редактирования ACL нажмите кнопку Edit. Попробуйте вы- полнить следующие действия:
- добавить в ACL новую учетную запись, дав ей разрешения на изменение файла (англ. Modify);
- убрать группу Users из списка доступа на свой файл.
В связи с тем, что используется наследуемый ACL, вторую часть задания выполнить сразу не удастся: сначала нужно создать для объ- екта собственный ACL. Для этого нажмите кнопку Advanced (рис. 5.1) и в появившемся окне Advanced Security Settings (Дополнительные параметры безопасности) — кнопку Change Permissions (Изменить разрешения). Отказаться от использования наследуемых разрешений можно, убрав отметку Include inheritable permissions from this object’s parent (переносить наследуемые от родительского объекта разреше- ния на этот объект), см. рис. 5.2. При этом будет предложено доба- вить в собственный ACL объекта разрешения из родительского спис- ка (англ. Add) или полностью убрать их (англ. Remove). Лучше вы- брать первый вариант, а потом уже отредактировать список так, как нужно.
Рис. 5.2. Окно редактирования разрешений
200
Убрав группу Users (Пользователи) из ACL вашего файла, по- пробуйте открыть его от имени другой учетной записи, не имеющей явных разрешений и не входящей ни в одну из оставшихся в ACL групп (при необходимости создайте такую учетную запись). Если все сделано правильно, зайдя под подобной учетной записью Вы не полу- чите доступа к файлу.
По умолчанию, локальная группа Users (Пользователи) включа- ет всех локальных и доменных пользователей (если компьютер вхо- дит в домен Windows). Ознакомьтесь по справке или указанной ниже статье TechNet с другими стандартными локальными группами. http://technet.microsoft.com/ru-ru/library/cc771990.aspx.
2. По справке или статье http://technet.microsoft.com/ru- ru/library/cc732880.aspx ознакомьтесь с разрешениями, которые мож- но давать на папку или файл в Windows. Подготовьте ответы на при- веденные ниже вопросы.
Как можно просмотреть набор элементарных разрешений (из которых составлено, например, разрешение «изменить»), имеющихся у пользователя на файл или папку?
Чем составное разрешение «Изменить» (Modify) отличается от разрешения «Полный доступ» (Full Control)?
Дает ли разрешение на запись в папку право просматривать ее содержимое?
3. Эффективные или действующие разрешения (Effective Permis- sions) — это итоговые разрешения, складывающиеся из разрешений, данных пользователю и группам, которые и определяют, можно или нельзя данному субъекту получить доступ к данному объекту. Для выбранной учетной записи их можно узнать на вкладке Effective Per- missions окна Advanced Security Settings, которое мы уже использова- ли при выполнении задания 1. Посмотрите действующие разрешения на ваш файл для одной из существующих учетных записей.
Чтобы лучше разобраться правилами назначения разрешений, выполните приведенные ниже задания.
201
При необходимости создайте локальную группу (назовем ее
Students) и включенную в нее учетную запись (Student). Можно вос- пользоваться уже существующей записью. Группе Students дайте раз- решение на чтение созданного вами файла. Проверьте, чтобы пользо- ватель Student отсутствовал в перечне разрешений на файл. Зайдите под этой учетной записью. Может ли данный пользователь прочитать файл?
Повторите эксперимент, дополнительно указав на вкладке «Без- опасность», что пользователю Student запрещено чтение файла. Смо- жет ли пользователь прочитать файл или нет? Ведь, с одной стороны, он в группе, которой разрешено чтение, с другой стороны — ему са- мому чтение запрещено.
4. Посмотрите разрешения на папку Program Files. Опишите в отчете, каким группам какие разрешения даются на эту папку, куда по умолчанию устанавливаются программы.
5. У объектов файловой системы, таких как файлы, папки и то- ма, есть владельцы. По умолчанию владельцем объекта становится его создатель. Владелец всегда может изменять разрешения для объ- екта, даже при отсутствии доступа к нему.
Более подробную информацию по этому поводу можно полу- чить из справки или приведенной ниже статьи TechNet. http://technet.microsoft.com/ru-ru/library/cc732983.aspx.
Ознакомьтесь с этими материалами. Подготовьте ответы на во- просы.
Кто может стать новым владельцем объекта (какие разрешения для этого нужны)?
Как сменить владельца объекта?
Предложите и выполните эксперимент, иллюстрирующий воз- можности владельца файла, отличающие его от других пользователей.
6. Управлять разрешениями на файлы и папки можно не только из графического интерфейса Windows, но и из командной строки. Для этого рекомендуется использовать утилиту icacls.exe (также для сов-
202 местимости поддерживается утилита cacls.exe). С возможностями этой утилиты можно ознакомиться по справке или из статьи TechNet. http://technet.microsoft.com/ru-ru/library/cc753525.aspx.
С помощью утилиты выполните перечисленные ниже действия.
- сохраните текущий ACL выбранного вами файла в текстовый файл;
- предоставьте пользователю Student разрешение на изменение данного файла (modify);
- проверьте работу сделанных настроек;
- восстановите исходный ACL из копии, сделанной в начале вы- полнения задания.
7. При копировании и перемещении файлов на NTFS надо учи- тывать следующее:
- ACL файла или папки (и соответственно, все разрешения) со- храняется при перемещении объекта в пределах одного тома
NTFS;
- при прочих операциях (перемещение между томами или копи- рование в любых вариантах) ACL заменяется на унаследован- ный от нового родительского контейнера.
Предложите и реализуйте эксперимент, позволяющий проверить выполнение этих правил.
5.2. УПРАВЛЕНИЕ ДОСТУПОМ В СУБД SQL SERVER
Цель работы.
Приобретение практических навыков настройки разрешений на доступ к объектам баз данных в среде СУБД Microsoft SQL Server
2008/2012.
Используемые программные средства.
Компьютер или виртуальная машина с установленной ОС се- мейства Windows и СУБД SQL Server. При работе в сети возможно совместное использование одного экземпляра SQL Server. В этом случае на остальных компьютерах должны быть установлены только клиентские компоненты и SQL Server Management Studio. Для выпол-
203 нения работы необходимы права, позволяющие создавать новую базу данных на экземпляре SQL Server.
Теоретические сведения.
Управление разрешениями на объекты реляционной базы дан- ных несколько отличается от аналогичных операций в отношении объектов файловой системы. В данной лабораторной работе на при- мере СУБД SQL Server эти отличия будут показаны.
При работе с разрешениями в SQL Server используется понятие участников (principals), которые могут запрашивать ресурсы SQL
Server, и которым могут предоставляться разрешения на использова- ние таких ресурсов. Выделяются следующие группы участников:
- участники уровня Windows, к которым относятся локальные и доменные учетные записи пользователей и группы;
- участники уровня SQL Server, к которым относятся учетные записи SQL Server и роли уровня сервера;
- участники уровня базы данных — пользователи базы данных и роли уровня базы данных и приложения.
Необходимо отметить, что SQL Server разделяет понятие учет- ной записи (login) и пользователя (user). Сервер может быть сконфи- гурирован на использование только аутентификации Windows (англ.
Windows Authentication Mode, используется по умолчанию) или на использование смешанного режима аутентификации (англ. SQL Server and Windows Authentication mode), см. рис. 5.3. В первом случае login можно создать только для пользователя или группы Windows. Во вто- ром случае также возможно использовать собственные учетные запи- си SQL Server — логин и пароль хранятся самой СУБД, и ее же сред- ствами выполняется проверка подлинности. При использовании сме- шанной аутентификации становится доступной административная учетная запись sa, которую рекомендуется переименовать и назна- чить ей надежный пароль. Учетная запись авторизуется на выполне- ние одной из серверных ролей (табл. 5.1).
204
Рис. 5.3. Окно редактирования настроек безопасности экземпляра SQL Server
Т а б л и ц а 5 . 1
1 ... 13 14 15 16 17 18 19 20 ... 24
Y — мно- жество стратегий «нарушителя», Y = U
{
U
}; H — матрица выиг- рышей. При |X| = m, |Y| = n предлагается использовать матрицу выиг- рышей следующего вида (перед началом строк и над столбцами ука- заны соответствующие элементы множеств X и Y):
0
)
1
(
1
)
1
(
)
1
)(
1
(
)
1
(
1
)
1
(
)
1
(
)
1
(
1
)
1
(
1 1
11 1
1
)
1
(
1
n
m
m
m
n
m
m
m
m
m
n
n
h
h
C
h
h
h
h
h
C
h
h
h
h
h
C
U
U
U
H
,
(4.7) где
ij
h — оценки потерь от реализации «нарушителем» j-й обобщен- ной угрозы в отношении ИС, где реализован i-й проект подсистемы защиты;
i
h — затраты на реализацию i-го проекта. Обе составляющие берутся со знаком минус, т. к. для «защитника» это потери (отрица- тельный выигрыш).
