CONCEPTO DE ADMINISTRACIÓN SEGURA DE WINDOWS NT .
CONCEPTO DE SEGURIDAD ADMINISTRACIÓN DE WINDOWS NT
La mayoría de los conceptos de no administración del sistema operativo Microsoft Windows MT asignan un papel especial a los numerosos parámetros inarmónicos del sistema operativo, sin prestar suficiente atención a las cuestiones de definir los roles de los administradores y otros usuarios privilegiados del sistema operativo. Por lo tanto, no tiene en cuenta el hecho de que incluso algunas acciones habituales de los usuarios pueden representar una amenaza para la seguridad de todo el sistema operativo, sin mencionar los errores de administración o acciones maliciosas para piratear elementos individuales del sistema de seguridad,
Introducción
Como saben, el orden de funcionamiento del sistema de seguridad del sistema operativo Microsoft Windows NT (en adelante, con excepción de casos especialmente especificados, estamos hablando de la versión 4.0 con un Service Pack arbitrario) está determinado por una gran cantidad de configuraciones de parámetros y elementos de su estructura, que al instalar el SO se configuran por defecto de esta manera que la solución del problema de seguridad de la información en el SO pasa a un papel secundario. Esta circunstancia obliga al usuario del sistema operativo a elegir de forma independiente una u otra forma de resolver el problema de la seguridad de la información. Un papel importante en esto lo juega la política de seguridad adoptada por el usuario y, si miramos el problema de manera más amplia, el concepto de aumentar la efectividad de la protección en el sistema operativo Microsoft Windows NT.
Cabe señalar que en la mayoría de los conceptos conocidos por el autor (algunos de ellos se describirán a continuación), se presta especial atención a numerosos ajustes de los parámetros del sistema operativo para que el orden de su funcionamiento cumpla con ciertos requisitos formales. así como comprobar el correcto funcionamiento de los mecanismos de protección individuales. Al mismo tiempo, en opinión del autor, no se presta suficiente atención a la definición de los roles del administrador y otros usuarios privilegiados del sistema operativo, las reglas de administración segura y el orden de interacción de los componentes distribuidos del sistema de seguridad. . Por lo tanto, no tiene en cuenta el hecho de que incluso algunas acciones habituales del usuario pueden suponer una amenaza para la seguridad de todo el sistema operativo, sin mencionar los errores de administración o las acciones maliciosas.
Este artículo presentará el concepto de administración segura del sistema operativo, creado teniendo en cuenta las deficiencias descritas.
Algunos ataques conocidos a Microsoft Windows NT
Considere los ataques al sistema operativo Microsoft Windows NT, cuyo propósito es — implementación de amenazas a la confidencialidad o integridad de la información. Se pueden dividir en varios grupos.
• Ataques implementados influyendo en el subsistema de autenticación, utilizando las siguientes capacidades [1.11]:
1. La capacidad de obtener acceso directo o acceso cargando otro sistema operativo en la computadora (por ejemplo, MS-DOS) a las secciones SAM o SEGURIDAD del registro de recursos con el fin de modificar posteriormente los datos de autenticación del usuario almacenados en ellas.
2. La capacidad de obtener acceso directo o acceder cargando otro sistema operativo en una computadora a las secciones SAM o SEGURIDAD del registro de recursos con el fin de seleccionar posteriormente los datos de autenticación del usuario almacenados en ellas.
3. Posibilidad de modificar el software del sistema para sustituir el procedimiento de autenticación.
4. La capacidad de interceptar y analizar paquetes de intercambio de información de red para seleccionar datos de autenticación de usuario transmitidos a través de canales LAN.
• Ataques realizados mediante apropiación ilegal de privilegios. Según la brecha en el sistema de seguridad utilizado, se pueden dividir en dos grupos.
1. Aprovechando la falta de verificación de privilegios, depure los procesos del sistema en algunas funciones del sistema operativo. El conocido programa GetAdmin funciona según este principio [4]. A pesar de que este problema se solucionó en Microsoft Windows NT 4.0 Service Pack 4, como demuestra la experiencia, no hay garantía de que no se produzcan fallos similares.
2. Utilizar la capacidad del infractor para sustituir el sistema denominado canales de comunicación (pipe) y con ello obtener privilegios para los usuarios que accedan a ellos. Este enfoque se implementa en el programa AdminTrap [3]. La incautación de privilegios se produce al editar de forma remota el registro de recursos del sistema operativo, el registro de auditoría, la administración de una impresora de red y en algunos otros casos.
