Šta sve treba uraditi? -...

Sigurnost računarskih mreža – (VETS RT+NRT+EPO 2007/2008)WINDOWS OS SECURITY

Dragan Pleskonjić, Nemanja Maček, Marko Carić 2008.

Šta sve treba uraditi?

• instalirajte sve sigurnosne zakrpe koje proizvođač operativnog sistema objavi

• Windows update zaobići jer ne znate šta se instalira – npr WGA.

• SP2 + Autopatcher (avgust 07) je sasvim OK.

• SP3 = SP2 + Security Updates (good) + IE7 + WMP11 + WGA (bad).

• regulišite prava korisnika - korisnike učlanite u grupe kojima ćete dodeliti ovlašćenja pomoću grupnih polisa

• postavite NTFS dozvole kako biste ograničili lokalni i daljinski pristup fajlovima

• postavite dozvole za deljene direktorijume kako biste ograničili pristup datotekama preko mreže

• omogućite praćenje sigurnosnih događaja (kao što je pristup osetljivim datotekama)

• šifrujte važne datoteke ili ih smestite u šifrovan sistem datoteka (jaka kriptografija je najbolja zaštitna mera); ukoliko nemate poverenja u EFS, koristite drugi softver – TrueCrypt

• aktivirajte mrežnu barijeru – Windows SP2 FW nije OK, nema outgoing app level kontrole, stavite Comodo ili Kerio

• instalirajte i aktivirajte rezidentni antivirusni program (npr Avast) i antispyware program (npr Spybot)

• isključite Windows servise kojima ne verujete

• Messenger, Error Reporting, Time Synhronization, Remote Desktop, Remote Assistance, Automatic Updates, ... onemogućiti praćenje korisnika preko Media Playera, i pravljenje liste nedavno korišćenih dokumenata (Recent).

• Programi XPAntiSpy i XPY ovo završavaju automatski.

Korisnički nalozi i grupe

Korisnički nalog je skup podataka o korisniku. Korisnik navodi ime i lozinku prilikom logina.

Grupa je skup korisničkih naloga koji je stvoren s ciljem da bi se olakšala administracija prava – npr admin učlanjuje korisnike u grupe da bi jednostavnije dodelio prava za pristup korisnicima.

Postoje dve vrste korisničkih naloga i grupa: lokalni i domenski nalozi i grupe.

• Lokalni - postoje na svakom Windows XP/2003 računaru i služe za proveru identiteta korisnika na tom računaru i kontrolu pristupa resursima tog računara. Administriraju se pomoću Computer Management alata.

• Domenski - postoje u Windows 2003 domenu i čuvaju se u aktivnom direktorijumu.

Korisnički nalozi (Windows XP)

Na Windows XP računarima postoje dva tipa korisničkih naloga:

• Computer Administrator. Nalozi ovog tipa su članovi lokalne grupe Administrators i imaju potpunu kontrolu nad računarom.

• Limited Account. Nalozi ovog tipa namenjeni su krajnjim korisnicima i ne obezbeđuju prava potrebna za instaliranje softvera i administriranje drugih naloga.

Ugrađeni (built-in) nalozi:

• Administrator (ne može se obrisati ili ukloniti iz lokalne grupe Administrators)

Str. 1 / 17



• Guest. Omogućava korisnicima koji nemaju svoj nalog da se prijave na računar. U podrazumevanom stanju gost nije zaštićen lozinkom, ali je isključen i preporučuje se da tako i ostane.

Ugrađene (built-in) grupe:

• Aministrators. Korisnička grupa u koju su učlanjeni nalozi tipa Computer Administrator. Članovi grupe imaju sva prava.

• Network Configuration Operators. Članovi ove grupe mogu obavljati administrativne zadatke koji se tiču konfigurisanja mreže (kao što je modifikacija LAN i dial-up veza).

• Power Users. Članovi ove grupe mogu deliti štampače i datoteke na mreži, izmeniti sistemsko vreme, promeniti prioritete procesa ili daljinski ugasiti računar. Članovi ove grupe ne mogu da prave nove ili modifikuju tuđe korisničke naloge, preuzmu vlasništvo nad nekom datotekom ili učitaju drajvere.

• Remote Desktop Users. Članovi ove grupe mogu se prijaviti na sistem koristeći servis (uslugu) Remote Desktop.

Administracija lokalnih naloga

Varijanta 1: Control Panel – Users & Groups.

• Vrlo malo mogućnosti: kreiranje novih naloga, dodela lozinke, izmena sličice (ovo je verovatno od fundamentalnog značaja...), omogućavanje / onemogućavanje Fast User Switchinga itd...

• Šta ne valja ovde? Prema Ctrl Panel – Users & Groups, mora da postoji jedan nalog učlanjen u grupu Administrators (osim administratora). To ponekad nije neophodno, čak je poželjno da radite sa limited account akreditivima (malware se širi samo na vaš profil a ne systewide).

Varijanta 2: Computer Management Console – Local Users & Groups.

• Kako se pokreće: Desni klik po ikonici My Computer pa Manage.

• ili (2) Start – Run – upišete „mmc“ i dodate snap-in Computer management, Odaberite da želite da radite administraciju lokalog računara (local computer: the computer this console is running on)

Str. 2 / 17



• Odaberete zalistak Local Users and Groups i odatle radite administraciju !!!

Varijanta 3: Komande za kreiranje i modif ikaciju naloga iz shel l -a na W2K3.

Sistemske grupe

Sistemske grupe nemaju prave članove, ali se često koriste za obavljanje raznih administrativnih zadataka.

• grupa Everyone – pravo dato grupi Everyone dato je svim korisnicima tog sistema.

• grupa Creator Owner – ako grupi Creator Owner date neko pravo nad grupom nekih objekata, to pravo se prenosi na vlasnike tih objekata.

Dodela prava (privilegija) korisnicima

Korisničko pravo = sposobnost korisnika da izvrši neku akciju.

Dodeljuju se pomoću alata Local Security Settings, dostupnog iz Control Panela (Administrative Tools → Local Security Settings). U hijerarhijskom stablu Security Settings odabrati Local Policies → User Rights Assignment. Alat prikazuje listu korisničkih prava i korisnika/grupa kojima je to pravo dodeljeno.

Str. 3 / 17



Npr:

• Force Shutdown from a Remote System. Korisnik kome je dodeljeno ovo pravo može nasilno ugasiti sistem sa udaljenog računara (jedan od alata koji obavlja daljinsko gašenje isporučuje se uz Resource Kit).

• Load and Unload Device Drivers. Pod drajverima se u Windowsovoj terminologiji - osim drajvera za hardver (npr. za grafičku karticu) - podrazumevaju i drajveri koji omogućuju funkcionalnost neke aplikacije (npr. drajver za virtuelne CD/DVD uređaje koji pomoću ISO datoteke na hard disku omogućava simulaciju nekog CD uređaja sa ubačenim medijumom). Korisnik kome je dodeljeno ovo pravo može da učita drajver u memoriju ili da ga odatle ukloni.

• Log on Locally. Korisnik kome je dodeljeno ovo pravo može da se prijavi na sistem.

• Take Ownership of Files or Other Objects . Korisnik kome je dodeljeno ovo pravo može da preuzme vlasništvo nad nekim objektom (npr. Datotekom).

Domenski nalozi i grupe

Čuvaju se u AD na domen kontrolerima, služe za autentifikaciju korisnika na domenskim računarima i kontrolu pristupa domenskim resursima.Domenske grupe koje služe za organizovanje korisnika radi dodele pristupnih prava su sigurnosne (security) – ne distribucione (ove imaju neku drugu namenu). Dele se na:

• univerzalne (članovi grupa mogu biti objekti iz celog AD; grupi se mogu dati prava nad objektima iz celog AD)

• globalne (u grupu se mogu učlaniti korisnici iz istog domena; grupi se mogu dodeliti prava u bilo kom domenu)

• domenske lokalne (u grupu se mogu se učlaniti korisnici iz celog AD; grupi se mogu dodeliti prava isključivo nad resursima iz istog domena)

Ugrađeni domenski nalozi i grupe:

• Administrator. Ima potpunu kontrolu nad domenom. Ne može se obrisati ili ukloniti iz grupe Administrators.

• Guest. Omogućava korisnicima koji nemaju svoj nalog da se prijave na domen. Podrazumevano je isključen i preporučuje se da tako i ostane.

• Administrators. Domenska lokalna grupa čiji su članovi korisnik Administrator i globalna grupa Domain Admins.

• Account operators. Članovi ove domenske lokalne grupe mogu administrirati domenske korisničke i grupne naloge.

• Server operators. Članovi ove domenske lokalne grupe mogu administrirati kontrolere domena.

• Domain Admins. Globalna grupa u koju treba učlaniti sve korisnike koji su administratori domena.

Str. 4 / 17



Grupne polise

Grupna polisa = skup podešavanja (operativnog sistema, aplikacija, sigurnosti i radnog okruženja) definisan kao načelo koje se primenjuje na grupu korisnika.

Grupna polisa ima dva osnovna dela:

• Computer Configuration koji određuje konfiguraciju računara i primenjuje se kada se računar pokrene

• User Configuration koji određuje okruženje korisnika i primenjuje se kada se korisnik prijavi

Polise (prema redosledu primene):

• lokalne (konfiguracija za lokalne naloge),

• na nivou domena

• na nivou organizacionih jedinica.

U zavisnosti od toga da li se podiže operativni sistem ili se korisnik prijavljuje na domen, primenjuju se one polise koje odgovaraju organizacionim jedinicama u kojima se nalazi računar, odnosno korisnik. Najveći prioritet ima polisa vezana za organizacionu jedinicu u kojoj se nalazi računar, odnosno korisnik.

Computer Settings sadrži podskup podešavanja koja se tiču sigurnosti Security Settings. Npr:

• podešavanja bezbednosti korisničkih lozinki (Account Policy → Password Policy)

• zaključavanje naloga u slučaju pokušaja neovlašćenog pristupa (Account Policy → Account Lockout Policy)

• podešavanja koja se tiču praćenja pristupa resursima (Local Policy → Audit Policy)

• posebna prava koja korisnici imaju na sistemu (Local Policy → User Rights Assignments)

• dodatna sigurnosna podešavanja (Local Policy → Security Options)

Delegiranje ovlašćenja u aktivnom direktorijumu

Active Directory = M$ implementacija LDAP protokola (pristup X.500 direktorijumskim servisima).

• AD = distribuirana baza podataka sa strukturom stabla

• mrežni resursi u stablu su predstavljeni objektima koji su opisani atributima karaktestičnim za tu vrstu objekta

• objekti se organizuju pomoću OU (Organizational Unit) → hijerarhijska raspodela administracije

• Npr: administrator AD može u svakom domenu proglasiti po jednog korisnika administratorom domena (tako što će ga učlaniti u domensku grupu Domain Admins), a administratori domena mogu poslove administriranja domena delegirati korisnicima koji pripadaju odgovarajućim organizacionim jedinicama.

Delegiranje administrativnih zadataka svodi se na delegiranje ovlašćenja nad objektima AD. Za svaki objekat postoji posebna lista za kontrolu pristupa; ona određuje skup akcija koje korisnici mogu da obave nad tim objektom. U akcije koje korisnici mogu izvršiti nad nekim objektom spadaju:

• definisanje, brisanje i promena atributa korisničkih naloga i grupa,

• regulisanje članstva u grupama,

• zamena lozinki drugih korisnika,

• čitanje i izmena vrednosti atributa nekog objekta,

• pravljenje ili brisanje podobjekata (engl. child objects).

NAPOMENA: Uključite u MMC konzoli „Advanced Features“ u meniju „View“ ukoliko želite da pogledate ovlašćenja.

Str. 5 / 17



Ovlašćenja se dodeljuju pomoću Delegation of Control wizarda, koji zahteva da se navedu korisnici i/ili grupe kojima se dodeljuju ovlaščenja i skup ovlašćenja koja se dodeljuju.

Str. 6 / 17



NTFS

Security Descriptor

• Dodeljuje se svakom objektu, odnosno datoteci i direktorijumu na NTFS se prilikom kreiranja dodeljuje

• Sadrži informacije o dozvolama za pristup resursu i o vlasniku resursa.

NTFS dozvole

• Dodeljuju se ili oduzimaju korisnicima i grupama

• Svaki korisnik ili grupa predstavlja jedan Access Control Entry (ACE), a skup svih dozvola tabelu Access Contol List (ACL).

• Grupe i korisnici su u ACL predstavljeni numeričkim vrednostima SID (Security Identifiers) koje ih jednoznačno identifikuju

Kontrola pristupa objektima isključivo na NTFS volumenima

Dozvole važe bez obzira da li korisnik pristupa resursu preko mreže ili lokalno.

Prava pristupa data grupi prenose se na grupe i korisnike koji su u tu grupu učlanjeni.

Str. 7 / 17



Postoje dozvole niskog nivoa (atomarne) i visokog (standardne i specijalne).

• Atomarne dozvole (Low-Level Permission) – omogućavaju korisniku da nad objektima fajl sistema izvrši određenu akciju

• Standardne NTFS dozvole (High-Level Permission) – sistemski predefinisan skup atomarnih dozvola koji omogućava korisniku da izvrši određeni skup akcija nad objektima sistema datoteka

• Speci jalne NTFS dozvole – korisnički definisan skup atomarnih dozvola koji se može dodeliti nekom objektu

Standardne dozvole

U standardne NTFS dozvole spadaju:

• Read – omogućava korisniku kome je data da pregleda sadržaj objekta, tj. da pročita sadržaj datoteke

• Write – dozvola za upis novog sadržaja u objekat; izmena sadržaja objekta je moguća ukoliko je korisniku pored ove dozvole data i dozvola Read, koja omogućava korisniku pregledanje sadržaja

• Read and Execute – standardna dozvola Read proširena specijalnom dozvolom Traverse Folder/Execute File (omogućava zaobilaženje restrikcija na višim hijerarhijskim nivoima u stablu direktorijuma i izvršavanje datoteka)

• Modify – unija standardnih dozvola Read and Execute i Write proširena atomarnom dozvolom za brisanje

• Ful l Control – uključuje sve atomarne dozvole; korisnik kome je data ova dozvola ima sva prava nad objektom, uključujući i mogućnost dodele i oduzimanja NTFS dozvola i preuzimanja vlasništva;

• List Folder Contents – pregledanje sadržaja direktorijuma; može se dati samo za direktorijum

Standardne dozvole za pristup objektu dodeljuju se pomoću kartice Security dijaloga Properties tog objekta, Object Properties / Security. NAPOMENA: Ako ovo ne sljaka kako treba, onda verovatno na XP-u u Folder Options treba isključiti Simple File Sharing... (My Computer, Tools, Folder Options, View, pa isključite Simple File Sharing).

Str. 8 / 17



Advanced Security Tab – nasleđivanje, efektivne dozvolei vlasništvo

Na XP/2003 sistemima postoji mogućnost nasleđivanja dozvola sa direktorijuma koji se u hijerarhiji stabla nalazi na višem nivou, odnosno propagacije dozvola na poddirektorijume i datoteke. Dozvole se mogu svrstati u:

• eksplicitno dodeljene (dozvole koje su direktno priključene samom objektu) i

• nasleđene sa roditeljskog direktorijuma.

Dozvole nad jednim objektom sistema datoteka mogu biti dodeljene većem broju grupa čiji je dati korisnik član.

Efektivne dozvole korisnika formiraju se na sledeći način:

• različite dozvole dodeljene grupama kojima korisnik pripada se sabiraju,

• različite nasleđene i eksplicitno dodeljene dozvole se sabiraju i

• zabrana dozvole nadjačava dodelu.

Koristeći kartice dijaloga Advanced Security Settings korisnici mogu:

• dodeliti specijalne dozvole (kartica Permissions)

• omogućiti praćenje pristupa objektu (kartica Auditing)

• omogućiti ili onemogućiti nasleđivanje dozvola (check box: Allow Inheritable permissions to from parrent to propagate...)

• obaviti prenos vlasništva (kartica Owner) – poklanjanje datoteka je moguće !!!

• proračunati efektivne dozvole koje će neki korisnik imati za taj objekat (kartica Effective Permissions)

Str. 9 / 17



Komanda CACLS (Changa Access Control ListS)

Pogodna za batch scripting i VB scripting, tj za promenu dozvola na velikom broju objekata koristeći batch fajlove ili VB scriptove.

Primer:

• ispis tekuće ACLS za fajl putty.rnd

X:\>cacls putty.rndX:\PUTTY.RND BUILTIN\Administrators:R NT AUTHORITY\SYSTEM:F INTERNAL\nmacek:F

• dodavanje prava Change korisniku root

X:\>cacls putty.rnd /E /G internal\root:cprocessed file: X:\PUTTY.RND

• ispis nove ACLS za fajl putty.rnd – primetite da je pravo change dodato korisniku root

X:\>cacls putty.rndX:\PUTTY.RND INTERNAL\root:C BUILTIN\Administrators:R NT AUTHORITY\SYSTEM:F INTERNAL\nmacek:F

Str. 10 / 17



• Ukidanje svih prava korisniku root za fajl putty.rnd

X:\>cacls putty.rnd /E /R rootprocessed file: X:\PUTTY.RND

• ispis nove ACLS za fajl putty.rnd – primetite su sva prava ukinuta korisniku root

X:\>cacls putty.rndX:\PUTTY.RND BUILTIN\Administrators:R NT AUTHORITY\SYSTEM:F INTERNAL\nmacek:F

Sharing

Share dozvole se primenjuju isključivo na korisnike koji deljenim folderima pristupaju preko mreže – mapiranjem deljenih direktorijuma na logičke diskove, ili iz Windows Explorera (\\ime_servera\deljeni_direktorijum).

Dozvole se primenjuju na deljeni folder, a opseg važnosti im je celokupan sadržaj deljenog foldera. Deljeni folder može biti na FAT ili NTFS sistemu datoteka.

Postoje tri nivoa share dozvola:

• Read = pregledanje atributa, čitanje sadržaja fajlova i pokretanje programa, otvaranje podfoldera

• Change = Read + kreiranje fajlova i podfoldera, izmena sadržaja fajlova i podfoldera, brisanje fajlova i podfodera

• Ful l Control = Change + izmena NTFS dozvola + preuzimanje vlasništva nad fajlovima i podfolderima

Prilikom traženja efektivnih dozvola traži se unija restrikcija share i NTFS dozvola.

• Restriktivnija dozvola postaje efektivna - nivo pristupa korisnika se može smanjiti pomoću NTFS dozvola.

• Preporuka: olabavite share dozvole (Authenticated Users: Full Control je OK, nemojte da ostavljate sistemsku grupu Everyone sa datim pravima) a zategnite NTFS!

Str. 11 / 17



Printer access control

Kako se postavljaju dozvole ? Control Panel, Printers and Faxes, Printer Properties / Security.

Tri vrste dozvola:

• Print (štampanje)

• Manage Printers (rad sa štampačima – konfigurisanje poolinga, dozvola itd)

• Manage Documents (upravljanje redom za štampu).

Registry access control

Kao i štampači, NTFS, aktivni direktorijum, tako i registry baza podleže SAM-u, tj kontroli pristupa.

Jednostavno – običan korisnik ne može da upiše nešto u ključ (hive) HKLM jer je to system wide. To je kontrolom pristupa sređeno tako da to može da uradi samo član grupe Administrators.

Dakle, najjednostavnije objašnjenje zašto neki programi traže privilegije administratora za instaliranje jeste:

• običan user ne može da žvrlja u direktorijumu C:\Program File\BlaBla

• običan user ne može da upiše nešto u HKLM deo registryja jer ACL za Registry to ne dozvoljava.

Str. 12 / 17



Sličica govori sama za sebe:

Standardne dozvole su:

• Read (čitanje sadržaja dela registryja, hive-a ili konkretnog ključa)

• Full Control (kompletna kontrola nad hive-om ili konkretnim kljčem, uključujuči upis, dodelu prava itd)

Auditing

Auditig = praćenje sigurnosnih događaja) i pristupa resursima.

Sigurnosni događaj i su sve akcije usmerene na resurse koji su zaštićeni nekom sigurnosnom merom, kao što je kontrola pristupa. Na primer, sigurnosni događaj je promena sadržaja ili pristupnih prava direktorijuma, prijavljivanje na domen, pravljenje ili izmena naloga i izmena grupne polise.

Praćenje događaja se najčešće primenjuje na kontrolerima domena i serverima, ali i na radnim stanicama koje su deo domena ukoliko se na njima nalaze značajniji resursi. Cilj primene ove zaštitne mere je formiranje log fajla na osnovu koga se mogu otkriti mogući propusti u primeni nekih sigurnosnih mera.

Postoji nekoliko kategorija događaja koje se mogu pratiti:

• prijavljivanje korisnika na domen (Account Logon Events), prijavljivanje korisnika na računar i provera identiteta korisnika radi pristupa deljenim resursima (Logon Events),

• pravljenje, izmena svojstava i brisanje korisničkih naloga i grupa (Account Management)

Str. 13 / 17



• pristup objektima aktivnog imenika (Directory Service Access),

• pristup resursima (Object Access),

• korišćenje privilegija, tj. prava dodeljenih korisnicima (Privilege Use),

• promena polise (Policy Change), kao što je dodela ili oduzimanje prava korisnicima,

• pokretanje, gašenje i promena prioriteta procesa (Process Tracking),

• sistemski događaji (System Events), kao što je promena sistemskog vremena.

Zavisno od kategorije, moguće je pratiti uspešne, neuspešne ili obe vrste događaja.

Gde se šta prati?

• Prijavljivanje korisnika na domen i pristup objekima AD prati se na domen kontrolerima.

• Ostali događaji se prate na onim mestima koja su vam sumnjiva po pitanju postojanja sigurnosnih propusta. Događaji se beleže u dnevnik koji se nalazi na računaru na kome je omogućeno praćenje tih događaja.

Kako se „uključuje“ auditig?

Praćenje događaja je deo grupne polise.

Praćenje nekih događaja, kao što su prijavljivanje korisnika na sistem, pokretanje procesa ili sistemski događaji, omogućava se jednostavnom izmenom odgovarajuće grupne polise, tj. omogućavanjem praćenja odgovarajuće kategorije događaja.

Praćenje pristupa resursima

Ukoliko želite da pratite pristup resursima nekog računara (na primer, direktorijumu sa podacima i štampaču), potrebno je da:

• omogućite praćenje kategorije događaja – pristup resursima (Object Access)

• na samom resursu specificirate šta želite da pratite (kartica Auditing dijaloga Advanced Security Settings resursa) - koje korisnike, koje aktivnosti i želite li da pratite samo uspešne ili neuspešne događaje, ili obe vrste događaja

Str. 14 / 17



Praćenjem pristupa resursima možete, na primer, otkriti ko štampa velike količine dokumenata na štampaču ili ko pokušava da pristupi datotekama kojima mu je pristup zabranjen.

Pregledanje logova

Svi događaji koji su zabeleženi u Security log-u, mogu se videti i analizirati pomoću Event Viewer alata.

Str. 15 / 17



Čišćenje nepotrebnih servisa

Windows je prepun servisa koji vam:

• usporavaju rad računara,

• ponašaju se delimično kao spyware,

• smaraju korisnike,

• nemaju nikakvu korisnu funkciju.

Na primer, da li postoji jedan racionalan razlog da se uz Outlook Express podiže Messenger?

Da li vas smara Error Reporting Service. Da li vam je Automatic Updates zadovoljavajuć ili vam je lakše da te update-ove instalirate sa nekog CD-a? Npr, kad reinstalirate Windows, moraćete ponovo da skidate gomilu updateova sa M$ sajta. Da li vam je Security Center Servis stvarno neophodan? Svaki put dobijete gomilu upozorenja da vam je Automatic Updates isključen (a vi ste ga isključili), ili da vam je Firewall isključen a vi koristite 3rd pary firewall koji M$ ne prepoznaje.

Preporuka: ako niste vični u radu sa windowsom (tj tweakingu i „čačkanju“) skinite sa Interneta xpy ili xp-antispy i odradite posao preko njih. Ako jeste:

• iskoristite alat msconfig (vidite sličicu, pokreće se istoimenom komandom)

• iskoristite services snap-in MMC konzole (može da se pokrene komandom services.msc ili iz My Computer – Manage – Services, ili Control Panel, Administrative Tools, Services)

Servisi koje možete da pogasite i da smanjite security risk a uz to i da optimizujete rad računara su:

• Automatic Updates

• Error Reporting Service

• Messenger – da li vam je net send komanda neophodna?

• NetMeeting Remote Desktop Sharing

Str. 16 / 17



• Remote Desktop Help Session Manager

• Time Synchronization

• Security Center (SP2)

• Windows Firewall (ICF) / Internet Connection Sharing (ICS) – istalirajte drugi firewall !!!

Str. 17 / 17