Построенная антагонистическая игра отражает ситуацию наибо- лее пессимистичного прогноза: предполагается, что «нарушитель»
194 всемогущ и имеет цель нанести максимальный вред. Если можно до- стоверно оценить возможности «нарушителя» и ценность для него ре- зультатов атаки на ИС, то предлагается использовать биматричные игровые модели. Биматричная игра определяется следующим обра- зом:
Г = < X, Y, H, H
2
>,
(4.8) где X и Y — множества стратегий игроков I и II, H — матрица выиг- рышей «защитника», H
2
— матрица выигрышей «нарушителя»:
0
0
0
)
1
(
)
1
(
1 1
)
1
)(
1
(
)
1
)(
1
(
1
)
1
(
1
)
1
(
)
1
(
)
1
(
1
)
1
(
1 11 11 1
)
1
(
1 2
n
m
n
m
m
m
n
m
n
m
m
m
m
n
n
n
h
h
h
h
C
h
h
h
h
C
h
h
h
h
C
U
U
U
H
,
(4.9) где
ij
h
— оценка выигрыша «нарушителя» от реализации j-й угрозы в отношении ИС, где реализован i-й проект;
ij
h
— оценка затрат
«нарушителя» на реализацию этой угрозы. Для угроз, источниками которых являются случайные события (например, сбой оборудова- ния), принимаем
ij
h
= 0, а
ij
h
равным по модулю соответствующему элементу матрицы выигрышей игрока I. Нули в последнем столбце матрицы H
2
соответствуют отказу от атаки на ИС. Данная модель от- ражает менее пессимистичный прогноз, основанный на наличии неко- торых дополнительных знаний о «нарушителе».
Если для построенной игры существует решение в чистых стра- тегиях, то это указывает наиболее предпочтительный проект (или проекты) подсистемы защиты. Значение игры покажет максимальные ожидаемые потери при реализации наилучшего проекта. Если реше- ние существует только в смешанных стратегиях, оно нуждается в до- полнительной интерпретации: в реальной ИС невозможно поочередно использовать различные проекты защиты, как это предполагается определением смешанной стратегии. В этом случае можно отобрать проекты, попавшие в спектр оптимальной стратегии, и попытаться
195 сформировать компромиссный вариант, объединяющий их сильные стороны.
Достоинством подобной игровой модели
«защитник- нарушитель» является то, что она позволяет учесть не только стои- мость, но и особенности внедряемого проекта (через изменение оце- нок ожидаемых потерь).
5. ПРАКТИКУМ ПО ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ
5.1. УПРАВЛЕНИЕ ДОСТУПОМ К ФАЙЛАМ НА NTFS
Цель работы.
Приобретение практических навыков настройки разрешений на доступ к файлам в операционных системах семейства Windows.
Используемые программные средства.
Компьютер или виртуальная машина с установленной ОС Win- dows 7 или Windows Server 2008. Для выполнения работы необходи- мы права администратора.
Теоретические сведения.
Операционные системы семейства Windows NT, в которое вхо- дят и Windows 7 и 8, обладают достаточно развитыми встроенными механизмами защиты информации. При соответствующей настройке они могут быть эффективно использованы для достижения различных целей безопасности.
Задачи аутентификации пользователей и разграничения доступа к данным взаимосвязаны: эффективного разграничения доступа не может быть без надежной аутентификации. ОС Windows позволяет создавать учетные записи пользователей и группы в локальной базе безопасности, а если компьютер включен в домен, то появляется воз- можность использовать и доменные учетные записи и группы, кото- рые хранятся в базе Active Directory.
196
Допустим, компьютер с именем COMP1 включен в домен
KAFEDRA
. Тогда полное имя учетной записи User, если она является локальной, будет COMP1\User, если доменной — KAFEDRA\User.
Начиная с Windows 2000, стал поддерживаться и формат, разделяю- щий имя пользователя и полное имя домена символом «@». Пусть полное имя домена будет KAFEDRA.mydomain.ru, тогда имя поль- зователя может быть записано как User@KAFEDRA.mydomain.ru.
В ОС Windows имена пользователей и доменов не чувствительны к регистру: имена учетной записи user, User и USER будут равно- значны. Значение пароля чувствительно к регистру.
Пользователи, группы пользователей и компьютеры в домене
Windows имеют уникальные идентификаторы безопасности — SID
(Security ID). SID имеет уникальное значение в пределах домена и формируется во время создания пользователя или группы, либо когда компьютер регистрируется в домене. SID сохранится и в том случае, если учетную запись переименовать. Вместе с ним сохранятся и все назначенные разрешения (см. далее). А вот удаление учетной записи и создание новой с тем же именем приведет к изменению SID.
Когда пользователь при входе в систему вводит имя и пароль,
ОС выполняет проверку правильности пароля и, если она проходит, создает маркер доступа для пользователя. Маркер включает в себя
SID пользователя и все SID’ы групп, в которые данный пользователь входит.
Для объектов, подлежащих защите, таких как файлы и папки, создается дескриптор безопасности. С ним связывается список управ- ления доступом (англ. Access Control List — ACL), который содержит информацию о том, каким субъектам даны те или иные права на до- ступ к данному объекту. Чтобы определить, можно ли предоставить запрашиваемый субъектом тип доступа к объекту, ОС сравнивает SID в маркере доступа субъекта с идентификаторами, содержащимися в
ACL.
197
Для каждого из предусмотренных типов доступа к файлу или папке (чтение, запись и т. д.) пользователю или группе может быть установлено «разрешить» (англ. allow), «запретить» (англ. deny) или разрешение может быть не установлено. Разрешения суммируются.
Например, если у пользователя есть право на чтение, а у группы, куда он входит — на запись, то действующее (или эффективное) разреше- ние будет включать чтение и запись. Явное запрещение (deny) более приоритетно, чем аналогичное разрешение: например, если у пользо- вателя есть разрешение на операцию, а одной из групп, в которые он входит, эта операция явно запрещена, пользователю эту операцию выполнить будет нельзя. Выполнить действие можно только в том случае, если оно разрешено, то есть отсутствие разрешения в итого- вом («эффективном») наборе разрешений пользователя приведет к тому, что он не сможет выполнить соответствующее действие.
Если говорить о файлах и папках, то механизмы защиты на уровне файловой системы поддерживаются только на дисках с фай- ловой системой NTFS. Файловая система FAT (и ее разновидность —
FAT32) не предполагает наличия атрибутов безопасности файла или связанного с файлом ACL. Соответственно, нельзя установить разре- шения на файл или папку, находящуюся на диске с FAT.
План лабораторной работы.
Лабораторная работа выполняется под учетной записью, обла- дающей правами локального администратора на компьютерах в учеб- ном классе. Упражнения выполняются на диске с файловой системой
NTFS.
1. В указанном преподавателем каталоге («папке») на локальном диске или диске виртуальной машины создайте новый каталог для выполнения данной лабораторной работы. Там создайте текстовый файл с произвольным содержанием. Просмотрите его разрешения на вкладке «Безопасность» (англ. Security) в свойствах файла (щелчок правой клавишей мыши на файле, в выпадающем меню — «Свой-
198 ства», англ. Properties). Вы увидите картинку, аналогичную представ- ленной на рис. 5.1.
Рис. 5.1. Закладка «Безопасность» в свойствах файла
Обратите внимание, что сначала в списке могут появляться но- мера, потом они заменяются именами пользователей и групп. Эти но- мера и есть идентификаторы SID, которые затем, если это возможно, разрешаются в имена. На рис. 5.1 в ACL находится идентификатор удаленной учетной записи, который не может быть разрешен в имя пользователя (англ. Account Unknown — неизвестная учетная запись).
Проанализируйте текущие разрешения на созданный вами файл, имеющиеся у различных групп и пользователей. Эти разрешения уна- следованы вашим файлом от объекта более высокого уровня, то есть от каталога, в котором он находится. Убедитесь в этом.
199
Для редактирования ACL нажмите кнопку Edit. Попробуйте вы- полнить следующие действия:
- добавить в ACL новую учетную запись, дав ей разрешения на изменение файла (англ. Modify);
- убрать группу Users из списка доступа на свой файл.
В связи с тем, что используется наследуемый ACL, вторую часть задания выполнить сразу не удастся: сначала нужно создать для объ- екта собственный ACL. Для этого нажмите кнопку Advanced (рис. 5.1) и в появившемся окне Advanced Security Settings (Дополнительные параметры безопасности) — кнопку Change Permissions (Изменить разрешения). Отказаться от использования наследуемых разрешений можно, убрав отметку Include inheritable permissions from this object’s parent (переносить наследуемые от родительского объекта разреше- ния на этот объект), см. рис. 5.2. При этом будет предложено доба- вить в собственный ACL объекта разрешения из родительского спис- ка (англ. Add) или полностью убрать их (англ. Remove). Лучше вы- брать первый вариант, а потом уже отредактировать список так, как нужно.