• Ataques realizados mediante la introducción de marcadores de software o caballos de Troya en el sistema operativo. Para implementar marcadores, en la mayoría de los casos es necesario obtener derechos de administrador del sistema operativo o iniciar un sistema operativo que no sea Microsoft Windows NT en la computadora. Según el nivel de implementación de los marcadores en el sistema operativo, se pueden dividir en dos grupos.
1. Marcadores implementados en el nivel del kernel del sistema operativo (modo kernel). Estos marcadores le permiten modificar dinámicamente el código del kernel del sistema operativo en la memoria de la computadora y acceder a objetos (archivos) sin tener en cuenta los requisitos del sistema de control de acceso.
2. Marcadores implementados en el nivel de usuario del sistema operativo (modo de usuario). Estas pestañas le permiten modificar el procedimiento de autenticación del usuario o acceder a objetos (archivos) en nombre de un usuario con derechos máximos (derechos de usuario del SISTEMA).
Dado que en el futuro se espera considerar la arquitectura de dominio del SO como la básica a la hora de construir un sistema de seguridad de la información y teniendo en cuenta los ataques descritos anteriormente, podemos destacar los siguientes elementos y datos más vulnerables del sistema de seguridad en Microsoft Windows. Dominio del sistema operativo NT:
• datos de autenticación de los usuarios de la estación de trabajo almacenados en sus registros de recursos;
• datos de autenticación de los usuarios del dominio, almacenados en los registros de recursos de las estaciones de trabajo desde las que iniciaron sesión en el dominio;
• software del sistema de estación de trabajo;
• datos de autenticación de usuarios y estaciones de trabajo transmitidos a través de canales LAN;
• algunas acciones regulares del Administrador de Dominio para la administración directa o remota de estaciones de trabajo;
• algunas llamadas entre sí mediante componentes distribuidos del sistema operativo.
Modelo de protección contra intrusos
Antes de comenzar a considerar conceptos bien conocidos para aumentar la efectividad de la protección en el sistema operativo Microsoft Windows NT y presentar el concepto de administración segura, definiremos un modelo de infractor de seguridad. La pauta será la clasificación del infractor según sus capacidades en el sistema automatizado, descrito en las directrices de la Comisión Técnica Estatal de Rusia [6].
Dado que las computadoras en un dominio del sistema operativo Microsoft Windows NT tienen diferentes roles (controlador de dominio, servidor, estación de trabajo), no es apropiado clasificar a un atacante en una clase específica. Supongamos que en los puestos de trabajo, cuyo número puede ser grande y, por tanto, el control de su seguridad es complicado, las capacidades del intruso corresponden a la tercera clase (la capacidad de influir en el orden de funcionamiento y los parámetros del sistema de protección). ). En los controladores de dominio que pueden protegerse del acceso directo de un atacante y del lanzamiento de sus propias aplicaciones en ellos, consideraremos que las capacidades del atacante corresponden a la segunda clase (la capacidad de acceder de forma remota utilizando programas que contienen funciones no estándar). .
Además, cabe señalar que en una situación concreta, el modelo del intruso puede perfeccionarse.
Análisis de conceptos conocidos para aumentar la eficacia de la protección del sistema operativo Microsoft Windows
La propia Microsoft fue la primera en proponer en 1996 el concepto de aumentar la eficacia de la protección. Como directriz principal eligió los requisitos de la clase de protección C2 TCSEC [9]. Sin embargo, además de estos requisitos, se propuso imponer una restricción significativa en el procedimiento para configurar el sistema operativo, a saber: las computadoras que ejecutan el sistema operativo Microsoft Windows NT deben estar aisladas, es decir, desconectadas de las redes informáticas locales o globales.
Certificación de Microsoft Windows NT Workstation, Server versión 3.5 U.S. El parque de servicio 3 con clase de protección C2 TCSEC se realizó con éxito en 1996 [9]. Al mismo tiempo, se presentaron las configuraciones necesarias del sistema operativo y los requisitos para su configuración [9]. Al analizar la configuración especificada, podemos concluir que Microsoft Corporation utilizó el siguiente concepto para aumentar la efectividad de la protección del sistema operativo Microsoft Windows NT.
Es posible garantizar la seguridad del sistema operativo Microsoft Windows NT de acuerdo con los requisitos de la clase C2 TCSEC:
• sin instalar software o hardware adicional,
• utilizando la configuración de parámetros y el sistema operativo adecuados procedimientos de configuración [9 ],
• sólo si el ordenador en el que se ejecuta el sistema operativo está aislado.
