|
|
МУ_ЛР_БОС. А. С. Новиковым и обсуждены на заседании кафедры
5. Оформление отчета
Отчет должен содержать:
6 Контрольные вопросы
6.1. В чем заключаются особенности файловой системы NTFS.
6.2. Почему файловая система NTFS подходит для использования в сетевых операционных системах?
6.3. Почему Windows NT не использует специальных средств для предотвращения восстановления удаленных файлов?
6.4. Имеется ли возможность получить секретную информацию даже при использовании средств безопасного удаления, и какие меры необходимо предпринять для устранения такой возможности?
6.5. Как производится контроль доступа к файлам в ОС Windows? Что для этого необходимо?
6.6. Что такое матрица прав доступа, дескриптор безопасности? Как и для чего они используются?
7. Библиографический список
1. Олифер В.Г. Сетевые операционные системы: Учеб. пособие для вузов / В.Г. Олифер, Н.А. Олифер .— М.: Питер, 2003. — 544с.
2. Таненбаум Э. Современные операционные системы / Э. Таненбаум.— 2-е изд. — М.: Питер, 2006 .— 1038с.
3. Монадьеми П. Защита от хакеров в Windows XP/ П. Монадьеми, Б. Мюллер; пер. с нем. под ред. С.Н. Банникова.— М.: БИНОМ, 2005 .— 320с.
4. Немет Э. UNIX: Руководство системного администратора/ Э. Немет, Г. Снайдер, С. Сибасс, Т.Р. Хейн. 3-е изд. — М.: Питер, 2003 .— 925с.
Лабораторная работа № 9.
Оценка защищенности NT-системы: защита реестра
1. Цель работы
Изучение структуры реестра, способов оценки его защищенности, функций аудита, его настройки в среде Windows 9x и Windows NT/2000.
2. Теоретические сведения
I. Организация реестра
Реестр — центральная база данных Windows, в которой хранится вся конфигурация системы, например, разрешение экрана, настройка проводника, меню Пуск, настройки всех установленных программ и т.д. Практически вся информация хранится в двух файлах System.dat и User.dat. До выхода Windows 95 использовались ini-файлы, но из-за ряда причин от них отказались (хотя win.ini, system.ini и некоторые другие ini-файлы для совместимости с более ранними версиями программ остались). Для изменения реестра существуют редакторы реестра, например, стандартная утилита Regedit.exe, находящаяся в папке Windows.
Информация, хранящаяся в иерархической базе данных реестра, собрана в разделы (key), которые содержат один или более подразделов (subkey). Каждый подраздел содержит параметры (value):
раздел
подраздел 1 | параметр
подраздел 2
подраздел 3 | параметр
Возможность создавать вложенные подразделы позволяет группировать параметры. В результате получается древовидная структура, которую можно просмотреть в Редакторе реестра (Registry editor).
Реестр Windows состоит из шести корневых разделов (root keys), каждый из которых содержит определённый тип конфигурационной информации (т.е. пользовательские данные и установки, связанные с компьютером). Название каждого корневого раздела начинается с HKEY_, и каждый корневой раздел содержит несколько подразделов.
Записи реестра не различают регистра букв. Таким образом, подразделы \Software и \SOFTWARE идентичны.
II. Дублирование подразделов в разных ветвях
Некоторые имена подразделов реестра присутствуют более чем в одной ветви реестра. Это происходит потому, что определённые подразделы являются производными от подразделов других ветвей. ОС Windows автоматически записывает все изменения, сделанные пользователем, во все связанные подразделы. Таким образом, например, изменения в HKEY_LOCAL_MACHINE\Software\CLASSES также появятся в разделе HKEY_CLASSES_ROOT, поскольку раздел HKEY_CLASSES_ROOT является производным от раздела HKEY_LOCAL_MACHINE\Software\CLASSES. Аналогичным образом, в силу того, что раздел HKEY_CURRENT_USER является производным подраздела HKEY_USERS\name (name соответствует имени пользователя), когда пользователь входит с систему, то эти разделы содержат одинаковую информацию.
Исключение составляет ветвь \Software\Microsoft\Windows\ CurrentVersion, которая присутствуем в разделах HKEY_CURRENT_USER и HKEY_LOCAL_MACHINE. Несмотря на то, что название ветви, идущее после названия двух корневых разделов, одно и то же, содержимое каждой полной ветви отличается. Записи ветви HKEY_CURRENT_USER\Software\ Microsoft\Windows\CurrentVersion содержат установки, определяемые пользователем (например, списки недавно открытых файлов), а записи ветви HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion содержат установки, являющиеся глобальными для локального компьютера, программного обеспечения или всех пользователей (например, пути приложений, список всплывающих подсказок и т.д.).