Рис. 5.2. Окно редактирования разрешений
200
Убрав группу Users (Пользователи) из ACL вашего файла, по- пробуйте открыть его от имени другой учетной записи, не имеющей явных разрешений и не входящей ни в одну из оставшихся в ACL групп (при необходимости создайте такую учетную запись). Если все сделано правильно, зайдя под подобной учетной записью Вы не полу- чите доступа к файлу.
По умолчанию, локальная группа Users (Пользователи) включа- ет всех локальных и доменных пользователей (если компьютер вхо- дит в домен Windows). Ознакомьтесь по справке или указанной ниже статье TechNet с другими стандартными локальными группами. http://technet.microsoft.com/ru-ru/library/cc771990.aspx.
2. По справке или статье http://technet.microsoft.com/ru- ru/library/cc732880.aspx ознакомьтесь с разрешениями, которые мож- но давать на папку или файл в Windows. Подготовьте ответы на при- веденные ниже вопросы.
Как можно просмотреть набор элементарных разрешений (из которых составлено, например, разрешение «изменить»), имеющихся у пользователя на файл или папку?
Чем составное разрешение «Изменить» (Modify) отличается от разрешения «Полный доступ» (Full Control)?
Дает ли разрешение на запись в папку право просматривать ее содержимое?
3. Эффективные или действующие разрешения (Effective Permis- sions) — это итоговые разрешения, складывающиеся из разрешений, данных пользователю и группам, которые и определяют, можно или нельзя данному субъекту получить доступ к данному объекту. Для выбранной учетной записи их можно узнать на вкладке Effective Per- missions окна Advanced Security Settings, которое мы уже использова- ли при выполнении задания 1. Посмотрите действующие разрешения на ваш файл для одной из существующих учетных записей.
Чтобы лучше разобраться правилами назначения разрешений, выполните приведенные ниже задания.
201
При необходимости создайте локальную группу (назовем ее
Students) и включенную в нее учетную запись (Student). Можно вос- пользоваться уже существующей записью. Группе Students дайте раз- решение на чтение созданного вами файла. Проверьте, чтобы пользо- ватель Student отсутствовал в перечне разрешений на файл. Зайдите под этой учетной записью. Может ли данный пользователь прочитать файл?
Повторите эксперимент, дополнительно указав на вкладке «Без- опасность», что пользователю Student запрещено чтение файла. Смо- жет ли пользователь прочитать файл или нет? Ведь, с одной стороны, он в группе, которой разрешено чтение, с другой стороны — ему са- мому чтение запрещено.
4. Посмотрите разрешения на папку Program Files. Опишите в отчете, каким группам какие разрешения даются на эту папку, куда по умолчанию устанавливаются программы.
5. У объектов файловой системы, таких как файлы, папки и то- ма, есть владельцы. По умолчанию владельцем объекта становится его создатель. Владелец всегда может изменять разрешения для объ- екта, даже при отсутствии доступа к нему.
Более подробную информацию по этому поводу можно полу- чить из справки или приведенной ниже статьи TechNet. http://technet.microsoft.com/ru-ru/library/cc732983.aspx.
Ознакомьтесь с этими материалами. Подготовьте ответы на во- просы.
Кто может стать новым владельцем объекта (какие разрешения для этого нужны)?
Как сменить владельца объекта?
Предложите и выполните эксперимент, иллюстрирующий воз- можности владельца файла, отличающие его от других пользователей.
6. Управлять разрешениями на файлы и папки можно не только из графического интерфейса Windows, но и из командной строки. Для этого рекомендуется использовать утилиту icacls.exe (также для сов-
202 местимости поддерживается утилита cacls.exe). С возможностями этой утилиты можно ознакомиться по справке или из статьи TechNet. http://technet.microsoft.com/ru-ru/library/cc753525.aspx.
С помощью утилиты выполните перечисленные ниже действия.
- сохраните текущий ACL выбранного вами файла в текстовый файл;
- предоставьте пользователю Student разрешение на изменение данного файла (modify);
- проверьте работу сделанных настроек;
- восстановите исходный ACL из копии, сделанной в начале вы- полнения задания.
7. При копировании и перемещении файлов на NTFS надо учи- тывать следующее:
- ACL файла или папки (и соответственно, все разрешения) со- храняется при перемещении объекта в пределах одного тома
NTFS;
- при прочих операциях (перемещение между томами или копи- рование в любых вариантах) ACL заменяется на унаследован- ный от нового родительского контейнера.
Предложите и реализуйте эксперимент, позволяющий проверить выполнение этих правил.
5.2. УПРАВЛЕНИЕ ДОСТУПОМ В СУБД SQL SERVER
Цель работы.
Приобретение практических навыков настройки разрешений на доступ к объектам баз данных в среде СУБД Microsoft SQL Server
2008/2012.
Используемые программные средства.
Компьютер или виртуальная машина с установленной ОС се- мейства Windows и СУБД SQL Server. При работе в сети возможно совместное использование одного экземпляра SQL Server. В этом случае на остальных компьютерах должны быть установлены только клиентские компоненты и SQL Server Management Studio. Для выпол-
203 нения работы необходимы права, позволяющие создавать новую базу данных на экземпляре SQL Server.
Теоретические сведения.
Управление разрешениями на объекты реляционной базы дан- ных несколько отличается от аналогичных операций в отношении объектов файловой системы. В данной лабораторной работе на при- мере СУБД SQL Server эти отличия будут показаны.
При работе с разрешениями в SQL Server используется понятие участников (principals), которые могут запрашивать ресурсы SQL
Server, и которым могут предоставляться разрешения на использова- ние таких ресурсов. Выделяются следующие группы участников:
- участники уровня Windows, к которым относятся локальные и доменные учетные записи пользователей и группы;
- участники уровня SQL Server, к которым относятся учетные записи SQL Server и роли уровня сервера;
- участники уровня базы данных — пользователи базы данных и роли уровня базы данных и приложения.
Необходимо отметить, что SQL Server разделяет понятие учет- ной записи (login) и пользователя (user). Сервер может быть сконфи- гурирован на использование только аутентификации Windows (англ.
Windows Authentication Mode, используется по умолчанию) или на использование смешанного режима аутентификации (англ. SQL Server and Windows Authentication mode), см. рис. 5.3. В первом случае login можно создать только для пользователя или группы Windows. Во вто- ром случае также возможно использовать собственные учетные запи- си SQL Server — логин и пароль хранятся самой СУБД, и ее же сред- ствами выполняется проверка подлинности. При использовании сме- шанной аутентификации становится доступной административная учетная запись sa, которую рекомендуется переименовать и назна- чить ей надежный пароль. Учетная запись авторизуется на выполне- ние одной из серверных ролей (табл. 5.1).
204
Рис. 5.3. Окно редактирования настроек безопасности экземпляра SQL Server
Т а б л и ц а 5 . 1
1 ... 13 14 15 16 17 18 19 20 ... 24
Y — мно- жество стратегий «нарушителя», Y = U
{
U
}; H — матрица выиг- рышей. При |X| = m, |Y| = n предлагается использовать матрицу выиг- рышей следующего вида (перед началом строк и над столбцами ука- заны соответствующие элементы множеств X и Y):
0
)
1
(
1
)
1
(
)
1
)(
1
(
)
1
(
1
)
1
(
)
1
(
)
1
(
1
)
1
(
1 1
11 1
1
)
1
(
1
n
m
m
m
n
m
m
m
m
m
n
n
h
h
C
h
h
h
h
h
C
h
h
h
h
h
C
U
U
U
H
,
(4.7) где
ij
h — оценки потерь от реализации «нарушителем» j-й обобщен- ной угрозы в отношении ИС, где реализован i-й проект подсистемы защиты;
i
h — затраты на реализацию i-го проекта. Обе составляющие берутся со знаком минус, т. к. для «защитника» это потери (отрица- тельный выигрыш).
Построенная антагонистическая игра отражает ситуацию наибо- лее пессимистичного прогноза: предполагается, что «нарушитель»
194 всемогущ и имеет цель нанести максимальный вред. Если можно до- стоверно оценить возможности «нарушителя» и ценность для него ре- зультатов атаки на ИС, то предлагается использовать биматричные игровые модели. Биматричная игра определяется следующим обра- зом:
Г = < X, Y, H, H
2
>,
(4.8) где X и Y — множества стратегий игроков I и II, H — матрица выиг- рышей «защитника», H
2
— матрица выигрышей «нарушителя»:
0
0
0
)
1
(
)
1
(
1 1
)
1
)(
1
(
)
1
)(
1
(
1
)
1
(
1
)
1
(
)
1
(
)
1
(
1
)
1
(
1 11 11 1
)
1
(
1 2
n
m
n
m
m
m
n
m
n
m
m
m
m
n
n
n
h
h
h
h
C
h
h
h
h
C
h
h
h
h
C
U
U
U
H
,
(4.9) где
ij
h
— оценка выигрыша «нарушителя» от реализации j-й угрозы в отношении ИС, где реализован i-й проект;
ij
h
— оценка затрат
«нарушителя» на реализацию этой угрозы. Для угроз, источниками которых являются случайные события (например, сбой оборудова- ния), принимаем
ij
h
= 0, а
ij
h
равным по модулю соответствующему элементу матрицы выигрышей игрока I. Нули в последнем столбце матрицы H
2
соответствуют отказу от атаки на ИС. Данная модель от- ражает менее пессимистичный прогноз, основанный на наличии неко- торых дополнительных знаний о «нарушителе».
