Скачать презентацию LOGO UNIVERSITA DEGLI STUDI DI PERUGIA Facoltà di Скачать презентацию LOGO UNIVERSITA DEGLI STUDI DI PERUGIA Facoltà di

885726f3530659e9545e8ba5d9306807.ppt

  • Количество слайдов: 42

LOGO UNIVERSITA’ DEGLI STUDI DI PERUGIA Facoltà di Scienze Matematiche, Fisiche e Naturali Corso LOGO UNIVERSITA’ DEGLI STUDI DI PERUGIA Facoltà di Scienze Matematiche, Fisiche e Naturali Corso di Laurea Specialistica in Informatica Seminario Sicurezza Informatica: Windows NT Security

Argomenti trattati 5 1 Windows Server Domain Introduzione 6 2 Controllo degli accessi Architettura Argomenti trattati 5 1 Windows Server Domain Introduzione 6 2 Controllo degli accessi Architettura 3 7 3 Security Descriptor Registro di Windows 4 8 4 Algoritmo di decisione Active Directory 4 9 Audit in Windows Palazzetti Emanuele

Introduzione q Windows NT § E’ una famiglia di sistemi operativi pensata per utenze Introduzione q Windows NT § E’ una famiglia di sistemi operativi pensata per utenze aziendali sia in ambito server che workstation § In quanto parente dei sistemi operativi UNIX, l'impostazione è multiutente, multiprocessore; il file system NTFS gestisce adeguatamente la multiutenza, assegnando a ciascun file diritti di accesso specifici per ogni utente § Si basa su una tipologia di kernel ibrido in quanto nel kernel risiedono diversi servizi oltre a quelli essenziali come ad esempio il file system, la gestione della memoria e anche la gestione della grafica § A livello di prestazioni e di sicurezza questo equivale ai kernel monolitici (ad esempio UNIX e Linux), ma consente una flessibilità maggiore § Il controllo sugli accessi viene gestito in base a singoli Palazzetti Emanuele

Architettura CALL LPC RPC Stabiliscono • Local Procedure Call facility dei meccanismi per la Architettura CALL LPC RPC Stabiliscono • Local Procedure Call facility dei meccanismi per la protezione dei dati e • Si occupa di effettuare lo scambio delle funzionalita’ del e la transazione delle chiamate dal ring 3 al ring 0 sistema dai fallimenti di sistema (fault tolerance) e dai comportamenti malevoli del codice eseguito • Remote Procedure Call(computer security) facility • Si occupa di gestire le chiamate a procedure remote, presenti nei Tramite questa suddivisione servizi del sistema operativo e’ possibile creare dei livelli di privilegi Rappresenta una vulnerabilita’ poiche’ e’ consentito a del codice esterno di(SRM) La presente una separazione(Securityanche il Security Reference Monitor Windows Executive, include Subsystem), (protection astrazione I programmi periferiche (spesso modalita’ Utenteoperano in funzionano in L’Hardware utente, effetuanotra la driver. Windows Executive, di ringprogram E’ partedelle. Abstraction Layerla partefornisce un’interfacciaanch’essi e utente e I sottosistemi di sicurezzaconsentendo di terze parti), (Application 3)dei buffer nel driver di sistema, compresa (HAL) ad un attaccante di modalita’ quella servizi in modalita’ kernel, delle chiamate alle API sono sfruttare collocati operare che sicaratterizzati controllo deglinei sistemi operativi Unix sono incarica del invocare i servizi del da componenti dell’hardware poterring presenza di diverse parte degli applicativi Kernel (protection dalla 0) come accessisistema operativo ring 0. interface) Kernel (supervisore) modalita’ per danneggiare il sistema overruns per Palazzetti Emanuele

Architettura (2) ( winlogon. exe ) E’ responsabile della procedura di accesso per anche Architettura (2) ( winlogon. exe ) E’ responsabile della procedura di accesso per anche se non. Login occupa direttamente Process verifica delle si Spoofing: Tecnica utilizzata della Log-on ottenere le password degli utenti. credenziali. Le funzioni principali includono l’invocazione di ( lsass. exe G raphical processo utilizzato and fase di logon quando un GINA ( ) E’ Viene proposta una normale alla Authentication ) per identification interfaccia viene richiesta di accesso, che delle account utente modo sicuro la verifica indell’ credenzialidal in e della sua permettere l’inserimento realta’ e’ creata passwordalcuni attacchi di dell’accesso, solitamente. Al momento si. evitando login spoofing occupa di rilasciare un programma malevolo access token che introdotto come Trojan Horse. include tutte Local Security Authority le informazioni di sicurezza E’ un database memorizzato come un file di registro. Contiene riguardanti l’utente, i gruppi ai quali appartiene need i privilegila Solitamente e’ esposto molte minacce tutte le password degli a utenti salvate in che formato alterano In hash. I dati vengono inviati all’attaccante o disponibili. funzionalita’ e l’utilizzo hash e’ unidirezionale, di memoria. L’aumento sono garantiti i di quest’ultimo, quanto una funzione loggati Altra che winlogon ha subitoin unaquesto sottosistema, assegnata un particolare area ( dirottamento ). di e’ quella indica funzione di sicurezza perala tenuta delle password. hijacking meccanismi base facilmente del sistema. scrivere i log per effettuare l’auditing reperibile. Security Account Manager Per aumentare il livello di sicurezza di SAM contro gli attacchi offline (furto del database), e’ stata introdotta la SYSKEY ovvero una chiave lunga 128 -bit utilizzata per cifrare le password contenute. Tuttavia, sono state individuate alcune forme di crittanalisi capaci di fornire metodi per decifrare SAM. Emanuele Palazzetti Security Subsystem

Caratteristiche di Windows • Registro • Active Directory • Windows Server Domain Palazzetti Emanuele Caratteristiche di Windows • Registro • Active Directory • Windows Server Domain Palazzetti Emanuele

Registro di Windows q Registro § Viene identificato come il database centrale di tutta Registro di Windows q Registro § Viene identificato come il database centrale di tutta la configurazione di Windows e dei suoi applicativi § Ogni voce del registro viene chiamata key § E’ disponibile un programma ( regedit. exe ) per poter modificare le varie chiavi presenti sul registro o semplicemente per visualizzarlo nella sua struttura § Un punto di forza e’ la possibilita’ di creare criteri di gruppo che permettono all'amministratore di una rete di computer basati su Windows di gestire impostazioni di protezione e dei programmi in maniera centralizzata. In particolare, la possibilità di specificare chiavi nel registro che saranno applicate a tutti i computer della rete. § Tramite l'API, è possibile accedere al registro indifferentemente da locale o da remoto consentendo anche l’esecuzione di script per automatizzare Emanuele le Palazzetti

Registro di Windows (2) q Struttura del registro § HKEY_CLASSES_ROOT: contiene tutte le estensioni Registro di Windows (2) q Struttura del registro § HKEY_CLASSES_ROOT: contiene tutte le estensioni § associate ai file HKEY_CURRENT_USER: contiene le informazioni di configurazione dell’utente correntemente loggato § HKEY_LOCAL_MACHINE: contiene le informazioni di configurazione riferite all’intera macchina locale § HKEY_USERS: contiene tutte le informazioni dei profili attualmente caricati nel sistema § HKEY_CURRENT_CONFIG: contiene le informazioni riferite ai profili hardware utilizzati dal computer locale al momento dell’avvio Palazzetti Emanuele

Registro di Windows (3) q Struttura del registro – Hive utilizzati per la sicurezza Registro di Windows (3) q Struttura del registro – Hive utilizzati per la sicurezza § § § HKEY_LOCAL_MACHINESAM HKEY_LOCAL_MACHINESecurity HKEY_LOCAL_MACHINESoftware HKEY_CURRENT_CONFIG HKEY_USERS. DEFAULT Palazzetti Emanuele

Registro di Windows (4) q Registro – Vulnerabilita’ § Modificando le chiavi di registro Registro di Windows (4) q Registro – Vulnerabilita’ § Modificando le chiavi di registro si modifica il comportamento del sistema operativo; questa e’ una vulnerabilita’ elevata se si considera la possibilita’ di cambiare la path dove il sistema va a ricercare alcuni eseguibili importanti (incluso lo stesso explorer. exe ). § E’ importante impostare correttamente i permessi di modifica delle chiavi evitando di consentire il privilegio a tutti ma solo agli amministratori. § Si deve sempre proteggere l’integrita’ del registro anche da manipolazioni da parte di computer nella stessa rete. Bisogna eliminare , pertanto, il regedit e le sue API dai computer che non detengono di una funzione di gestione del sistema. § Talvolta e’ meglio una semplicita’ ridotta a favore di una sicurezza maggiore. Disattivare o limitare Palazzetti Emanuele strettamente

Registro di Windows (5) q Registro – Vulnerabilita’ § Verificare sempre la chiave di Registro di Windows (5) q Registro – Vulnerabilita’ § Verificare sempre la chiave di registro HKEY_LOCAL_MACHINE_SYSTEMCurrent. Control. SetCo ntrol Secure. Pipe. ServersWinreg in quanto stabilisce i criteri di accesso da parte di gruppi o di utenti al registro in modalita’ remota. § Se questa chiave non esiste, l’accesso viene fatto senza alcun controllo! § Un utente remoto puo’ agire sul registro come se fosse un utente locale Palazzetti Emanuele

Active Directory q Active Directory § E’ una tecnologia che introduce le Directory Service Active Directory q Active Directory § E’ una tecnologia che introduce le Directory Service utilizzate per immagazzinare informazioni riguardanti le risorse distribuite nella rete di un dominio e per centralizzare la gestione della rete § Tutti gli elementi vengono definiti oggetti organizzati in Active Directory; si possono individuare tre grandi gruppi di oggetti: risorse (stampanti), servizi (smtp server) ed utenti (account utenti e gruppi) § Organizza gli oggetti e registra tutte le informazioni , incluse le politiche di sicurezza e di accesso agli oggetti, in un database centralizzato § Ciascun oggetto detiene delle proprieta’ specifiche e di un GUID ( Global Unique Identifier ) utilizzato per distinguerlo in modo univoco; anche alle singole proprieta’ viene associato un GUID Palazzetti Emanuele

Active Directory (2) q Active Directory – Directory tree Compagnia A Oggetto: Stampante Modello: Active Directory (2) q Active Directory – Directory tree Compagnia A Oggetto: Stampante Modello: A colori Stanza: 123 Divisione A Divisione B Oggetto: Utente Nome: Diego Indirizzo: Perugia Stanza: 125 Ricerca Palazzetti Emanuele

Active Directory (3) q Active Directory – Directory tree § Se e’ presente una Active Directory (3) q Active Directory – Directory tree § Se e’ presente una connessione logica tra i vari oggetti, anche se sono di tipo differente, possono essere disposti nello stesso contenitore § Questa funzionalita’ e’ fondamentale per gestire risorse in organizzazioni molto estese dove, l’implementazione di strutture di oggetti raggruppate per tipo, comporterebbe una gestione centralizzata troppo complessa § Tutte le policy e le politiche di accesso all’intera directory del servizio vengono applicate a tutte le directory o servizi sottostanti grazie a dei meccanismi di ereditarieta’ Palazzetti Emanuele

Windows Server Domain q Windows Server Domain § E’ un insieme logico di computer Windows Server Domain q Windows Server Domain § E’ un insieme logico di computer che condividono il database degli account utente e tutte le policy di sicurezza § Permette la creazione di strutture gerarchiche rappresentabili come foreste di domini. In questo modo e’ possibile collegare i domini in modo da ereditare il database degli account o le policy di sicurezza da domini a livelli superiori § E’ facilitata l’amministrazione della rete in quanto un amministratore puo’ gestire qualsiasi computer interconnesso nel suo dominio o in domini di gerarchia inferiore § In quanto sono condivisi i database di sistema, gli utenti non vengono autenticati con la macchina locale bensi’ con il dominio di appartenenza § Viene realizzato un meccanismo di single sign-on per tutti i Palazzetti Emanuele

Windows Server Domain (2) q Domain Controller § E’ un server che processa e Windows Server Domain (2) q Domain Controller § E’ un server che processa e garantisce un livello di sicurezza a tutte le richieste di autenticazione gestendo, quindi, le fasi di log-on , di controllo dei permessi e di distribuzione delle policy ai computer registrati in un Windows Server Domain. § Include un database LDAP ( Lightweight Directory Access Protocol ) impiegato per consentire l’accesso agli oggetti presenti nel dominio § Prevede il meccanismo KDC ( Key distribution center ) utilizzato per lo scambio sicuro delle chiavi crittografiche quando esse vengono utilizzate per garantire che particolari servizi siano accessibili a determinati soggetti in determinati istanti temporali § Implementa un meccanismo cross-platform chiamato CIFS ( Common Internet File System ) che viene Palazzetti impiegato per gestire le richieste di file e di servizi. Emanuele di

Windows Server Domain (3) q Accesso ad un Windows Server Domain (Kerberos V 5) Windows Server Domain (3) q Accesso ad un Windows Server Domain (Kerberos V 5) § A partire da Windows 2003 Server, e’ implementata un’estensione del protocollo permettere l’autenticazione iniziale tramite certificati registrati su smart cards § Il KDC di Kerberos utilizza Active Directory come database degli account utente; questo rende Kerberos scalabile all’aumentare della dimensione della rete e dei domini § La versione 5 del protocollo prevede che la transazione iniziale tra client e server, venga stabilita in un ambiente non sicuro (Internet) pertanto e’ richiesta la mutua identificazione § Se gli utenti accedono ad un dominio che include dei servizi sensibili , la mutua identificazione e’ garantita dalla creazione di VPN ( Virtual Private Network Palazzetti Emanuele )

Controllo degli accessi Entita’ attive delle Policy di Sicurezza Utenti locali Utenti dominio Gruppi Controllo degli accessi Entita’ attive delle Policy di Sicurezza Utenti locali Utenti dominio Gruppi Macchine Palazzetti Emanuele

Controllo degli accessi (2) q Entita’ § Sono le figure attive delle policy di Controllo degli accessi (2) q Entita’ § Sono le figure attive delle policy di sicurezza dotati di un username e di un SID ( Security Identifier ) § Possono essere create localmente ; in tal caso sono amministrabili e visibili solo sulla macchina locale e vengono identificate con il seguente nome : Palazzetti Emanuele

Controllo degli accessi (3) q Gruppi ed Alias § Un gruppo e’ una collezione Controllo degli accessi (3) q Gruppi ed Alias § Un gruppo e’ una collezione di Security Identifier gestiti dal Domain Controller; a sua volta il gruppo detiene un proprio SID § Un membro di un gruppo, oltre ai privilegi personali, puo’ far uso dei privilegi e dei permessi assegnati ad un gruppo § Costituiscono un livello intermedio di controllo in quanto i permessi riferiti ad un oggetto sono assegnati ad un gruppo e gli utenti ereditano l’accesso all’oggetto diventando membri di quel gruppo § Un alias e’ una collezione di SID riferiti ad utenti e gruppi e solitamente sono utilizzati per implementare dei ruoli a livello logico anche se, realmente, non sono dei ruoli Palazzetti Emanuele

Controllo degli accessi (4) q Security Identifier § E’ una sequenza alfanumerica utilizzata per Controllo degli accessi (4) q Security Identifier § E’ una sequenza alfanumerica utilizzata per identificare in modo univoco un soggetto visto come utente o gruppo § E’ il domain controller che utilizza il SID per confermare l’accesso al sistema o a servizi presenti nel dominio § Viene generato al momento della creazione dell’utente o del gruppo e resta invariato per tutta la durata di vita dell’account; la generazione e’ pseudo-random pertanto non e’ possibile che, una volta cancellato un account, sia possibile crearne un altro con lo stesso SID § Come conseguenza, la creazione di un nuovo account non eredita accessi o permessi dell’account precedente § Vengono associati SID anche ai domini e, non appena una workstation o un server si unisce al dominio, un SID viene generato per la nuova macchina includendo il SID del dominio stesso Palazzetti Emanuele

Controllo degli accessi (5) q Security Identifier Un SID risponde a questo formato : Controllo degli accessi (5) q Security Identifier Un SID risponde a questo formato : S – R – I – SA – N S: lettera R: numero di revisione (attualmente e’ 1) I: identificatore dell’autorita’ (5 indica una NT Authority) SA: identificatore del dominio o del computer locale N: identificatore relativo per garantire unicita’ al SID Palazzetti Emanuele

Controllo degli accessi (6) q Security Identifier Everyone: S-1 -1 -0 SYSTEM: S-1 -5 Controllo degli accessi (6) q Security Identifier Everyone: S-1 -1 -0 SYSTEM: S-1 -5 -18 Administrator: S-1 -5 -21 --500 Administrators: S-1 -5 -32 -544 Domain Admins: S-1 -5 -21 --512 Guest: S-1 -5 -21 --501 Palazzetti Emanuele

Controllo degli accessi (7) q Access Token § Quando un utente viene autenticato con Controllo degli accessi (7) q Access Token § Quando un utente viene autenticato con successo al sistema tramite le sue credenziali, viene assegnato un Access token § E’ un oggetto, contenente il descrittore di sicurezza , che include tutte le informazioni per identificare l’utente, il suo gruppo ed i suoi privilegi § Il descrittore di sicurezza viene allegato ad ogni processo o thread istanziato durante la sessione dell’utente e, quando il processo accede ad un oggetto, Windows verifica con il descrittore di sicurezza se l’utente detiene i diritti per accedere alla risorsa § Quando un processo genera un altro processo, il suo access token viene copiato nell’area riservata all’altro processo § I token possono essere dei Primary token o dei Impersonation token Palazzetti Emanuele

Controllo degli accessi (8) q Access Token – Struttura SID Utente SID Gruppo e Controllo degli accessi (8) q Access Token – Struttura SID Utente SID Gruppo e Alias Lista dei privilegi Default per i nuovi oggetti Altri elementi Palazzetti Emanuele

Controllo degli accessi (9) q Privilegi § I privilegi sono DIVERSI dai diritti di Controllo degli accessi (9) q Privilegi § I privilegi sono DIVERSI dai diritti di accesso che, invece, controllano la possibilita’ da parte di utenti di accedere ad oggetti protetti § Esempi di privilegi: Backup dei file e delle directory Gestire gli applicativi di audit ed i log Cambiare permessi a files o altri oggetti (mutare Active Directory) Spengere il sistema Palazzetti Emanuele

Security Descriptor q Security Descriptor § E’ incapsulato all’interno dell’Access token quando l’oggetto e’ Security Descriptor q Security Descriptor § E’ incapsulato all’interno dell’Access token quando l’oggetto e’ un processo § Viene assegnato a qualsiasi oggetto di tipo executive ( processi ), filesystem ( files ) o service ( stampanti ) § Permette la creazione di securable objects cioe’ di oggetti protetti sui quali e’ possibile imporre una politica di controllo degli accessi granulare Palazzetti Emanuele

Security Descriptor (2) q Security Descriptor – Struttura SID Proprietario Gruppo primario DACL SACL Security Descriptor (2) q Security Descriptor – Struttura SID Proprietario Gruppo primario DACL SACL Palazzetti Emanuele

Security Descriptor (3) q Discretionary Access Control List § E’ una lista di controllo Security Descriptor (3) q Discretionary Access Control List § E’ una lista di controllo degli accessi ( ACL ) che consente Accesso consentito o di decidere al sistema se consentire o negare l’accesso negato: dell’utente ad un particolare oggetto § E’ composto da una serie di Access GUID utilizzato per Control Entries ACCESS_ALLOWED_ACE identificare in modo ACCESS_DENIED_ACE ( ACE ) dotati della seguente struttura: univoco degli oggetti che GUID l’oggetto cui l’ACE e’ riferito erediteranno le policy di Tipo ACE accesso definite in questo Diritti di accesso consentiti ACE Tipo oggetto qualora l’ACE corrisponda alla richiesta fatta Oggetto che puo’ ereditare. SID dell’Utente cui l’ACE e’ l’ACE riferito Diritti di accesso SID Utente Palazzetti Emanuele

Security Descriptor (4) q Discretionary Access Control List – Struttura ACE 1 Type: Object. Security Descriptor (4) q Discretionary Access Control List – Struttura ACE 1 Type: Object. Type: Inherited. Object. Type: ACCESS_ALLOWED_ACE GUID di una home page web GUID degli oggetti riferiti agli account utente Access rights: Scrittura Principal SID: S-1 -1 -0 (Everyone) Palazzetti Emanuele

Security Descriptor (5) q Ereditarieta’ degli ACE Research Container type ACE 1 Inherited. Object. Security Descriptor (5) q Ereditarieta’ degli ACE Research Container type ACE 1 Inherited. Object. Type null ACE 2 Inherited. Object. Type User ACE 3 Inherited. Object. Type Printer ResearchDiego User type ACE 1 Inherited. Object. Type null ACE 2 Inherited. Object. Type User ResearchHPPrinter type ACE 1 Inherited. Object. Type null ACE 3 Inherited. Object. Type Printer Palazzetti Emanuele

Security Descriptor (6) q Ereditarieta’ degli ACE – Eccezioni alle regole Documenti Container Type: Security Descriptor (6) q Ereditarieta’ degli ACE – Eccezioni alle regole Documenti Container Type: ACCESS_DENIED_ACE 1 Access right: read, write Principal: Diego Inherited. Object: Lettera DocumentiFoto_A Foto Type DocumentiLettera_A Lettera Type: ACCESS_ALLOWED_ACE ACCESS_DENIED_ACE 1 ACE 2 Access right: read, write Principal: Diego Type: ACCESS_DENIED_ACE 1 Access right: read, write Principal: Diego Palazzetti Emanuele

Security Descriptor (6) q Ereditarieta’ degli ACE – Eccezioni alle regole Documenti Container Type: Security Descriptor (6) q Ereditarieta’ degli ACE – Eccezioni alle regole Documenti Container Type: ACCESS_DENIED_ACE 1 Access right: read, write Principal: Diego Inherited. Object: Lettera DocumentiFoto_A Foto Type SE_DACL_PROTECTED DocumentiLettera_A Lettera Type: ACCESS_ALLOWED_ACE 2 Access right: read, write Principal: Diego Palazzetti Emanuele

Security Descriptor (7) q Contesto limitato degli ACE § Quando un Access Token viene Security Descriptor (7) q Contesto limitato degli ACE § Quando un Access Token viene assegnato ad un processo, esso eredita l’Access Token fornito all’utente al momento del log-on; eredita pertanto tutti i diritti e privilegi associati § La caratteristica di molti programmi, e’ che talvolta il codice scritto non e’ sicuro e particolari operazioni possono danneggiare gravemente il sistema § Una soluzione e’ quella di implementare un meccanismo per garantire al processo solo i permessi di cui ha strettamente bisogno per portare a termine il suo lavoro § Windows implementa un code-based access control tramite l’utilizzo di restricted token (token limitati) Palazzetti Emanuele

Security Descriptor (8) q Code-based Access Control § Nell’Access Token, vengono inseriti dei flag Security Descriptor (8) q Code-based Access Control § Nell’Access Token, vengono inseriti dei flag e dei marcatori, per negare al processo l’utilizzo di particolari diritti associati a gruppi § Viene specificato anche un SID limitato per garantire che il processo possa agire solo su particolari oggetti indipendentemente dai diritti che detiene § In questo modo un processo con un token ristretto, puo’ accedere ad un oggetto solo se sia al SID dell’user che a quello limitato e’ garantito l’accesso Palazzetti Emanuele

Security Descriptor (9) q Code-based Access Control – Esempio User SID: Diego Group SIDs: Security Descriptor (9) q Code-based Access Control – Esempio User SID: Diego Group SIDs: Administrator ACE 3: ACE 1: Access Rights: read, write read User SID: Diego Administrator ACE 1: Access Rights: read, write SIDs: Restricted User SID: Diego ACE 2: Access Rights: read User SID: My. App USE_FOR_DENY_ONLY Users My. App … Palazzetti Emanuele

Riepilogo Algoritmo Decisione q Algoritmo decisione permettere l’accesso ad oggetti. Quando un soggetto § Riepilogo Algoritmo Decisione q Algoritmo decisione permettere l’accesso ad oggetti. Quando un soggetto § (utente o gruppo) richiede l’accesso ad un oggetto, l’SRM esegue un confronto tra l’access token del soggetto, l’ACL dell’oggetto e la maschera di accesso all’oggetto per determinare se l’accesso puo’ essere permesso § Viene subito verificato che esista il DACL nel Security Descriptor dell’oggetto: se non e’ presente ( NULL DACL ) l’accesso e’ permesso § Altrimenti viene verificato, tramite il SID, se il soggetto e’ il proprietario dell’oggetto ed in tal caso l’accesso e’ consentito § Se l’utente non e’ proprietario , per ogni ACE viene fatto il confronto tra il SID dell’utente e quello descritto nell’ACE Palazzetti Emanuele

Riepilogo Algoritmo Decisione (2) q Algoritmo decisione per garantire accessi agli oggetti Nessun ACE Riepilogo Algoritmo Decisione (2) q Algoritmo decisione per garantire accessi agli oggetti Nessun ACE dell’oggetto contiene il SID dell’user; 1. la richiesta viene negata 2. Viene trovato il SID dell’user all’interno di un ACE di tipo ACCESS_DENIED_ACE ; la richiesta viene negata e l’algoritmo si interrompe 3. Viene trovato il SID dell’user all’interno di un ACE di tipo ACCESS_ALLOWED_ACE ; Se la maschera di accesso richiesta dal processo utente, combacia con quella definita all’interno dell’ACE, la richiesta e’ permessa ed il processo puo’ ottenere l’handle sull’oggetto. Altrimenti l’algoritmo prosegue nella sua ricerca fino ad un caso terminale Palazzetti Emanuele

Audit in Windows q Audit e logging § Consiste nell’utilizzare servizi di Windows per Audit in Windows q Audit e logging § Consiste nell’utilizzare servizi di Windows per registrare particolari eventi legati alla sicurezza del sistema e all’utilizzo di oggetti all’interno dell’Active Directory § Quando un utente accede ad un oggetto per il quale sia impostata una politica di auditing nel suo SACL, il sistema effettua le scritture nei log in base alle policy stabilite § Tutte le operazioni di scrittura dei log sono effettuate dal Security Reference Monitor § I log sono solitamente vincolati in dimensione al raggiungimento della quale, viene applicata una delle seguenti politiche: § Sovrascrittura degli eventi quando richiesta § Sovrascrittura degli eventi piu’ vecchi di X giorni Palazzetti Emanuele § Non sovrascrivere eventi

Audit in Windows (2) q Audit e logging – Blocco del meccanismo di logging Audit in Windows (2) q Audit e logging – Blocco del meccanismo di logging § Nel caso in cui, a causa di una delle scelte prese nella definizione delle policy di registrazione o di pulizia dei log, l’SRM non puo’ piu’ effettuare registrazione di eventi, il sistema viene arrestato secondo quanto definito nella chiave di registro: HKEY_LOCAL_MACHINESystemCurrent. Control. SetCo ntrolLsa Name: Crash. On. Audit. Fail Type: REG_DWORD Value: 1 § Questa scelta “distruttiva”, rispettare i requisiti stabiliti nell’ e’ tuttavia necessaria per Orange Book livello C 2 Palazzetti Emanuele

Conclusioni q Windows NT Security § Dispone di buoni meccanismi di sicurezza a livello Conclusioni q Windows NT Security § Dispone di buoni meccanismi di sicurezza a livello architetturale nonostante la vulnerabilita’ sull’esecuzione del codice dei driver § Tramite l’uso di Windows Server Domain , e’ possibile creare reti gerarchiche o paritarie capaci di condividere, tramite le Active Directory, tutti i database degli utenti, le policy di sicurezza, i diritti di accesso agli oggetti e l’ereditarieta’ degli stessi § L’utilizzo di Kerberos e di VPN , consentono di creare reti globali suddivise per domini § L’uso degli Access Token e dei Security Descriptor consentono di gestire in modo granulare i permessi di accesso a tutti gli oggetti facenti parte del dominio; la definizione di Restricted Token , consente anche di limitare il codice “untrusted” degli utenti Palazzetti Emanuele

LOGO UNIVERSITA’ DEGLI STUDI DI PERUGIA Facoltà di Scienze Matematiche, Fisiche e Naturali Corso LOGO UNIVERSITA’ DEGLI STUDI DI PERUGIA Facoltà di Scienze Matematiche, Fisiche e Naturali Corso di Laurea Specialistica in Informatica