Hozzáférés-szabályozás
description
Transcript of Hozzáférés-szabályozás
![Page 1: Hozzáférés-szabályozás](https://reader033.fdocuments.net/reader033/viewer/2022051820/56813b08550346895da3af16/html5/thumbnails/1.jpg)
Hozzáférés-szabályozásBiztonsági alapozás
Soós Tibor – MCT, [email protected] – John Bryce Oktatóközpont
![Page 2: Hozzáférés-szabályozás](https://reader033.fdocuments.net/reader033/viewer/2022051820/56813b08550346895da3af16/html5/thumbnails/2.jpg)
TartalomAlapok: SD, ACL, ACE
Hogyan kell értelmezniSDDL szintaxisSID, Well-known SIDAccess MaskÖröklődés
Gyakorlati példák és eszközök a fájlrendszerenTovábbi hozzáférések:
MegosztásokNyomtatókSzolgáltatások
Lehetőségek a biztonság növeléséreRegistryAD, Group PolicyWindows Server 2008 újdonságok
Access Token, privilégiumok
![Page 3: Hozzáférés-szabályozás](https://reader033.fdocuments.net/reader033/viewer/2022051820/56813b08550346895da3af16/html5/thumbnails/3.jpg)
ACL és ACE alapokSecurity descriptor (biztonsági leíró)
Minden nevesített Windows objektumnak van
Pl.: fájlok, mappák, szolgáltatások (!), registry kulcsok, nyomtatók, AD objektumok
ACL (hozzáférési lista)DACL: ez a tényleges hozzáférések listája
ACE:Identity (SID)Access mask (a hozzáférés módja)Access control type (Allow v. Deny)Inheritance flags (OI, CI)Propagation flags
SACL: auditálási listaOwner: tulajdonos
![Page 4: Hozzáférés-szabályozás](https://reader033.fdocuments.net/reader033/viewer/2022051820/56813b08550346895da3af16/html5/thumbnails/4.jpg)
Hogyan kell értelmezni?Olvasá
sÍrás Törlé
s...
Explicit
Deny
Allow
Szülő
Deny
Allow
Nagyszülő
Deny
Allow
Éva (A-B): nem olvashatBea (D-E):írhatFeri (B-G-H-F):olvashat, írhat, törölhet
CsopA
CsopB CsopD
CsopE
CsopF
CsopG
CsopH
![Page 5: Hozzáférés-szabályozás](https://reader033.fdocuments.net/reader033/viewer/2022051820/56813b08550346895da3af16/html5/thumbnails/5.jpg)
Hogyan kell értelmezni?„Standard” nézet
Nagyon sok esetben „Special permissions”-t látunkNem lehet látni, hogy honnan öröklődnek a jogokA sorrend sem látszikNT4 kompabilitás volt a fő szempont
![Page 6: Hozzáférés-szabályozás](https://reader033.fdocuments.net/reader033/viewer/2022051820/56813b08550346895da3af16/html5/thumbnails/6.jpg)
Hogyan kell értelmezni?Advanced nézet
Sorrend látszikÖröklő-dés is
Explicit
Szülő
Nagyszülő
![Page 7: Hozzáférés-szabályozás](https://reader033.fdocuments.net/reader033/viewer/2022051820/56813b08550346895da3af16/html5/thumbnails/7.jpg)
ACESIDAccess mask: a jogosultságok amelyekkel rendelkezik (vagy épp nem)Inheritance flags: hogyan öröklődik a jogosultság
![Page 8: Hozzáférés-szabályozás](https://reader033.fdocuments.net/reader033/viewer/2022051820/56813b08550346895da3af16/html5/thumbnails/8.jpg)
SIDS-1-5-21-1004336348-1177238915-682003330-512
S: SID1: revision level5: NT Authority21-1004336348-1177238915-682003330: Domain ID512: relative identifier (Domain Admins)
![Page 9: Hozzáférés-szabályozás](https://reader033.fdocuments.net/reader033/viewer/2022051820/56813b08550346895da3af16/html5/thumbnails/9.jpg)
„Well-known SID”-ekS-1-1-0: EveryoneS-1-3-0: Creator OwnerS-1-5-4: Interactive...S-1-5-32-544: Administrators...S-1-5-domain-500: AdministratorS-1-5-domain-512: Domain Admins...