III. Файлы SYSTEM.DAT и USER.DAT
Пользователю независимого компьютера достаточно одного файла для хранения реестра. Однако для сетевого компьютера хранение реестра в одном файле позволяет пользователю изменять не только пользовательские установки, но и системную конфигурацию, и при этом устанавливать параметры, которые отличаются от установленных системным администратором. С целью лишить пользователей возможности изменять конфигурацию системы и для предоставления некоторых глобальных параметров для всех пользователей, Windows разделяет реестр на два типа и хранит информацию в двух файлах: SYSTEM.DAT и USER.DAT.
SYSTEM.DAT — содержит системную конфигурацию и дополнительные данные (конфигурацию оборудования, параметры Plug&Play и настройки приложений и т.п.). Эти установки необходимы в процессе запуска системы для загрузки драйверов оборудования и обнаружения доступного оборудования.
USER.DAT — содержит данные, зависящие от пользователя (имя пользователя, настройки рабочего стола, настройки меню и т.п.) В процессе установки Windows файл USER.DAT автоматически записывается в каталог Windows, но он не обязан оставаться в этом каталоге. Если разрешены профили пользователей, то персональные настройки для конкретного пользователя могут хранится в копии файла USER.DAT, находящиеся в одном из подкаталогов каталога \Windows\Profiles.
Windows 95 использует файлы с расширением DA0 (например, USER.DA0) в качестве резервной копии реестра. Эти файлы не используются в Windows 98,ME. В этих ОС (98,МЕ) используется другая стратегия резервирования реестра, при которой создаётся несколько копий файлов USER.DAT, SYSTEM.DAT, WIN.INI, SYSTEM.INI. Эти файлы сохраняются в CAB-файле, размещаемом в скрытом каталоге \Windows\SysBckup (по умолчанию таких файлов не больше пяти).
IV. Роль реестра при загрузке ОС
При загрузке системы анализируются следующие разделы:
HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run,
HKLM\Software\Microsoft\Windows\CurrentVersion\Run,
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce,
HKLM\Software\Microsoft\Windows\CurrentVersion\Run,
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce,
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce,
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices,
HKCU\Software\Microsoft\Windows\CurrentVersion\Run,
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce,
где HKLM соответствует ветке HKEY_LOCAL_MACHINE, а HKCU — HKEY_CURRENT_USER.
Программы, находящиеся в данных разделах, будут загружены автоматически.
V. Функции API для работы с реестром
Для работы с реестром предусмотрен ряд API функций, позволяющих получать и редактировать информацию, хранящуюся в его разделах, на программном уровне. Таким образом, у злоумышленника появляется ещё одна возможность для совершения несанкционированных действий, направленных на разрушение или дестабилизацию системы.
Важной особенностью Win32 API функций работы с реестром, а также стандартных программ управления реестром является невозможность доступа к разделам реестра, которые были созданы с явным указанием NULL в качестве части имени. Несмотря на видимость этих ключей системе, Regedit и Regedit32 не имеют доступа к таким ключам. При этом, используя Native API (скрытые внутренние функции системы, обычно не документированные), имеется возможность создания и использования таких ключей, что создает потенциальную опасность.
В таблице 1 приведены основные функции Native API для работы с реестром.
Таблица 1. Native API для работы с реестром
Имя
|
Win32 API аналог
|
Описание
|
Примечание
|
NtCreateKey
|
RegCreateKey
|
DDK
|
|
NtOpenKey
|
RegOpenKey
|
DDK
|
|
NtDeleteKey
|
RegDeleteKey
|
DDK
|
|
NtDeleteValueKey
|
RegDeleteValue
|
DDK
|
|
NtEnumerateKey
|
RegEnumKey, RegEnumKeyEx
|
DDK
|
|
NtEnumerateValueKey
|
RegEnumValue
|
DDK
|
|
NtFlushKey
|
RegFlushKey
|
DDK
|
|
NtInitializeRegistry
|
|
|
Единственный параметр указывает тип загрузки (установка системы или обычная загрузка)
|
NtNotifyChangeKey
|
RegNotifyChangeKeyValue
|
|
|
NtQueryKey
|
RegQueryKey
|
DDK
|
|
NtQueryMultiplValueKey
|
RegQueryMultipleValues
|
|
|
NtQueryValueKey
|
RegQueryValue, RegQueryValueEx
|
DDK
|
|
NtReplaceKey
|
RegReplaceKey
|
|
|
NtSaveKey
|
RegSaveKey
|
|
|
NtRestoreKey
|
RegRestoreKey
|
|
|
NtSetInformationKey
|
|
|
Устанавливает атрибуты раздела
|
NtSetValueKey
|
RegSetValue, RegSetValueEx
|
DDK
|
|
NtLoadKey
|
RegLoadKey
|
|
|
NtLoadKey2
|
|
|
Введена в NT 4.0. Аналогична предыдущей, но позволяет указывать некоторые опции при загрузке
|
NtUnloadKey
|
RegUnloadKey
|
|
| |
|
|
Скачать 1.1 Mb.