Al implementar este concepto, el principal problema es garantizar que la computadora esté protegida contra la carga de un sistema operativo que no sea Microsoft Windows NT. Para solucionar este problema, se propone utilizar protección con contraseña para el programa de modificación de los parámetros operativos de la computadora (contraseña de configuración del BIOS) para evitar la posibilidad de arrancar desde un disquete.
Este concepto se puede implementar en la práctica, pero el aislamiento requerido de las computadoras de las redes informáticas reduce significativamente el alcance de su aplicación práctica. Por lo tanto, la certificación del sistema operativo Microsoft Windows NT 3.5 SP3 según la clase de protección C2 TCSEC, aunque fue importante para mejorar aún más el sistema de protección de este sistema operativo, fue principalmente de carácter publicitario.
El aislamiento de los ordenadores de la LAN, necesario para que los ajustes y la configuración de Microsoft Windows NT 3.5 SP3 cumplan con los requisitos de la clase de protección C2 TCSEC, no podía ser adecuado para la mayoría de los usuarios de este sistema operativo. En este sentido, el siguiente paso de Microsoft Corporation fue desarrollar requisitos para establecer los parámetros y la configuración del sistema operativo de acuerdo con los requisitos de la clase F-C2 y el nivel de adecuación EZ ITSEC, mientras que el sistema operativo puede funcionar en computadoras conectadas a entre sí en una única LAN. La certificación para esta clase de protección de Microsoft Windows NT Workstation, Server versión 4.0 (compilación 1381) Service Park 3 se llevó a cabo en 1999 [10]. Por ello, Microsoft Corporation ha propuesto un nuevo concepto para aumentar la eficacia de la protección del sistema operativo Microsoft Windows NT.
Es posible garantizar la seguridad del sistema operativo Microsoft Windows NT de acuerdo con los requisitos de la clase F-C2 y el nivel de adecuación EZ ITSEC:
• sin instalar software o hardware adicional,
• utilizando ajustes de parámetros apropiados y el procedimiento para configurar el sistema operativo [10].
Este concepto permite aumentar la eficacia de la protección del sistema operativo, pero al mismo tiempo contiene una serie de desventajas.
1. Las configuraciones necesarias del sistema operativo relacionadas con garantizar el funcionamiento seguro en computadoras conectadas a una LAN no están completamente especificadas:
• deshabilitar la posibilidad de autenticación remota a través del protocolo LANManager;
• prohibición de publicar una lista de recursos de red para un usuario anónimo;
• permitir el acceso remoto al registro de recursos sólo a usuarios específicamente autorizados;
• prohibir el uso del servicio de inicio remoto de tareas (Shedule).
2. Proteger los datos transmitidos a través de los canales de comunicación LAN contra la interceptación sin el uso de módulos adicionales (principalmente criptográficos) es, por regla general, una tarea compleja y difícil de implementar en la práctica.
3. No se presentan los procedimientos del administrador de dominio para prevenir o reducir el daño de los ataques descritos anteriormente que involucran la toma ilegal de privilegios.
4. La estructura del sistema de seguridad del dominio se presenta en el concepto como un límite único; no contiene requisitos para instalar y configurar el sistema operativo, cuyo propósito es reducir el daño a la seguridad general del dominio en caso de un intruso. supera la protección de una de las estaciones de trabajo, compromete los datos de autenticación de uno de los usuarios, etc. etc.
Para eliminar las deficiencias del primer grupo, puede utilizar configuraciones especiales del sistema operativo [1,5] . A la hora de eliminar las deficiencias de los siguientes tres grupos, es recomendable tener en cuenta las siguientes circunstancias:
• La razón principal de las deficiencias enumeradas del concepto anterior es que los requisitos de la clase F-C2 y el nivel de adecuación EZ ITSEC, que son bastante generales, ya que están destinados a evaluar la seguridad de una amplia clase de sistemas de protección, fueron elegidos como guía para su desarrollo. Por lo tanto, los ajustes de parámetros necesarios para garantizar la seguridad, los elementos estructurales y los requisitos para el orden de operación y administración del sistema operativo, indicados en las deficiencias, quedaron fuera del alcance de consideración al desarrollar el concepto. Por lo tanto, es necesario elegir un nuevo concepto que tenga en cuenta las características específicas de Microsoft Windows NT como sistema operativo de red multiusuario.
• El nuevo concepto no puede construirse sobre la base de los requisitos de ninguna otra clase funcional de seguridad ITSEC, ya que los requisitos de la clase funcional F-BI posterior a F-C2 son imposibles de cumplir, ya que contienen la condición para implementar una seguridad obligatoria. política, lo cual es prácticamente imposible sin un estudio completo del sistema operativo, y la implementación de los requisitos de las clases funcionales F-AV, F-DI, F-DX no elimina las deficiencias de los grupos 3 y 4.
• Al desarrollar un nuevo concepto, es necesario tener en cuenta el hecho de que los textos fuente de los módulos ejecutables y la documentación completa del sistema operativo Microsoft Windows NT no están disponibles para un examen independiente y, por lo tanto, no hay garantías suficientes del correcto funcionamiento de todos. No se pueden obtener mecanismos de protección del sistema operativo.
• Utilizar como guía los requisitos de las clases de protección de los sistemas automatizados presentados en las directrices de la Comisión Técnica Estatal de Rusia [7] no conducirá al resultado deseado. Debido al requisito de implementar una política de seguridad obligatoria en las clases de los grupos 1 y 2, solo siguen siendo posibles las clases del grupo 3, cuyos requisitos, a su vez, no eliminan las deficiencias enumeradas anteriormente.
• El concepto de administración segura del sistema operativo Microsoft Windows NT no puede dejar de tener en cuenta los últimos avances en el desarrollo de criterios para evaluar sistemas informáticos seguros, establecidos en los “Criterios uniformes para la seguridad de las tecnologías de la información” [8]. Es aconsejable tener en cuenta perfiles de seguridad que describen, por ejemplo, el requisito de definir con precisión el papel de los administradores de seguridad y el requisito de asignar el número requerido de dominios de acuerdo con la política de seguridad [1].
Por lo tanto, es posible eliminar las deficiencias del concepto descrito anteriormente para adaptar la configuración del sistema de seguridad del sistema operativo Microsoft Windows NT a los requisitos de la clase F-C2 del nivel de adecuación EZ ITSEC mediante el desarrollo y la implementación de las disposiciones de un nuevo concepto de administración segura. Este nuevo concepto debe tener en cuenta las circunstancias enumeradas anteriormente y ser específico para sistemas operativos extranjeros, inaccesibles para un análisis y estudio completo.
Disposiciones del concepto de administración segura del sistema operativo Microsoft Windows NT
Describamos el concepto de administración segura, cuyo propósito es proporcionar un conjunto de recomendaciones para aumentar la eficiencia de la protección de los sistemas de procesamiento de información construidos sobre la base de este sistema operativo contra amenazas a la confidencialidad e integridad de la información. Las medidas y recomendaciones presentadas en el concepto están dirigidas principalmente a prevenir las amenazas descritas anteriormente.
No hay duda de que la gran cantidad de código para los módulos del sistema operativo Microsoft Windows NT y la falta de documentación completa (incluidos los códigos fuente de los módulos ejecutables) no permiten un estudio detallado realista y un examen independiente de este sistema operativo y su sistema de protección. Por lo tanto, para aumentar la efectividad de la protección del sistema operativo, es deseable configurarlo de tal manera que un atacante se vea obligado a superar secuencialmente varias líneas de protección, construidas sobre la base de elementos independientes distribuidos a los que es difícil acceder para un atacante. Por esta razón, se debe elegir la arquitectura de dominio del sistema operativo Microsoft Windows NT, ya que en este caso la autenticación del usuario se realiza en controladores de dominio, cuyo acceso directo debe ser limitado.
Cuando se operan grandes LAN distribuidas, la tarea de garantizar la protección de cada estación de trabajo es extremadamente compleja y difícil de implementar. Teniendo en cuenta lo anterior, es difícil brindar garantías suficientes de la integridad de los datos y el software de todas las estaciones de trabajo, y no puede haber plena confianza en los mecanismos estándar para proteger los datos de autenticación de los usuarios. Por lo tanto, no debe dejar datos de autenticación en las estaciones de trabajo que, si se modifican o utilizan, podrían ser utilizados por un atacante para alterar los recursos de otras estaciones de trabajo. Esto se puede lograr prohibiendo el almacenamiento de contraseñas de usuario cifradas en el registro de recursos de las estaciones de trabajo, prohibiendo el registro de usuarios en las estaciones de trabajo y eliminando al administrador de la estación de trabajo del grupo de sus administradores.
Al administrar estaciones de trabajo de forma remota (leer registros de auditoría, registro de recursos, administrar una impresora de red, etc.), se puede llevar a cabo un ataque utilizando el programa AdminTrap. Por lo tanto, es obvio que incluso algunas acciones regulares de un administrador de dominio representan una amenaza para la seguridad de todo el dominio, y el inicio de sesión interactivo (directo) de un administrador de dominio en una estación de trabajo conlleva la amenaza de:
• interceptación de sus datos de autenticación mediante un marcador de software que reemplaza el procedimiento de inicio de sesión en el sistema, o cuando se transmiten a través de canales LAN,
• utilizando marcadores de software del tipo “caballo de Troya”, lanzados en su en nombre y con sus privilegios.
En este sentido, el administrador del dominio debe realizar sus funciones únicamente en el controlador del dominio y únicamente utilizando software estándar, y no debe acceder de forma remota a las estaciones de trabajo del dominio. Es aconsejable limitar las funciones de un administrador de dominio únicamente a la gestión de los presupuestos de los usuarios del dominio y las estaciones de trabajo (registro, eliminación, cambio de parámetros), así como a la gestión directa de los recursos del controlador de dominio. Entonces, las funciones de administración de las estaciones de trabajo deben ser realizadas por un usuario que no sea el administrador del dominio y, al mismo tiempo, es deseable reducir el daño causado por un posible compromiso de sus datos de autenticación. Para lograr este objetivo, puede confiarle funciones administrativas. estación de trabajo a un usuario dedicado registrado en el dominio que tiene derecho a iniciar sesión en el dominio únicamente desde esta estación de trabajo.
Al igual que algunas acciones normales de un administrador de dominio, las llamadas entre sí desde componentes distribuidos del sistema operativo también pueden representar un riesgo para la seguridad. Al determinar el orden de acceso de un componente del sistema operativo a otro, especialmente al actualizar el sistema operativo con subsistemas de seguridad adicionales, es aconsejable utilizar una política de «acceso seguro», construida por analogía con la política de seguridad obligatoria. La esencia de la política de «acceso seguro» es que los componentes del sistema operativo se distribuyen según niveles de confianza; por ejemplo, un controlador de dominio tiene un alto nivel de confianza, una estación de trabajo … corto. Entonces, una llamada se considera segura si se enruta desde componentes con un nivel de confianza bajo a componentes con un nivel de confianza más alto. Por ejemplo, si es necesario mantener un registro de auditoría consolidado en un determinado servidor de seguridad, las estaciones de trabajo deben transmitir sus datos de registro de auditoría al servidor de seguridad, en lugar de que el servidor de seguridad los tome de las estaciones de trabajo.
En algunos casos, los datos, incluidos los datos de autenticación, transmitidos a través de canales LAN pueden volverse vulnerables a la interceptación y el análisis. Ante tal situación, es recomendable tomar medidas para proteger físicamente las comunicaciones y, en su caso, utilizar medios criptográficos.
Teniendo en cuenta lo anterior, no se puede confiar completamente en el sistema de control de acceso estándar del sistema operativo Microsoft Windows NT, por lo que es recomendable limitar la lista de recursos a los que los usuarios pueden obtener acceso de escritura; y es mejor proteger estos recursos utilizando mecanismos adicionales. Además, a la hora de organizar la protección de este sistema operativo, es recomendable utilizar configuraciones especiales [1,5,9, 10], si no contradicen las disposiciones anteriores.
El concepto descrito de administración segura se puede utilizar para mejorar la eficiencia de la protección de una amplia gama de sistemas de procesamiento de información integrados en el sistema operativo Microsoft Windows NT. Además, en cada caso concreto se pueden aclarar las disposiciones del concepto.
Como conclusión cabe señalar que el concepto de administración segura:
• no excluye el uso de mecanismos de protección adicionales en el sistema operativo, por ejemplo, monitorear la integridad del medio ambiente. Lo principal es que el procedimiento para establecer mecanismos de protección adicionales no contradice lo dispuesto en el concepto;
• no se puede utilizar para Microsoft Windows NT 4.0 SPx. Teniendo en cuenta las circunstancias anteriores sobre la imposibilidad de realizar una comprobación completa del correcto funcionamiento de los mecanismos de protección, tras la necesaria adaptación, el concepto se puede aplicar al sistema operativo Microsoft Windows 2000
.
Referencias:
1. ZegzdaD. P., Ivashko A. M. Cómo construir un sistema de información seguro/Bajo la dirección científica de D. P. Zegzhda y V. V. Platonov San Petersburgo: Mundo y familia 95, 1997. 312 págs.: Ill.
2. Lyutsarev V. S., Ermakov K. V., Rudny E. B., Ermakov I. V. Seguridad de redes informáticas basadas en Windows NT. M.: Departamento de publicaciones “Edición rusa” de Channel Trading Ltd. LLP, 1998. 304 p.: ill.
3. Proskurin V.G. Problemas de protección de conexiones de red en Windows NT, http://hackzone.ru/articles/admintrap.html, 1999.
4. K. Sobolev. Investigación del sistema de seguridad en Windows NT.
http://h