![Page 10: Hozzáférés-szabályozás](https://reader033.fdocuments.net/reader033/viewer/2022051820/56813b08550346895da3af16/html5/thumbnails/10.jpg)
SID kiolvasásWhoAmI:
User2sid:
Vissza: Sid2UserVillám demó
![Page 11: Hozzáférés-szabályozás](https://reader033.fdocuments.net/reader033/viewer/2022051820/56813b08550346895da3af16/html5/thumbnails/11.jpg)
Access mask
SetACL segédprogram ((i)cacls-nál jobb) (http://setacl.sourceforge.net)
31 30 29 28 27 26 25 24 23 22 21 20 19 18 17 16 15 14 13 12 11 10 9 8 7 6 5 4 3 2 1 0Generic rights Standard rights Specific Rights
GR GW GE GA - - MA A S WO WD RC SD CR LO DT WP RP SW LC DC CC8 7 6 5 4 3 2 1
Sacl Access Audited
Standard Delete Read/List
Maximum AllowedRead Control Write/AddFile
Generic All Write DAC Append/AddSubDirGeneric Execute
Write Owner
ReadExtAttr
Generic Write SynconizeWriteExtAttr
Generic ReadExecute/Traverse
/DeleteChild
ReadAttributesWriteAttributes
Villám demó
![Page 12: Hozzáférés-szabályozás](https://reader033.fdocuments.net/reader033/viewer/2022051820/56813b08550346895da3af16/html5/thumbnails/12.jpg)
ÖröklődésTöbb helyen lehet (kell) az öröklődés jellemzőit állítani a GUI-n:
![Page 13: Hozzáférés-szabályozás](https://reader033.fdocuments.net/reader033/viewer/2022051820/56813b08550346895da3af16/html5/thumbnails/13.jpg)
Érdekesség az öröklődéssel kapcsolatban
Alapismeretek...Mozgatás után a fájlok „emlékeznek” a korábbi mappában levő öröklött ACE-kreInherit from:Parent ObjectElfelejtetni egy „dummy” változ-tatással lehet Villám demó
![Page 14: Hozzáférés-szabályozás](https://reader033.fdocuments.net/reader033/viewer/2022051820/56813b08550346895da3af16/html5/thumbnails/14.jpg)
Öröklődés kezeléseLehetőleg az „Allow inheritable permissions from parent to propagate...” kikapcsolásával csak kevés helyen szakítsuk fel az öröklődést: a teljes ACL-re hat!A többi lehetőség egy-egy ACE-ra hat csak, kisebb a veszélye hogy elfelejtjük a jogokat állítani, vagy hogy eltávolítunk szükséges jogokat (pl. system vagy BA)
![Page 15: Hozzáférés-szabályozás](https://reader033.fdocuments.net/reader033/viewer/2022051820/56813b08550346895da3af16/html5/thumbnails/15.jpg)
demó
Gyakorlati példákFájlfeltöltést engedélyező, saját fájlt kezelni engedő mappaEgy mélységbe belátni engedő home folder
![Page 16: Hozzáférés-szabályozás](https://reader033.fdocuments.net/reader033/viewer/2022051820/56813b08550346895da3af16/html5/thumbnails/16.jpg)
SDDL szintaxis
D: daclAI: allow inheritance(D: DenyOICI: Object inherit, container inheritCCSWWPLORC: jogokS-1-5-21-150787130-2833054149-3883060369-1121) : SID
Villám demó
![Page 17: Hozzáférés-szabályozás](https://reader033.fdocuments.net/reader033/viewer/2022051820/56813b08550346895da3af16/html5/thumbnails/17.jpg)
Well-known SID-ek az SDDL-ben
"AO" Account operators "AN" Anonymous logon "AU" Authenticated users "BA" Built-in administrators "BO" Backup operators "BU" Built-in users "CO" Creator owner "DA" Domain administrators "DC" Domain computers "DU" Domain users "EA" Enterprise administrators
"WD" Everyone
"IU" Interactively logged-on user "LA" Local administrator "SY" Local system "NU" Network logon user "PO" Printer operators "RD" Terminal server users "SA" Schema administrators "SO" Server operators "SU" Service logon user