Если для построенной игры существует решение в чистых стра- тегиях, то это указывает наиболее предпочтительный проект (или проекты) подсистемы защиты. Значение игры покажет максимальные ожидаемые потери при реализации наилучшего проекта. Если реше- ние существует только в смешанных стратегиях, оно нуждается в до- полнительной интерпретации: в реальной ИС невозможно поочередно использовать различные проекты защиты, как это предполагается определением смешанной стратегии. В этом случае можно отобрать проекты, попавшие в спектр оптимальной стратегии, и попытаться
195 сформировать компромиссный вариант, объединяющий их сильные стороны.
Достоинством подобной игровой модели
«защитник- нарушитель» является то, что она позволяет учесть не только стои- мость, но и особенности внедряемого проекта (через изменение оце- нок ожидаемых потерь).
5. ПРАКТИКУМ ПО ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ
5.1. УПРАВЛЕНИЕ ДОСТУПОМ К ФАЙЛАМ НА NTFS
Цель работы.
Приобретение практических навыков настройки разрешений на доступ к файлам в операционных системах семейства Windows.
Используемые программные средства.
Компьютер или виртуальная машина с установленной ОС Win- dows 7 или Windows Server 2008. Для выполнения работы необходи- мы права администратора.
Теоретические сведения.
Операционные системы семейства Windows NT, в которое вхо- дят и Windows 7 и 8, обладают достаточно развитыми встроенными механизмами защиты информации. При соответствующей настройке они могут быть эффективно использованы для достижения различных целей безопасности.
Задачи аутентификации пользователей и разграничения доступа к данным взаимосвязаны: эффективного разграничения доступа не может быть без надежной аутентификации. ОС Windows позволяет создавать учетные записи пользователей и группы в локальной базе безопасности, а если компьютер включен в домен, то появляется воз- можность использовать и доменные учетные записи и группы, кото- рые хранятся в базе Active Directory.
196
Допустим, компьютер с именем COMP1 включен в домен
KAFEDRA
. Тогда полное имя учетной записи User, если она является локальной, будет COMP1\User, если доменной — KAFEDRA\User.
Начиная с Windows 2000, стал поддерживаться и формат, разделяю- щий имя пользователя и полное имя домена символом «@». Пусть полное имя домена будет KAFEDRA.mydomain.ru, тогда имя поль- зователя может быть записано как User@KAFEDRA.mydomain.ru.
В ОС Windows имена пользователей и доменов не чувствительны к регистру: имена учетной записи user, User и USER будут равно- значны. Значение пароля чувствительно к регистру.
Пользователи, группы пользователей и компьютеры в домене
Windows имеют уникальные идентификаторы безопасности — SID
(Security ID). SID имеет уникальное значение в пределах домена и формируется во время создания пользователя или группы, либо когда компьютер регистрируется в домене. SID сохранится и в том случае, если учетную запись переименовать. Вместе с ним сохранятся и все назначенные разрешения (см. далее). А вот удаление учетной записи и создание новой с тем же именем приведет к изменению SID.
Когда пользователь при входе в систему вводит имя и пароль,
ОС выполняет проверку правильности пароля и, если она проходит, создает маркер доступа для пользователя. Маркер включает в себя
SID пользователя и все SID’ы групп, в которые данный пользователь входит.
Для объектов, подлежащих защите, таких как файлы и папки, создается дескриптор безопасности. С ним связывается список управ- ления доступом (англ. Access Control List — ACL), который содержит информацию о том, каким субъектам даны те или иные права на до- ступ к данному объекту. Чтобы определить, можно ли предоставить запрашиваемый субъектом тип доступа к объекту, ОС сравнивает SID в маркере доступа субъекта с идентификаторами, содержащимися в
ACL.
197
Для каждого из предусмотренных типов доступа к файлу или папке (чтение, запись и т. д.) пользователю или группе может быть установлено «разрешить» (англ. allow), «запретить» (англ. deny) или разрешение может быть не установлено. Разрешения суммируются.
Например, если у пользователя есть право на чтение, а у группы, куда он входит — на запись, то действующее (или эффективное) разреше- ние будет включать чтение и запись. Явное запрещение (deny) более приоритетно, чем аналогичное разрешение: например, если у пользо- вателя есть разрешение на операцию, а одной из групп, в которые он входит, эта операция явно запрещена, пользователю эту операцию выполнить будет нельзя. Выполнить действие можно только в том случае, если оно разрешено, то есть отсутствие разрешения в итого- вом («эффективном») наборе разрешений пользователя приведет к тому, что он не сможет выполнить соответствующее действие.
Если говорить о файлах и папках, то механизмы защиты на уровне файловой системы поддерживаются только на дисках с фай- ловой системой NTFS. Файловая система FAT (и ее разновидность —
FAT32) не предполагает наличия атрибутов безопасности файла или связанного с файлом ACL. Соответственно, нельзя установить разре- шения на файл или папку, находящуюся на диске с FAT.
План лабораторной работы.
Лабораторная работа выполняется под учетной записью, обла- дающей правами локального администратора на компьютерах в учеб- ном классе. Упражнения выполняются на диске с файловой системой
NTFS.
1. В указанном преподавателем каталоге («папке») на локальном диске или диске виртуальной машины создайте новый каталог для выполнения данной лабораторной работы. Там создайте текстовый файл с произвольным содержанием. Просмотрите его разрешения на вкладке «Безопасность» (англ. Security) в свойствах файла (щелчок правой клавишей мыши на файле, в выпадающем меню — «Свой-
198 ства», англ. Properties). Вы увидите картинку, аналогичную представ- ленной на рис. 5.1.
Рис. 5.1. Закладка «Безопасность» в свойствах файла
Обратите внимание, что сначала в списке могут появляться но- мера, потом они заменяются именами пользователей и групп. Эти но- мера и есть идентификаторы SID, которые затем, если это возможно, разрешаются в имена. На рис. 5.1 в ACL находится идентификатор удаленной учетной записи, который не может быть разрешен в имя пользователя (англ. Account Unknown — неизвестная учетная запись).
Проанализируйте текущие разрешения на созданный вами файл, имеющиеся у различных групп и пользователей. Эти разрешения уна- следованы вашим файлом от объекта более высокого уровня, то есть от каталога, в котором он находится. Убедитесь в этом.
199
Для редактирования ACL нажмите кнопку Edit. Попробуйте вы- полнить следующие действия:
- добавить в ACL новую учетную запись, дав ей разрешения на изменение файла (англ. Modify);
- убрать группу Users из списка доступа на свой файл.
В связи с тем, что используется наследуемый ACL, вторую часть задания выполнить сразу не удастся: сначала нужно создать для объ- екта собственный ACL. Для этого нажмите кнопку Advanced (рис. 5.1) и в появившемся окне Advanced Security Settings (Дополнительные параметры безопасности) — кнопку Change Permissions (Изменить разрешения). Отказаться от использования наследуемых разрешений можно, убрав отметку Include inheritable permissions from this object’s parent (переносить наследуемые от родительского объекта разреше- ния на этот объект), см. рис. 5.2. При этом будет предложено доба- вить в собственный ACL объекта разрешения из родительского спис- ка (англ. Add) или полностью убрать их (англ. Remove). Лучше вы- брать первый вариант, а потом уже отредактировать список так, как нужно.
Рис. 5.2. Окно редактирования разрешений
200
Убрав группу Users (Пользователи) из ACL вашего файла, по- пробуйте открыть его от имени другой учетной записи, не имеющей явных разрешений и не входящей ни в одну из оставшихся в ACL групп (при необходимости создайте такую учетную запись). Если все сделано правильно, зайдя под подобной учетной записью Вы не полу- чите доступа к файлу.
По умолчанию, локальная группа Users (Пользователи) включа- ет всех локальных и доменных пользователей (если компьютер вхо- дит в домен Windows). Ознакомьтесь по справке или указанной ниже статье TechNet с другими стандартными локальными группами. http://technet.microsoft.com/ru-ru/library/cc771990.aspx.
2. По справке или статье http://technet.microsoft.com/ru- ru/library/cc732880.aspx ознакомьтесь с разрешениями, которые мож- но давать на папку или файл в Windows. Подготовьте ответы на при- веденные ниже вопросы.
Как можно просмотреть набор элементарных разрешений (из которых составлено, например, разрешение «изменить»), имеющихся у пользователя на файл или папку?
Чем составное разрешение «Изменить» (Modify) отличается от разрешения «Полный доступ» (Full Control)?
