Slide Title Безопасность Windows NT Server 4.0

Slide Title Корпоративная сеть Уровни информационной инфраструктуры ПРИЛОЖЕНИЯ СУБД ОС СЕТЕВЫЕ СЛУЖБЫ ПОЛЬЗОВАТЕЛИ

Slide Title Корпоративная сеть сервер WWWсервер Внутренние серверы Рабочие места Центральный офис Маршру- тизатор МСЭ Windows NT Клиентские рабочие станции

Slide Title Корпоративная сеть сервер WWWсервер Внутренние серверы Рабочие места Центральный офис Маршру- тизатор МСЭ Windows NT Клиентские рабочие станции Серверы бизнес приложений Серверы БД Серверы файлов и печати

Slide Title Корпоративная сеть сервер WWWсервер Внутренние серверы Рабочие места Центральный офис Маршру- тизатор МСЭ Windows NT Клиентские рабочие станции Серверы бизнес приложений Серверы БД Серверы файлов и печати Серверы DMZ

Slide Title Корпоративная сеть сервер WWWсервер Внутренние серверы Рабочие места Центральный офис Маршру- тизатор МСЭ Windows NT Клиентские рабочие станции Серверы бизнес приложений Серверы БД Серверы файлов и печати Серверы DMZ Маршрутизаторы, МЭ

Slide Title Система безопасности Процесс входа в систему WinLogon Локальный администратор безопасности (LSA) Диспетчер учетных записей (SAM) Пакет аутентификации MSV1_0 Журнал аудита Монитор безопасности (SRM) База данных учетных записей

Slide Title Система безопасности Процесс входа в систему WinLogon Локальный администратор безопасности (LSA) Журнал аудита Монитор безопасности (SRM) Принимает запросы на регистрацию \…\System32\Winlogon.exe

Slide Title Система безопасности Процесс входа в систему WinLogon Локальный администратор безопасности (LSA) Журнал аудита Монитор безопасности (SRM) Создание маркера безопасного доступа Управление системной политикой Управление политикой аудита \…\System32\Lsass.exe

Slide Title Система безопасности Процесс входа в систему WinLogon Локальный администратор безопасности (LSA) Журнал аудита Монитор безопасности (SRM) Хранение данных аудита \…\System32\Config\SecEvent.evt

Slide Title Система безопасности Диспетчер учетных записей (SAM) Пакет аутентификации MSV1_0 Монитор безопасности (SRM) База данных учетных записей Проверка имени и пароля \…\System32\Msv1_0.dll

Slide Title Система безопасности Диспетчер учетных записей (SAM) Пакет аутентификации MSV1_0 Монитор безопасности (SRM) База данных учетных записей Поддержка базы данных пользовательских бюджетов \…\System32\Samsrv.dll

Slide Title Система безопасности Диспетчер учетных записей (SAM) Пакет аутентификации MSV1_0 Монитор безопасности (SRM) База данных учетных записей Хранение информации о бюджетах пользователей, групп, компьютеров Хранится в нескольких местах \…\System32\config\sam \…\repair\sam._ ERD

Slide Title Система безопасности Процесс входа в систему WinLogon Локальный администратор безопасности (LSA) Журнал аудита Монитор безопасности (SRM) Проверка доступа Генерация сообщений аудита ядро ОС

Slide Title Процесс регистрации CTRL+ALT+DEL Ввод данных Winlogon LSA LSA MSV1_0 Обработка на удалённом узле и получение SID Получение SID Winlogon Win32 Бюджет локальный? Имя: Пароль: Домен: Да Нет Рабочий стол

Slide Title Бюджеты SID (Security ID) Пользователь Группа Компьютер

Slide Title Бюджеты SID (Security ID) S Обозначение SID S-R-I-S-S… Уровень контроля (revision level) Значение идентификатора полномочий (identifier-authority value) подзначение (subauthority value(s)) RID

Slide Title Маркер безопасного доступа Пользователь Master (SID) Группы Users (SID) Interactive (SID) Everyone (SID) Пользовательские права SeSystemtimePrivelege

Slide Title Маркер безопасного доступа Пользователь Master (SID) Группы Users (SID) Interactive (SID) Everyone (SID) Пользовательские права SeSystemtimePrivelege

Slide Title Субъект доступа Субъект доступа = Маркер безопасного доступа + Программа Простой субъект Субъект-сервер Пользователь Master …

Slide Title Объект Тип данных Атрибуты Набор операций, выполняемых над объектом Объект

Slide Title Объект доступа Owner: Administrator ACL: Grant: (all) Administrator Grant: (R): Users Revoke: Everyone System ACL: Audit: (R): Users D:\Winnt\System32\regedt32. exe Пример объекта - файл

Slide Title Получение доступа Монитор Безопасности Определение Доступа Запрос доступа Элемент контроля доступа SID123X Права: Read Write Execute … No access Субъект (Маркер) Объект (Дескриптор) Доступ к объекту Х Маска доступа

Slide Title База данных SAM База данных SAM хранит два криптогра- фических хэша для каждого пароля: –LAN Manager Password. Используется для совместимости со старыми версиями ОС Microsoft и не может быть больше 14 символов. –Windows NT Password. Базируется на Unicode и ограничен 128 символами.