![Page 18: Hozzáférés-szabályozás](https://reader033.fdocuments.net/reader033/viewer/2022051820/56813b08550346895da3af16/html5/thumbnails/18.jpg)
ACE részletesen
ace_type;ace_flags;rights;object_guid;inherit_object_guid;account_sid
A=access allowedD=access deniedOA=object access allowedOD=object access denied
CI=container inhertitOI=object inheritNP=no propagationIO=inherit onlyID=inherited ACE
GUID of attribute, extended right orproperty set
Permissions to be set GUID of object type to inherit permission
![Page 19: Hozzáférés-szabályozás](https://reader033.fdocuments.net/reader033/viewer/2022051820/56813b08550346895da3af16/html5/thumbnails/19.jpg)
Jogok ábrázolása SDDL-ben
SDDL jogok elnevezése félrevezető, ezek valójában bitekként értelmezendők (lásd korábbi táblázat)
CC - SDDL_CREATE_CHILDLC - SDDL_LIST_CHILDSW - SDDL_SELF_WRITERP - SDDL_READ_PROPERTYWP - SDDL_WRITE_PROPERTY DT - SDDL_DELETE_TREELO - SDDL_LIST_OBJECTCR - SDDL_CONTROL_ACCESSRC - SDDL_READ_CONTROL
Pl.: fájlrendszerben CCSWWPLORCCC: Read/list, SW:ReadExtAttr, WP:Execute/Traverse, LO: ReadAttrib, RC: ReadControl
„Gyári” CACLS segédprogram nem jelenít meg minden jogot, bonyolultabb esetekben hexa számmal jelzi
![Page 20: Hozzáférés-szabályozás](https://reader033.fdocuments.net/reader033/viewer/2022051820/56813b08550346895da3af16/html5/thumbnails/20.jpg)
Öröklődés jelzése SDDL-ben
Öröklődés felszakítása: „protected” lesz az objektum (P)
"D:PAI(D;OICI;LOWO;;;S-1-5-21-150787130-2833054149-3883060369-1147)...
ACE-szintű szabályozáscontainer inherit (CI)object inherit (OI)inherit only (IO) – csak a gyerekekno propagation (NP) – csak a közvetlen gyerekekre öröklődik, tovább nem
![Page 21: Hozzáférés-szabályozás](https://reader033.fdocuments.net/reader033/viewer/2022051820/56813b08550346895da3af16/html5/thumbnails/21.jpg)
ACL másolása a fájlrendszerben
(A Vista icacls-je is tud hasonlót, de csak a fájlrendszerre vonatkoztatva)Setacl ... –actn –bckp pathA backup fájlban a hivatkozás módosításaSetacl ... –actn restore –bckp pathSzelektíven lehet csak ACL-t másolni, nem kell a teljes SD-t!
![Page 22: Hozzáférés-szabályozás](https://reader033.fdocuments.net/reader033/viewer/2022051820/56813b08550346895da3af16/html5/thumbnails/22.jpg)
ACL kezelése PowerShell-el
KiolvasásGet-acl
Másolás:get-acl drop-box | Set-Acl drop-box2
Villám demó
![Page 23: Hozzáférés-szabályozás](https://reader033.fdocuments.net/reader033/viewer/2022051820/56813b08550346895da3af16/html5/thumbnails/23.jpg)
Megosztások ACL-jeread: Read change: Change full: Full access
![Page 24: Hozzáférés-szabályozás](https://reader033.fdocuments.net/reader033/viewer/2022051820/56813b08550346895da3af16/html5/thumbnails/24.jpg)
Nyomtatók ACL-jeStandard jogok:
print: Print man_printer: Manage printer man_docs: Manage documents full: Full access
Hatósugár:PrinterDocuments
![Page 25: Hozzáférés-szabályozás](https://reader033.fdocuments.net/reader033/viewer/2022051820/56813b08550346895da3af16/html5/thumbnails/25.jpg)
Szolgáltatások ACL-jeJogok:
CC - SERVICE_QUERY_CONFIGLC - SERVICE_QUERY_STATUSSW - SERVICE_ENUMERATE_DEPENDENTSLO - SERVICE_INTERROGATECR - SERVICE_USER_DEFINED_CONTROL RC - READ_CONTROLRP - SERVICE_START WP - SERVICE_STOPDT - SERVICE_PAUSE_CONTINUE