Дает ли разрешение на запись в папку право просматривать ее содержимое?
3. Эффективные или действующие разрешения (Effective Permis- sions) — это итоговые разрешения, складывающиеся из разрешений, данных пользователю и группам, которые и определяют, можно или нельзя данному субъекту получить доступ к данному объекту. Для выбранной учетной записи их можно узнать на вкладке Effective Per- missions окна Advanced Security Settings, которое мы уже использова- ли при выполнении задания 1. Посмотрите действующие разрешения на ваш файл для одной из существующих учетных записей.
Чтобы лучше разобраться правилами назначения разрешений, выполните приведенные ниже задания.
201
При необходимости создайте локальную группу (назовем ее
Students) и включенную в нее учетную запись (Student). Можно вос- пользоваться уже существующей записью. Группе Students дайте раз- решение на чтение созданного вами файла. Проверьте, чтобы пользо- ватель Student отсутствовал в перечне разрешений на файл. Зайдите под этой учетной записью. Может ли данный пользователь прочитать файл?
Повторите эксперимент, дополнительно указав на вкладке «Без- опасность», что пользователю Student запрещено чтение файла. Смо- жет ли пользователь прочитать файл или нет? Ведь, с одной стороны, он в группе, которой разрешено чтение, с другой стороны — ему са- мому чтение запрещено.
4. Посмотрите разрешения на папку Program Files. Опишите в отчете, каким группам какие разрешения даются на эту папку, куда по умолчанию устанавливаются программы.
5. У объектов файловой системы, таких как файлы, папки и то- ма, есть владельцы. По умолчанию владельцем объекта становится его создатель. Владелец всегда может изменять разрешения для объ- екта, даже при отсутствии доступа к нему.
Более подробную информацию по этому поводу можно полу- чить из справки или приведенной ниже статьи TechNet. http://technet.microsoft.com/ru-ru/library/cc732983.aspx.
Ознакомьтесь с этими материалами. Подготовьте ответы на во- просы.
Кто может стать новым владельцем объекта (какие разрешения для этого нужны)?
Как сменить владельца объекта?
Предложите и выполните эксперимент, иллюстрирующий воз- можности владельца файла, отличающие его от других пользователей.
6. Управлять разрешениями на файлы и папки можно не только из графического интерфейса Windows, но и из командной строки. Для этого рекомендуется использовать утилиту icacls.exe (также для сов-
202 местимости поддерживается утилита cacls.exe). С возможностями этой утилиты можно ознакомиться по справке или из статьи TechNet. http://technet.microsoft.com/ru-ru/library/cc753525.aspx.
С помощью утилиты выполните перечисленные ниже действия.
- сохраните текущий ACL выбранного вами файла в текстовый файл;
- предоставьте пользователю Student разрешение на изменение данного файла (modify);
- проверьте работу сделанных настроек;
- восстановите исходный ACL из копии, сделанной в начале вы- полнения задания.
7. При копировании и перемещении файлов на NTFS надо учи- тывать следующее:
- ACL файла или папки (и соответственно, все разрешения) со- храняется при перемещении объекта в пределах одного тома
NTFS;
- при прочих операциях (перемещение между томами или копи- рование в любых вариантах) ACL заменяется на унаследован- ный от нового родительского контейнера.
Предложите и реализуйте эксперимент, позволяющий проверить выполнение этих правил.
5.2. УПРАВЛЕНИЕ ДОСТУПОМ В СУБД SQL SERVER
Цель работы.
Приобретение практических навыков настройки разрешений на доступ к объектам баз данных в среде СУБД Microsoft SQL Server
2008/2012.
Используемые программные средства.
Компьютер или виртуальная машина с установленной ОС се- мейства Windows и СУБД SQL Server. При работе в сети возможно совместное использование одного экземпляра SQL Server. В этом случае на остальных компьютерах должны быть установлены только клиентские компоненты и SQL Server Management Studio. Для выпол-
203 нения работы необходимы права, позволяющие создавать новую базу данных на экземпляре SQL Server.
Теоретические сведения.
Управление разрешениями на объекты реляционной базы дан- ных несколько отличается от аналогичных операций в отношении объектов файловой системы. В данной лабораторной работе на при- мере СУБД SQL Server эти отличия будут показаны.
При работе с разрешениями в SQL Server используется понятие участников (principals), которые могут запрашивать ресурсы SQL
Server, и которым могут предоставляться разрешения на использова- ние таких ресурсов. Выделяются следующие группы участников:
- участники уровня Windows, к которым относятся локальные и доменные учетные записи пользователей и группы;
- участники уровня SQL Server, к которым относятся учетные записи SQL Server и роли уровня сервера;
- участники уровня базы данных — пользователи базы данных и роли уровня базы данных и приложения.
Необходимо отметить, что SQL Server разделяет понятие учет- ной записи (login) и пользователя (user). Сервер может быть сконфи- гурирован на использование только аутентификации Windows (англ.
Windows Authentication Mode, используется по умолчанию) или на использование смешанного режима аутентификации (англ. SQL Server and Windows Authentication mode), см. рис. 5.3. В первом случае login можно создать только для пользователя или группы Windows. Во вто- ром случае также возможно использовать собственные учетные запи- си SQL Server — логин и пароль хранятся самой СУБД, и ее же сред- ствами выполняется проверка подлинности. При использовании сме- шанной аутентификации становится доступной административная учетная запись sa, которую рекомендуется переименовать и назна- чить ей надежный пароль. Учетная запись авторизуется на выполне- ние одной из серверных ролей (табл. 5.1).
204
Рис. 5.3. Окно редактирования настроек безопасности экземпляра SQL Server
Т а б л и ц а 5 . 1
1 ... 13 14 15 16 17 18 19 20 ... 24
{
U
}; H — матрица выиг- рышей. При |X| = m, |Y| = n предлагается использовать матрицу выиг- рышей следующего вида (перед началом строк и над столбцами ука- заны соответствующие элементы множеств X и Y):
0
)
1
(
1
)
1
(
)
1
)(
1
(
)
1
(
1
)
1
(
)
1
(
)
1
(
1
)
1
(
1 1
11 1
1
)
1
(
1
n
m
m
m
n
m
m
m
m
m
n
n
h
h
C
h
h
h
h
h
C
h
h
h
h
h
C
U
U
U
H
,
(4.7) где
ij
h — оценки потерь от реализации «нарушителем» j-й обобщен- ной угрозы в отношении ИС, где реализован i-й проект подсистемы защиты;
i
h — затраты на реализацию i-го проекта. Обе составляющие берутся со знаком минус, т. к. для «защитника» это потери (отрица- тельный выигрыш).
Построенная антагонистическая игра отражает ситуацию наибо- лее пессимистичного прогноза: предполагается, что «нарушитель»
194 всемогущ и имеет цель нанести максимальный вред. Если можно до- стоверно оценить возможности «нарушителя» и ценность для него ре- зультатов атаки на ИС, то предлагается использовать биматричные игровые модели. Биматричная игра определяется следующим обра- зом:
Г = < X, Y, H, H
2
>,
(4.8) где X и Y — множества стратегий игроков I и II, H — матрица выиг- рышей «защитника», H
2
— матрица выигрышей «нарушителя»:
0
0
0
)
1
(
)
1
(
1 1
)
1
)(
1
(
)
1
)(
1
(
1
)
1
(
1
)
1
(
)
1
(
)
1
(
1
)
1
(
1 11 11 1
)
1
(
1 2
n
m
n
m
m
m
n
m
n
m
m
m
m
n
n
n
h
h
h
h
C
h
h
h
h
C
h
h
h
h
C
U
U
U
H
,
(4.9) где
ij
h
— оценка выигрыша «нарушителя» от реализации j-й угрозы в отношении ИС, где реализован i-й проект;
ij
h
— оценка затрат
«нарушителя» на реализацию этой угрозы. Для угроз, источниками которых являются случайные события (например, сбой оборудова- ния), принимаем
ij
h
= 0, а
ij
h
равным по модулю соответствующему элементу матрицы выигрышей игрока I. Нули в последнем столбце матрицы H
2
соответствуют отказу от атаки на ИС. Данная модель от- ражает менее пессимистичный прогноз, основанный на наличии неко- торых дополнительных знаний о «нарушителе».
Если для построенной игры существует решение в чистых стра- тегиях, то это указывает наиболее предпочтительный проект (или проекты) подсистемы защиты. Значение игры покажет максимальные ожидаемые потери при реализации наилучшего проекта. Если реше- ние существует только в смешанных стратегиях, оно нуждается в до- полнительной интерпретации: в реальной ИС невозможно поочередно использовать различные проекты защиты, как это предполагается определением смешанной стратегии. В этом случае можно отобрать проекты, попавшие в спектр оптимальной стратегии, и попытаться
195 сформировать компромиссный вариант, объединяющий их сильные стороны.
Достоинством подобной игровой модели
«защитник- нарушитель» является то, что она позволяет учесть не только стои- мость, но и особенности внедряемого проекта (через изменение оце- нок ожидаемых потерь).
5. ПРАКТИКУМ ПО ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ
5.1. УПРАВЛЕНИЕ ДОСТУПОМ К ФАЙЛАМ НА NTFS
Цель работы.
Приобретение практических навыков настройки разрешений на доступ к файлам в операционных системах семейства Windows.
Используемые программные средства.
Компьютер или виртуальная машина с установленной ОС Win- dows 7 или Windows Server 2008. Для выполнения работы необходи- мы права администратора.
Теоретические сведения.
Операционные системы семейства Windows NT, в которое вхо- дят и Windows 7 и 8, обладают достаточно развитыми встроенными механизмами защиты информации. При соответствующей настройке они могут быть эффективно использованы для достижения различных целей безопасности.
Задачи аутентификации пользователей и разграничения доступа к данным взаимосвязаны: эффективного разграничения доступа не может быть без надежной аутентификации. ОС Windows позволяет создавать учетные записи пользователей и группы в локальной базе безопасности, а если компьютер включен в домен, то появляется воз- можность использовать и доменные учетные записи и группы, кото- рые хранятся в базе Active Directory.
196
Допустим, компьютер с именем COMP1 включен в домен
KAFEDRA
. Тогда полное имя учетной записи User, если она является локальной, будет COMP1\User, если доменной — KAFEDRA\User.
Начиная с Windows 2000, стал поддерживаться и формат, разделяю- щий имя пользователя и полное имя домена символом «@». Пусть полное имя домена будет KAFEDRA.mydomain.ru, тогда имя поль- зователя может быть записано как User@KAFEDRA.mydomain.ru.
В ОС Windows имена пользователей и доменов не чувствительны к регистру: имена учетной записи user, User и USER будут равно- значны. Значение пароля чувствительно к регистру.
Пользователи, группы пользователей и компьютеры в домене
Windows имеют уникальные идентификаторы безопасности — SID
(Security ID). SID имеет уникальное значение в пределах домена и формируется во время создания пользователя или группы, либо когда компьютер регистрируется в домене. SID сохранится и в том случае, если учетную запись переименовать. Вместе с ним сохранятся и все назначенные разрешения (см. далее). А вот удаление учетной записи и создание новой с тем же именем приведет к изменению SID.
Когда пользователь при входе в систему вводит имя и пароль,
ОС выполняет проверку правильности пароля и, если она проходит, создает маркер доступа для пользователя. Маркер включает в себя
SID пользователя и все SID’ы групп, в которые данный пользователь входит.
Для объектов, подлежащих защите, таких как файлы и папки, создается дескриптор безопасности. С ним связывается список управ- ления доступом (англ. Access Control List — ACL), который содержит информацию о том, каким субъектам даны те или иные права на до- ступ к данному объекту. Чтобы определить, можно ли предоставить запрашиваемый субъектом тип доступа к объекту, ОС сравнивает SID в маркере доступа субъекта с идентификаторами, содержащимися в
ACL.
197
Для каждого из предусмотренных типов доступа к файлу или папке (чтение, запись и т. д.) пользователю или группе может быть установлено «разрешить» (англ. allow), «запретить» (англ. deny) или разрешение может быть не установлено. Разрешения суммируются.
Например, если у пользователя есть право на чтение, а у группы, куда он входит — на запись, то действующее (или эффективное) разреше- ние будет включать чтение и запись. Явное запрещение (deny) более приоритетно, чем аналогичное разрешение: например, если у пользо- вателя есть разрешение на операцию, а одной из групп, в которые он входит, эта операция явно запрещена, пользователю эту операцию выполнить будет нельзя. Выполнить действие можно только в том случае, если оно разрешено, то есть отсутствие разрешения в итого- вом («эффективном») наборе разрешений пользователя приведет к тому, что он не сможет выполнить соответствующее действие.
Если говорить о файлах и папках, то механизмы защиты на уровне файловой системы поддерживаются только на дисках с фай- ловой системой NTFS. Файловая система FAT (и ее разновидность —
FAT32) не предполагает наличия атрибутов безопасности файла или связанного с файлом ACL. Соответственно, нельзя установить разре- шения на файл или папку, находящуюся на диске с FAT.
План лабораторной работы.
Лабораторная работа выполняется под учетной записью, обла- дающей правами локального администратора на компьютерах в учеб- ном классе. Упражнения выполняются на диске с файловой системой
NTFS.
1. В указанном преподавателем каталоге («папке») на локальном диске или диске виртуальной машины создайте новый каталог для выполнения данной лабораторной работы. Там создайте текстовый файл с произвольным содержанием. Просмотрите его разрешения на вкладке «Безопасность» (англ. Security) в свойствах файла (щелчок правой клавишей мыши на файле, в выпадающем меню — «Свой-
198 ства», англ. Properties). Вы увидите картинку, аналогичную представ- ленной на рис. 5.1.
Рис. 5.1. Закладка «Безопасность» в свойствах файла
Обратите внимание, что сначала в списке могут появляться но- мера, потом они заменяются именами пользователей и групп. Эти но- мера и есть идентификаторы SID, которые затем, если это возможно, разрешаются в имена. На рис. 5.1 в ACL находится идентификатор удаленной учетной записи, который не может быть разрешен в имя пользователя (англ. Account Unknown — неизвестная учетная запись).
Проанализируйте текущие разрешения на созданный вами файл, имеющиеся у различных групп и пользователей. Эти разрешения уна- следованы вашим файлом от объекта более высокого уровня, то есть от каталога, в котором он находится. Убедитесь в этом.
199
Для редактирования ACL нажмите кнопку Edit. Попробуйте вы- полнить следующие действия:
- добавить в ACL новую учетную запись, дав ей разрешения на изменение файла (англ. Modify);
- убрать группу Users из списка доступа на свой файл.
В связи с тем, что используется наследуемый ACL, вторую часть задания выполнить сразу не удастся: сначала нужно создать для объ- екта собственный ACL. Для этого нажмите кнопку Advanced (рис. 5.1) и в появившемся окне Advanced Security Settings (Дополнительные параметры безопасности) — кнопку Change Permissions (Изменить разрешения). Отказаться от использования наследуемых разрешений можно, убрав отметку Include inheritable permissions from this object’s parent (переносить наследуемые от родительского объекта разреше- ния на этот объект), см. рис. 5.2. При этом будет предложено доба- вить в собственный ACL объекта разрешения из родительского спис- ка (англ. Add) или полностью убрать их (англ. Remove). Лучше вы- брать первый вариант, а потом уже отредактировать список так, как нужно.
Рис. 5.2. Окно редактирования разрешений
200
Убрав группу Users (Пользователи) из ACL вашего файла, по- пробуйте открыть его от имени другой учетной записи, не имеющей явных разрешений и не входящей ни в одну из оставшихся в ACL групп (при необходимости создайте такую учетную запись). Если все сделано правильно, зайдя под подобной учетной записью Вы не полу- чите доступа к файлу.
По умолчанию, локальная группа Users (Пользователи) включа- ет всех локальных и доменных пользователей (если компьютер вхо- дит в домен Windows). Ознакомьтесь по справке или указанной ниже статье TechNet с другими стандартными локальными группами. http://technet.microsoft.com/ru-ru/library/cc771990.aspx.
2. По справке или статье http://technet.microsoft.com/ru- ru/library/cc732880.aspx ознакомьтесь с разрешениями, которые мож- но давать на папку или файл в Windows. Подготовьте ответы на при- веденные ниже вопросы.
Как можно просмотреть набор элементарных разрешений (из которых составлено, например, разрешение «изменить»), имеющихся у пользователя на файл или папку?
Чем составное разрешение «Изменить» (Modify) отличается от разрешения «Полный доступ» (Full Control)?
Дает ли разрешение на запись в папку право просматривать ее содержимое?
3. Эффективные или действующие разрешения (Effective Permis- sions) — это итоговые разрешения, складывающиеся из разрешений, данных пользователю и группам, которые и определяют, можно или нельзя данному субъекту получить доступ к данному объекту. Для выбранной учетной записи их можно узнать на вкладке Effective Per- missions окна Advanced Security Settings, которое мы уже использова- ли при выполнении задания 1. Посмотрите действующие разрешения на ваш файл для одной из существующих учетных записей.
Чтобы лучше разобраться правилами назначения разрешений, выполните приведенные ниже задания.
201
При необходимости создайте локальную группу (назовем ее
Students) и включенную в нее учетную запись (Student). Можно вос- пользоваться уже существующей записью. Группе Students дайте раз- решение на чтение созданного вами файла. Проверьте, чтобы пользо- ватель Student отсутствовал в перечне разрешений на файл. Зайдите под этой учетной записью. Может ли данный пользователь прочитать файл?
Повторите эксперимент, дополнительно указав на вкладке «Без- опасность», что пользователю Student запрещено чтение файла. Смо- жет ли пользователь прочитать файл или нет? Ведь, с одной стороны, он в группе, которой разрешено чтение, с другой стороны — ему са- мому чтение запрещено.
4. Посмотрите разрешения на папку Program Files. Опишите в отчете, каким группам какие разрешения даются на эту папку, куда по умолчанию устанавливаются программы.
5. У объектов файловой системы, таких как файлы, папки и то- ма, есть владельцы. По умолчанию владельцем объекта становится его создатель. Владелец всегда может изменять разрешения для объ- екта, даже при отсутствии доступа к нему.
Более подробную информацию по этому поводу можно полу- чить из справки или приведенной ниже статьи TechNet. http://technet.microsoft.com/ru-ru/library/cc732983.aspx.
Ознакомьтесь с этими материалами. Подготовьте ответы на во- просы.
Кто может стать новым владельцем объекта (какие разрешения для этого нужны)?
Как сменить владельца объекта?
Предложите и выполните эксперимент, иллюстрирующий воз- можности владельца файла, отличающие его от других пользователей.
6. Управлять разрешениями на файлы и папки можно не только из графического интерфейса Windows, но и из командной строки. Для этого рекомендуется использовать утилиту icacls.exe (также для сов-
202 местимости поддерживается утилита cacls.exe). С возможностями этой утилиты можно ознакомиться по справке или из статьи TechNet. http://technet.microsoft.com/ru-ru/library/cc753525.aspx.
С помощью утилиты выполните перечисленные ниже действия.
- сохраните текущий ACL выбранного вами файла в текстовый файл;
- предоставьте пользователю Student разрешение на изменение данного файла (modify);
- проверьте работу сделанных настроек;
- восстановите исходный ACL из копии, сделанной в начале вы- полнения задания.
7. При копировании и перемещении файлов на NTFS надо учи- тывать следующее:
- ACL файла или папки (и соответственно, все разрешения) со- храняется при перемещении объекта в пределах одного тома
NTFS;
- при прочих операциях (перемещение между томами или копи- рование в любых вариантах) ACL заменяется на унаследован- ный от нового родительского контейнера.
Предложите и реализуйте эксперимент, позволяющий проверить выполнение этих правил.
5.2. УПРАВЛЕНИЕ ДОСТУПОМ В СУБД SQL SERVER
Цель работы.
Приобретение практических навыков настройки разрешений на доступ к объектам баз данных в среде СУБД Microsoft SQL Server
2008/2012.
Используемые программные средства.
Компьютер или виртуальная машина с установленной ОС се- мейства Windows и СУБД SQL Server. При работе в сети возможно совместное использование одного экземпляра SQL Server. В этом случае на остальных компьютерах должны быть установлены только клиентские компоненты и SQL Server Management Studio. Для выпол-
203 нения работы необходимы права, позволяющие создавать новую базу данных на экземпляре SQL Server.
Теоретические сведения.
Управление разрешениями на объекты реляционной базы дан- ных несколько отличается от аналогичных операций в отношении объектов файловой системы. В данной лабораторной работе на при- мере СУБД SQL Server эти отличия будут показаны.
При работе с разрешениями в SQL Server используется понятие участников (principals), которые могут запрашивать ресурсы SQL
Server, и которым могут предоставляться разрешения на использова- ние таких ресурсов. Выделяются следующие группы участников:
- участники уровня Windows, к которым относятся локальные и доменные учетные записи пользователей и группы;
- участники уровня SQL Server, к которым относятся учетные записи SQL Server и роли уровня сервера;
- участники уровня базы данных — пользователи базы данных и роли уровня базы данных и приложения.
Необходимо отметить, что SQL Server разделяет понятие учет- ной записи (login) и пользователя (user). Сервер может быть сконфи- гурирован на использование только аутентификации Windows (англ.
Windows Authentication Mode, используется по умолчанию) или на использование смешанного режима аутентификации (англ. SQL Server and Windows Authentication mode), см. рис. 5.3. В первом случае login можно создать только для пользователя или группы Windows. Во вто- ром случае также возможно использовать собственные учетные запи- си SQL Server — логин и пароль хранятся самой СУБД, и ее же сред- ствами выполняется проверка подлинности. При использовании сме- шанной аутентификации становится доступной административная учетная запись sa, которую рекомендуется переименовать и назна- чить ей надежный пароль. Учетная запись авторизуется на выполне- ние одной из серверных ролей (табл. 5.1).
204
Рис. 5.3. Окно редактирования настроек безопасности экземпляра SQL Server
Т а б л и ц а 5 . 1
1 ... 13 14 15 16 17 18 19 20 ... 24
Роли уровня сервера
Роль
Описание возможностей
sysadmin
Разрешено выполнять любые действия на сервере. dbcreator
Разрешено создавать базы данных. bulkadmin
Могут выполнять инструкцию BULK INSERT. diskadmin
Позволяет управлять файлами на диске. processadmin
Позволяет управлять подключениями, запускать и приостанавливать экземпляр SQL Server. securityadmin
Создание и управление учетными записями, право
«сбросить» пароль учетной записи. Управление разрешениями на уровне сервера и на уровне базы данных (при наличии доступа к базе данных). serveradmin
Включает возможности ролей diskadmin и processadmin, позволяет изменять параметры кон- фигурации на уровне сервера и выключать сервер. setupadmin
Добавление и удаление связанных серверов. public
Каждая учетная запись принадлежит этой роли, членство в роли public изменить нельзя.
205
На уровне базы данных учетной записи сопоставляется пользо- ватель (user). Для одной и той же учетной записи в различных базах данных сервера могут создаваться пользователи с разными именами.
Пользователи получают разрешения на работу с объектами базы данных или напрямую, или путем авторизации пользователя на вы- полнение одной из ролей уровня базы данных (рис. 5.4). Последний способ является более предпочтительным и позволяет организовать управление доступом в соответствии с ролевой моделью, описанной в первой главе пособия.
Рис. 5.4. Учетные записи и соответствующие им пользователи и роли в базах данных
Список ролей уровня сервера предопределен, и новые создавать нельзя (табл. 5.1). Также есть предопределенный набор ролей уровня базы данных (табл. 5.2), но в этом случае имеется возможность созда- вать новые роли.
206
Т а б л и ц а 5 . 2
Роли уровня базы данных
Роль
Описание возможностей
db_owner
Владелец базы данных, можно выполнять все дей- ствия по настройке и обслуживанию базы данных, а также удалять базу данных. db_securityadmin
Управление составом ролей (кроме роли db_owner) и связанными с ними разрешениями. db_accessadmin
Добавление и удаление пользователей базы данных. db_backupoperator
Возможность создавать резервные копии базы дан- ных. db_ddladmin
Выполнение DDL-инструкций (создание, изменение, удаление объектов базы данных, таких как таблицы, представления и т. д.). db_datareader
Чтение данных (SELECT) из всех пользовательских таблиц, представлений и функций. db_denydatareader
Запрет на чтение данных (SELECT) из всех пользо- вательских таблиц, представлений и функций. db_datawriter
Право добавлять, удалять или изменять данные во всех пользовательских таблицах. db_denydatawriter
Запрет добавлять, изменять или удалять данные в пользовательских таблицах. public
Роль по умолчанию, имеющаяся в каждой базе дан- ных. Каждый пользователь БД авторизован на эту роль.
Более подробную информацию об организации системы без- опасности СУБД SQL Server можно получить из справочной системы
TechNet: http://technet.microsoft.com/ru-ru/library/bb510589.aspx.
План работы.
1. Используя указанную преподавателем доменную или локаль- ную учетную запись Windows, с помощью SQL Server Management
Studio подключитесь к используемому экземпляру SQL Server. Про- верьте установленный на сервере режим аутентификации.
2. В окне Object Explorer (по умолчанию — левая часть окна
Management Studio) откройте список учетных записей (logins). На вы-
207 полнение каких серверных ролей авторизована используемая вами учетная запись?
3. В каких базах данных сервера вашей учетной записи сопо- ставлены пользователи? На выполнение каких ролей они авторизова- ны?
4. В среде Management Studio создайте новую базу данных. От- кройте список пользователей и ролей. Убедитесь, что учетная запись, под которой вы работаете, сопоставлена пользователю dbo, автори- зованному на роль db_owner.
5. Используя приведенный ниже скрипт, создайте в базе данных таблицы. Перед тем как запустить скрипт, уберите символы коммен- тария («--») из первой строки и после ключевого слова use укажите имя вашей базы данных.
--use MyTest1
GO
CREATE TABLE dbo.Book ( book_id int IDENTITY (1, 1) primary key,
Title varchar(50) NOT NULL, --название книги
Author varchar(50), -- автор
Publisher varchar(50), -- издательство
[Year] smallint) — год издания
GO
CREATE TABLE dbo.Status (
Status_id int IDENTITY (1, 1) primary key,
Status_name varchar(50) NOT NULL
) -- статус: выдана, в библиотеке и т.д.
GO
CREATE SCHEMA libr
GO
CREATE TABLE libr.Book_in_lib ( lib_id int primary key , --номер экземпляра book_id int references dbo.Book , status_id int references dbo.[Status])
GO
208
Обратите внимание, что приведенный скрипт создает не только три таблицы, но и схему libr. В SQL Server схема является контей- нером логического уровня, к которому относятся объекты базы дан- ных. Во вновь созданной БД уже будет несколько схем: dbo, sys, information_schema и т. д. Схема dbo — это схема по умолча- нию для новых пользовательских объектов, sys и infor- mation_schema используются системными объектами. Оператором
CREATE SCHEMA в БД можно создавать новые схемы.
Защищаемым объектом, на действия с которым пользователю предоставляются разрешения, может быть база данных, схема или объект базы данных. Определенное для схемы разрешение неявным образом распространяется на все объекты схемы, разрешение для ба- зы данных — на все схемы и объекты этих схем.
6. Для указанной преподавателем учетной записи SQL Server
(при самостоятельном выполнении работы создайте учётную запись
Windows и учётную запись SQL Server для нее) создайте пользователя в вашей базе данных, в качестве схемы по умолчанию выберите dbo.
В Management Studio это можно сделать из графического интерфейса
(контекстное меню узла Security для выбранной БД, там New…->
User) или выполнив оператор CREATE USER. Например (если схема не указана, подразумевается dbo):
USE MyTest1 go
CREATE USER ns FOR LOGIN [HOME\ns]
Добавьте этого пользователя в роль db_datareader. Это можно сделать или через графический интерфейс или с помощью си- стемной хранимой процедуры sp_addrolemember, первым пара- метром которой будет имя роли, а вторым — имя пользователя.
EXEC sp_addrolemember 'db_datareader', 'ns'
Введите в таблицы тестовый набор данных.
209
Подключитесь к серверу с учетной записью другого пользовате- ля. Убедитесь, что можно получить доступ к базе данных и читать за- писи из всех таблиц, а добавлять или изменять данные нельзя.
7. Создадим новую роль уровня базы данных и добавим ей раз- решение на удаление (DELETE), изменение (UPDATE) и добавление данных (INSERT) в объектах схемы libr. Добавим нашего пользова- теля к этой роли. Указанные действия надо выполнять с правами ад- министратора или владельца базы данных. Как и в предыдущем слу- чае, все это можно сделать в графическом интерфейсе или запуском скрипта.
CREATE ROLE libr_writer
GO
GRANT INSERT, UPDATE, DELETE ON SCHEMA :: libr TO libr_writer
Go
EXEC sp_addrolemember 'libr_writer', 'ns'
Используемый в приведенном скрипте оператор GRANT позво- ляет предоставить разрешения. Оператор DENY позволяет запретить выполнение каких-то действий, а оператор REVOKE отменяет уста- новленные оператором GRANT или DENY настройки разрешений.
Таким образом, у разрешения может быть три состояния: «разреше- но», «запрещено», «не задано». Действие можно выполнить, только если оно разрешено непосредственно пользователю или одной из ро- лей, на которые он авторизован. Запрещение более приоритетно, чем разрешение: если пользователь авторизован на выполнение двух ро- лей, одной из них действие разрешено, а другой — запрещено, то пользователь это действие выполнить не сможет. В SQL Server Man- agement Studio можно просмотреть эффективные разрешения для пользователя (рис. 5.5).
Конкретный набор возможных разрешений зависит от типа объ- екта, с полным списком разрешений рекомендуется ознакомиться по
210 справке или приведенной ниже статье TechNet: http://technet.microsoft.com/ru-ru/library/ms191291.aspx.
Рис. 5.5. Эффективные разрешения пользователя
Выполните описанные действия. Убедитесь, что пользователь с ограниченными правами может изменять данные в таблице
Book_in_lib
, относящейся к схеме libr.
8. Иногда нужно предоставить пользователю права на измене- ние отдельных столбцов. Как отмечается в документации SQL Server, на столбец могут быть предоставлены только разрешения SELECT,
REFERENCES и UPDATE. Например:
GRANT UPDATE ON dbo.Book(Title) TO libr_writer
Выполните аналогичные действия в своей базе данных, про- верьте, что пользователь получил указанные разрешения.
9. Самостоятельно по справке ознакомьтесь с форматом опера- тора CREATE VIEW, особое внимание обратите на задаваемые до-
211 полнительные параметры. Создайте представление, выбирающее из таблицы Book книги, изданные не ранее 2000 года. Предоставьте пользователю с ограниченными правами возможность изменять и до- бавлять подобные книги. Возможности изменять прочие записи таб- лицы и добавлять книги, изданные до 2000 года, он иметь не должен.
5.3. ВЫЯВЛЕНИЕ УЯЗВИМОСТЕЙ С ПОМОЩЬЮ
MICROSOFT BASELINE SECURITY ANALYZER
Цель работы.
Приобретение практических навыков выявления уязвимостей в
ПО производства компании Microsoft с помощью специализированно- го программного средства Baseline Security analyzer (BSA).
Используемые программные средства.
Компьютер и/или виртуальная машина с ОС Microsoft и уста- новленной программой BSA. Для выполнения работы требуются пра- ва локального администратора.
Теоретические сведения.
Microsoft Baseline Security analyzer — программа, позволяющая проверить уровень безопасности установленной конфигурации опе- рационной системы Windows, начиная с версии Windows 2000. Также проверяется и ряд других приложений разработки Microsoft. Данное средство можно отнести к разряду систем анализа защищенности.
Оно безвозмездно распространяется через web-сервера Microsoft.
В процессе работы BSA проверяет наличие обновлений без- опасности операционной системы, офисного пакета Microsoft Office
(для версий XP и более поздних), серверных приложений, таких как
SQL Server, Exchange Server, Internet Information Server и т. д. Кроме того, проверяется ряд настроек, касающихся безопасности, например, действующая политика паролей. Более подробную информацию мож- но получить из статей TechNet, посвященных продукту: http://technet.microsoft.com/ru-ru/security/cc184923.
212
Описание работы.
Перейдем к знакомству с программным продуктом. Надо отме- тить, что при подготовке описания данной лабораторной работы ис- пользовалась версия BSA 2.1, при использовании других версий поль- зовательский интерфейс может отличаться.
При запуске открывается окно, позволяющее выбрать объект проверки — один компьютер (выбирается по имени или ip-адресу), несколько (задаваемых диапазоном ip-адресов или доменным именем) или просмотреть ранее сделанные отчеты сканирования системы. При выборе сканирования отдельного компьютера по умолчанию подстав- ляется имя локальной станции, но можно указать имя или ip-адрес другого компьютера.
Рис. 5.6. Настройка параметров проверки
Можно задать перечень проверяемых параметров. На рис. 5.6 представлен выбор вариантов проверки:
- проверка на наличие уязвимостей Windows, вызванных некор- ректным администрированием;
213
- проверка на «слабые» пароли (пустые пароли, отсутствие огра- ничений на срок действия паролей и т. д.);
- проверка на наличие уязвимостей web-сервера IIS, вызванных некорректным администрированием;
- аналогичная проверка в отношении СУБД MS SQL Server;
- проверка на наличие обновлений безопасности.
Перед началом работы программа обращается на сервер Microsoft для получения перечня обновлений для ОС и описа- ний известных уязвимостей.
Для успешной проверки локальной системы необходимо, чтобы программа выполнялась от имени учетной записи с правами локаль- ного администратора. Иначе проверка не может быть проведена, о чем будет выдано соответствующее сообщение (на англ. You do not have sufficient permissions to perform this command. Make sure that you are running as the local administrator or have opened the command prompt using the 'Run as administrator' option).
По результатам сканирования формируется отчет, вначале кото- рого дается общая оценка уровня безопасности конфигурации прове- ряемого компьютера. В приведенном на рис. 5.7 примере уровень риска оценивается как «высокий» (англ. Severe risk).
Рис. 5.7. Заголовок отчета с указанием уровня риска
214
Далее приводится перечень обнаруженных уязвимостей, разби- тый на группы: результаты проверки установки обновлений, резуль- таты проверки Windows и т. д. Надо отметить, что выпускаемые Mi- crosoft обновления бывают различных типов:
- Security updates — собственно обновления безопасности, как правило, посвященные исправлению одной уязвимости про- граммного продукта;
- Update rollups — набор исправлений безопасности, который позволяет одновременно исправить несколько уязвимостей. Это упрощает обслуживание процесса обновления программного обеспечения;
- Service packs — набор исправлений, как связанных, так и несвя- занных с безопасностью. Установка Service pack, как правило, исправляет все уязвимости, обнаруженные с момента выхода предыдущего Service pack, таким образом устанавливать про- межуточные обновления уже не надо.
В окне с описанием результата проверки можно выбрать ссылку
Result details и получить более подробную информацию о найденных проблемах (рис. 5.8, 5.9).
Рис. 5.8. Перечень отсутствующих обновлений
(по группам)