Slide Title База данных SAM LAN Manager Password. user: user1 password: qwerty 1. QWERTY 2. QWERTY QWERTY nonce + = хэш (16 байт)

Slide Title База данных SAM Windows NT Password. user: user1 password: qwerty 1. Конвертирование в UNICODE 2. Шифрование по MD4

Slide Title Шифрование SAM Утилита SYSKEY Секретный ключ на жёстком диске Секретный ключ на дискете Секретный ключ – пароль пользователя

Slide Title Фильтр для паролей Passfilt.dll Длина пароля не менее 6 знаков Обязательные символы (верхний/нижний регистр, числа, спецсимволы) Пароль не должен содержать имя пользователя

Slide Title Утилита Passprop Включение режима усложнения пароля Управление блокировкой учётной записи «Administrator»

Slide Title Утилита Passprop Требования к паролям Пароль должен содержать символы обоих регистров (Aa, Gf, Ud) или Пароль должен содержать цифры или спецсимволы (a1, g3, G%, &$)

Slide Title Сетевая аутентификация Передача пароля в открытом виде Передача хэша пароля Механизм «запрос/отклик» Клиент Сервер Запрос пароля Установление связи

Slide Title Сетевая аутентификация Клиент Сервер Механизм «запрос/отклик» в Windows NT Запрос пароля Зашифрованный запрос Установление связи Аналогичная операция и сравнение SMB_CON_NEGOTIATE SMB_SESSION_SETUP&X

Slide Title Сетевая аутентификация Способы аутентификации (начиная с SP 4) –LAN Manager –NTLM –NTLMv2

Slide Title Сетевая аутентификация Hive: HKEY_LOCAL_MACHINE Key: System\CurrentControlSet\Control\Lsa Name: LMCompatibilityLevel Type: REG_DWORD Value: 0 - 5

Slide Title Настройка системы безопасности Системная политика Настройка прав пользователей Исправление ошибок ОС Настройка доступа к объектам Установка ключей реестра

Slide Title Системная политика

Slide Title Настройка прав пользователей

Slide Title Исправление ошибок ОС ПриложениеWin32 ПодсистемаWin32 Режим пользователя Режим ядра Исполнительнаясистема (NTExecutive) ядро ядро Аппаратура

Slide Title Настройка доступа к объектам

Slide Title Файл подкачки Hive: HKEY_LOCAL_MACHINE Key: System\CurrentControlSet\Control\ \Session Manager\Memory Management Name: ClearPageFileAtShutdown Type: REG_DWORD Value: 1 Установка ключей реестра

Slide Title Task Manager Hive: HKEY_CURRENT_USER Key: Software\Microsoft\Windows\CurrentVersion \Policies\System Name: DisableTaskMgr Type: REG_DWORD Value: 1 Установка ключей реестра

Slide Title Null Session Hive: HKEY_LOCAL_MACHINE Key: System\CurrentControlSet\Control\Lsa Name: RestrictAnonymous Type: REG_DWORD Value: 1 Установка ключей реестра

Slide Title Общие ресурсы Hive: HKEY_LOCAL_MACHINE Key: System\CurrentControlSet\Services\ \LanmanServer\Parameters Name: AutoShareServer Type: DWORD Value: 0 Установка ключей реестра

Slide Title Утилиты для настройки C2 Config - Windows NT Resource Kit Security Configuration Manager (SCM) Руководства по настройке NSA Guide Windows NT Security Guidelines

Slide Title NT Security Guidelines Структура документа Level 1 Level 2 Level 1 – незначительная модификация установок по умолчанию Level 2 – для узлов с повышенными требованиями к безопасности

Slide Title NT Security Guidelines 1. Введение 2. Обзор документа 3. Процесс инсталляции 1. Не копировать установленную систему 2. Отключить неиспользуемые подсистемы HKEY_LOCAL_MACHINE\System\CurrentControl Set\Control\Session Manager\Subsystems 3. Отключить не нужные устройства 4.… 19 частей

Slide Title Security Configuration Manager Compatible Configuration Secure Configuration High Secure Configuration

Slide Title Security Configuration Manager

Slide Title Security Configuration Manager