![Page 26: Hozzáférés-szabályozás](https://reader033.fdocuments.net/reader033/viewer/2022051820/56813b08550346895da3af16/html5/thumbnails/26.jpg)
Szolgáltatások ACL-jének kezelése
Parancssori eszköz: SCGrafikus eszköz: ProcessExplorer
Villám demó
![Page 27: Hozzáférés-szabályozás](https://reader033.fdocuments.net/reader033/viewer/2022051820/56813b08550346895da3af16/html5/thumbnails/27.jpg)
Szolgáltatások fokozott biztonsága a Vista-ban
Service hardening:Szolgáltatásoknak külön SID-jük van, ezek is felvehetők ACL-be megfelelő jogokkal
SC showID service_nameÍráskorlátozott SID az access tokenben: csak kifejezett engedély birtokában írhatCsökkentettebb jogosultságú ServiceAccount nevében futtatásSzolgáltatások privilégiumainak csökkentéseTűzfalszabályok
![Page 28: Hozzáférés-szabályozás](https://reader033.fdocuments.net/reader033/viewer/2022051820/56813b08550346895da3af16/html5/thumbnails/28.jpg)
Registry ACL-jeStandard jogok:
read: Read full: Full access
Speciális jogokquery_val: Query value set_val: Set value create_subkey: Create subkeys enum_subkeys: Enumerate subkeys notify: Notify create_link: Create link delete: Delete write_dacl: Write permissions write_owner: Take ownership read_access: Read control
![Page 29: Hozzáférés-szabályozás](https://reader033.fdocuments.net/reader033/viewer/2022051820/56813b08550346895da3af16/html5/thumbnails/29.jpg)
AD objektumok ACL-jeGrafikus felületADacls parancssori eszközObjektumokra és tulajdonságokraAz AD LDAP adatbázis, GPO objektumok a fájlrendszerbenExtended rightsJog objektumtípusra, tulajdonságra és tulajdonság-halmazra
![Page 30: Hozzáférés-szabályozás](https://reader033.fdocuments.net/reader033/viewer/2022051820/56813b08550346895da3af16/html5/thumbnails/30.jpg)
Default SecurityAz AD objektumok sok, a sémában meghatározott default explicit jogosultsággal rendelkeznek
Villám demó
![Page 31: Hozzáférés-szabályozás](https://reader033.fdocuments.net/reader033/viewer/2022051820/56813b08550346895da3af16/html5/thumbnails/31.jpg)
demó
Hibás Group Policy ACL helyreállítása
![Page 32: Hozzáférés-szabályozás](https://reader033.fdocuments.net/reader033/viewer/2022051820/56813b08550346895da3af16/html5/thumbnails/32.jpg)
Windows Server 2008 újdonságok
OwnerRights well-known SIDEddig a tulajdonos implicit módon rendelkezett a Read_Control és Write_DAC privilégiumokkal, most ezt ezzel a SID-del felül lehet bírálni
Módosított default jogosultságok a fájlrendszerbenUAC miatt fájl és registry virtualizáció
![Page 33: Hozzáférés-szabályozás](https://reader033.fdocuments.net/reader033/viewer/2022051820/56813b08550346895da3af16/html5/thumbnails/33.jpg)
Access TokenWhoAmI /priv /groupsTokensz segédprogram
Villám demó
![Page 34: Hozzáférés-szabályozás](https://reader033.fdocuments.net/reader033/viewer/2022051820/56813b08550346895da3af16/html5/thumbnails/34.jpg)
PrivilégiumokSecurity PolicyMás kifejezéssel User RightsPermissions + Privileges = tényleges hozzáférési mód
Back up files and directoriesBypass traverse checkingRestore files and directoriesTake ownership of files or other objects
![Page 35: Hozzáférés-szabályozás](https://reader033.fdocuments.net/reader033/viewer/2022051820/56813b08550346895da3af16/html5/thumbnails/35.jpg)
Szünet...Köszönöm a figyelmet!Folytatás: