Слайд 2
Корпоративная сеть
Уровни информационной инфраструктуры
Слайд 3
Корпоративная сеть
E-Mail сервер
WWW
сервер
Внутренние серверы
Рабочие места
Центральный офис
Маршру-тизатор
МСЭ
Windows NT
Клиентские
рабочие
станции
Слайд 4
Корпоративная сеть
E-Mail сервер
WWW
сервер
Внутренние серверы
Рабочие места
Центральный офис
Маршру-тизатор
МСЭ
Windows NT
Клиентские
рабочие
станции
Серверы бизнес
приложений
Серверы
БД
Серверы файлов и
печати
Слайд 5
Корпоративная сеть
E-Mail сервер
WWW
сервер
Внутренние серверы
Рабочие места
Центральный офис
Маршру-тизатор
МСЭ
Windows NT
Клиентские
рабочие
станции
Серверы бизнес
приложений
Серверы
БД
Серверы файлов и
печати
Серверы DMZ
Слайд 6
Корпоративная сеть
E-Mail сервер
WWW
сервер
Внутренние серверы
Рабочие места
Центральный офис
Маршру-тизатор
МСЭ
Windows NT
Клиентские
рабочие
станции
Серверы бизнес
приложений
Серверы
БД
Серверы файлов и
печати
Серверы DMZ
Маршрутизаторы, МЭ
Слайд 7
Система безопасности
Процесс входа
в систему WinLogon
Локальный
администратор
безопасности (LSA)
Диспетчер учетных
записей (SAM)
Пакет аутентификации
MSV1_0
Журнал
аудита
Монитор безопасности (SRM)
База данных
учетных
записей
Слайд 8
Система безопасности
Процесс входа
в систему WinLogon
Локальный
администратор
безопасности (LSA)
Журнал
аудита
Монитор безопасности (SRM)
Принимает запросы на регистрацию
\…\System32\Winlogon.exe
Слайд 9
Система безопасности
Процесс входа
в систему WinLogon
Локальный
администратор
безопасности (LSA)
Журнал
аудита
Монитор безопасности (SRM)
Создание маркера безопасного доступа
Управление системной
политикой
Управление политикой аудита
\…\System32\Lsass.exe
Слайд 10
Система безопасности
Процесс входа
в систему WinLogon
Локальный
администратор
безопасности (LSA)
Журнал
аудита
Монитор безопасности (SRM)
Хранение данных аудита
\…\System32\Config\SecEvent.evt
Слайд 11
Система безопасности
Диспетчер учетных
записей (SAM)
Пакет аутентификации
MSV1_0
Монитор безопасности (SRM)
База
данных
учетных записей
Проверка имени и пароля
\…\System32\Msv1_0.dll
Слайд 12
Система безопасности
Диспетчер учетных
записей (SAM)
Пакет аутентификации
MSV1_0
Монитор безопасности (SRM)
База
данных
учетных записей
Поддержка базы данных пользовательских бюджетов
\…\System32\Samsrv.dll
Слайд 13
Система безопасности
Диспетчер учетных
записей (SAM)
Пакет аутентификации
MSV1_0
Монитор безопасности (SRM)
База
данных
учетных записей
Хранение информации о бюджетах пользователей, групп, компьютеров
Хранится
в нескольких местах
\…\System32\config\sam
\…\repair\sam._
ERD
Слайд 14
Система безопасности
Процесс входа
в систему WinLogon
Локальный
администратор
безопасности (LSA)
Журнал
аудита
Монитор безопасности (SRM)
Проверка доступа
Генерация сообщений аудита
ядро ОС
Слайд 15
Процесс регистрации
CTRL+ALT+DEL
Ввод данных
Winlogon LSA
LSA MSV1_0
Обработка на
удалённом
узле и получение SID
Получение SID
Winlogon Win32
Бюджет
локальный?
Имя:
Пароль: Домен:
Да
Нет
Рабочий стол
Слайд 16
Бюджеты
SID (Security ID)
Пользователь
Группа
Компьютер
Слайд 17
Бюджеты
SID (Security ID)
S-1-5-21-917267712-1342860078-1792151419-500
Обозначение SID
S-R-I-S-S…
Уровень контроля (revision level)
Значение идентификатора полномочий
(identifier-authority value)
подзначение (subauthority value(s))
RID
Слайд 18
Маркер безопасного доступа
Пользователь
Master (SID)
Группы
Users (SID)
Interactive (SID)
Everyone
(SID)
Пользовательские права
SeSystemtimePrivelege
Слайд 20
Субъект доступа
Субъект доступа = Маркер безопасного доступа +
Программа
Простой субъект
Субъект-сервер
Пользователь
Master
…
Слайд 21
Объект
Тип данных
Атрибуты
Набор операций, выполняемых над объектом
Объект
Слайд 22
Объект доступа
Owner: Administrator
ACL:
Grant: (all) Administrator
Grant: (R): Users
Revoke: Everyone
System
ACL:
Audit: (R): Users
D:\Winnt\System32\regedt32.exe
Пример объекта - файл
Слайд 23
Получение доступа
Монитор
Безопасности
Определение
Доступа
Запрос доступа
Элемент контроля
доступа SID123X
Права:
Read
Write
Execute
…
No access
Субъект
(Маркер)
Объект
(Дескриптор)
Доступ
к объекту Х
Маска
доступа
Слайд 24
База данных SAM
База данных SAM хранит два криптогра-фических
хэша для каждого пароля:
LAN Manager Password. Используется для совместимости
со старыми версиями ОС Microsoft и не может быть больше 14 символов.
Windows NT Password. Базируется на Unicode и ограничен 128 символами.
Слайд 25
База данных SAM
LAN Manager Password.
user: user1
password: qwerty
1.
QWERTY
2. QWERTY00000000
3. QWERTY0 0000000
4.
5.
nonce
nonce
+
= хэш (16 байт)
Слайд 26
База данных SAM
Windows NT Password.
user: user1
password: qwerty
1.
Конвертирование в UNICODE
2. Шифрование по MD4
Слайд 27
Шифрование SAM
Утилита SYSKEY
Секретный ключ на жёстком диске
Секретный ключ на дискете
Секретный ключ – пароль пользователя
Слайд 28
Фильтр для паролей
Passfilt.dll
Длина пароля не менее 6
знаков
Обязательные символы (верхний/нижний
регистр, числа, спецсимволы)
Пароль не должен
содержать
имя пользователя
Слайд 29
Утилита Passprop
Включение режима усложнения пароля
Управление блокировкой
учётной
записи «Administrator»
Слайд 30
Утилита Passprop
Требования к паролям
Пароль должен содержать символы
обоих регистров (Aa, Gf, Ud)
или
Пароль должен содержать цифры или
спецсимволы (a1, g3, G%, &$)
Слайд 31
Сетевая аутентификация
Передача пароля в открытом виде
Передача
хэша пароля
Механизм «запрос/отклик»
Клиент
Сервер
Запрос пароля
Установление связи
Слайд 32
Сетевая аутентификация
Клиент
Сервер
Механизм «запрос/отклик» в Windows NT
Запрос пароля
Зашифрованный запрос
Установление
связи
Аналогичная операция и сравнение
SMB_CON_NEGOTIATE
SMB_SESSION_SETUP&X
Слайд 33
Сетевая аутентификация
Способы аутентификации (начиная с SP 4)
LAN Manager
NTLM
NTLMv2
Слайд 34
Сетевая аутентификация
Hive: HKEY_LOCAL_MACHINE
Key: System\CurrentControlSet\Control\Lsa
Name: LMCompatibilityLevel
Type:
REG_DWORD
Value: 0 - 5
Слайд 35
Настройка системы безопасности
Системная политика
Настройка прав пользователей
Исправление ошибок ОС
Настройка
доступа к объектам
Установка ключей реестра
Слайд 38
Исправление ошибок ОС
Приложение
Win32
Подсистема
Win32
Режим пользователя
Режим ядра
Исполнительная
система
(NTExecutive)
ядро
Аппаратура
Слайд 40
Файл подкачки
Hive: HKEY_LOCAL_MACHINE
Key: System\CurrentControlSet\Control\
\Session Manager\Memory Management
Name: ClearPageFileAtShutdown
Type:
REG_DWORD
Value: 1
Установка ключей реестра
Слайд 41
Task Manager
Hive: HKEY_CURRENT_USER
Key: Software\Microsoft\Windows\CurrentVersion
\Policies\System
Name: DisableTaskMgr
Type:
REG_DWORD
Value: 1
Установка ключей реестра
Слайд 42
Null Session
Hive: HKEY_LOCAL_MACHINE
Key: System\CurrentControlSet\Control\Lsa
Name: RestrictAnonymous
Type: REG_DWORD
Value:
1
Установка ключей реестра
Слайд 43
Общие ресурсы
Hive: HKEY_LOCAL_MACHINE
Key: System\CurrentControlSet\Services\
\LanmanServer\Parameters
Name: AutoShareServer
Type: DWORD
Value:
0
Установка ключей реестра
Слайд 44
Утилиты для настройки
C2 Config - Windows NT Resource
Kit
Security Configuration Manager (SCM)
Руководства по настройке
NSA Guide
Windows NT Security
Guidelines
Слайд 45
NT Security Guidelines
Структура документа
Level 1
Level 2
Level 1 –
незначительная модификация установок по умолчанию
Level 2 – для узлов
с повышенными требованиями к безопасности
Слайд 46
NT Security Guidelines
Введение
Обзор документа
Процесс инсталляции
Не копировать установленную систему
Отключить
неиспользуемые подсистемы
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\Subsystems
Отключить не нужные устройства
…
19
частей
Слайд 47
Security Configuration Manager
Compatible Configuration
Secure Configuration
High Secure Configuration