Эта статья описывает возможности системы
Windows Integrity Control (WIC), впервые представленной в
Windows Vista, рассказывает о том, как защищаются
объекты (типа папок и файлов), о разных
уровнях защиты, об управлении WIC при помощи
утилиты ICACLS.
Windows Integrity Control (WIC), впервые представленной в
Windows Vista, рассказывает о том, как защищаются
объекты (типа папок и файлов), о разных
уровнях защиты, об управлении WIC при помощи
утилиты ICACLS.
Целостность системы - кому ты можешь
доверять?
При создании последней версии
операционной системы компании, Windows Vista,
разработчики из Microsoft пытались
сконструировать самую защищенную ОС из
семейства Windows. Одна из функций, помогающая
обезопасить ОС - Windows Integrity Control (WIC).
операционной системы компании, Windows Vista,
разработчики из Microsoft пытались
сконструировать самую защищенную ОС из
семейства Windows. Одна из функций, помогающая
обезопасить ОС - Windows Integrity Control (WIC).
Предназначение WIC - защита объектов, таких
как файлы, принтеры, именованные каналы,
записи реестра и т.д., от атак, вредоносного
софта и даже непреднамеренных ошибок
пользователя. Концепция WIC основана на
определении доверительных, надежных
отношений между объектами и
контролировании взаимодействия между ними
на основе их уровня доверия.
как файлы, принтеры, именованные каналы,
записи реестра и т.д., от атак, вредоносного
софта и даже непреднамеренных ошибок
пользователя. Концепция WIC основана на
определении доверительных, надежных
отношений между объектами и
контролировании взаимодействия между ними
на основе их уровня доверия.
Уровни WIC являются обязательными и стоят
над назначаемыми правами контроля, такими
как, например, права NTFS на файлы и папки,
которые нам все прекрасно знакомы. Главная
цель системы контроля - убедиться в том, что
только объекты с уровнем, равным или большим,
чем у объекта, могут взаимодействовать с ним.
В сущности, если объекту доверяют в меньшей
степени, то ему запрещено взаимодействие с
объектами более высокого ранга.
над назначаемыми правами контроля, такими
как, например, права NTFS на файлы и папки,
которые нам все прекрасно знакомы. Главная
цель системы контроля - убедиться в том, что
только объекты с уровнем, равным или большим,
чем у объекта, могут взаимодействовать с ним.
В сущности, если объекту доверяют в меньшей
степени, то ему запрещено взаимодействие с
объектами более высокого ранга.
Опять же, разрешения WIC стоят над
нормальными разрешениями. Это означает, что
даже в том случае, если файл или процесс
имеет полный контроль над другим объектом,
но его уровень меньше, чем у того, с кем он
пытается взаимодействовать, то WIC
переопределит разрешения и в доступе будет
отказано.
нормальными разрешениями. Это означает, что
даже в том случае, если файл или процесс
имеет полный контроль над другим объектом,
но его уровень меньше, чем у того, с кем он
пытается взаимодействовать, то WIC
переопределит разрешения и в доступе будет
отказано.
Определение надежности при помощи WIC
Для наблюдения за взаимодействием между
объектами, Windows в первую очередь определит
надежность, или уровень целостности (integrity
lev), каждого объекта. WIC назначает один из
шести уровней для каждого объекта
операционной системы:
объектами, Windows в первую очередь определит
надежность, или уровень целостности (integrity
lev), каждого объекта. WIC назначает один из
шести уровней для каждого объекта
операционной системы:
- Untrusted - анонимные процессы
автоматически попадают в эту категорию. - Low - стандартный уровень при работе с
Интернетом. Если IE запущен в Protected Mode, все
файлы и процессы, ассоциированные с
ним, назначаются в эту категорию.
Некоторые папки, такие как, например, Temporary
Internet Folder, также по умолчанию наделяются
Низким уровнем доверия. - Medium - в данном контексте работает
большинство объектов. Стандартные
пользователи получают Средний уровень и
все объекты, специально не назначенные в
другие группы, получают его по умолчанию. - High - получают Администраторы. Это
сделано специально для того, чтобы они не
только могли взаимодействовать и
изменять объекты низших уровней доверия,
но и работать с другими объектами
Высокого уровня, чего стандартные
пользователи делать не могут. - System - очевидно, что такой уровень
зарезервирован за системой. Ядро Windows и
его сервисы получают Системный уровень.
Очевидно, что такой класс программ не
дает себя изменять даже Администраторам
с Высоким уровнем разрешения. - Installer - высший уровень целостности,
определяемый WIC. Его объекты могут
удалять, деинсталлировать файлы всех
предыдущих уровней.
С точки зрения влияния на безопасность
Windows Vista, эти уровни безопасности защищают
объекты высшего уровня от умышленного или непреднамеренного
изменения или удаления менее важными
объектами. Установив Средний уровень
надежности в качестве значения по
умолчанию для стандартных пользователей и
для всех объектов, Vista защищает важнейшие
компоненты компьютера от влияния угроз
Интернета, которые (как мы уже сказали) по
умолчанию получают малый доступ.
Windows Vista, эти уровни безопасности защищают
объекты высшего уровня от умышленного или непреднамеренного
изменения или удаления менее важными
объектами. Установив Средний уровень
надежности в качестве значения по
умолчанию для стандартных пользователей и
для всех объектов, Vista защищает важнейшие
компоненты компьютера от влияния угроз
Интернета, которые (как мы уже сказали) по
умолчанию получают малый доступ.
По аналогии, Администраторы более опытны,
чем пользователи, и потому действуют на
Высоком уровне доверия, а ядро операционной
системы и ключевые сервисы работают с
уровнем System, что дает уверенность в том, что
даже взломанный аккаунт Администратора не
сможет повлиять на ядро.
чем пользователи, и потому действуют на
Высоком уровне доверия, а ядро операционной
системы и ключевые сервисы работают с
уровнем System, что дает уверенность в том, что
даже взломанный аккаунт Администратора не
сможет повлиять на ядро.
В целом, уровни управления WIC очень похожи
на разрешения NTFS. Главное отличие состоит в
том, что права NTFS раздаются человеком, они
назначаются, а уровни WIC - обязательны. Проще
говоря, права доступа на папки и файлы
назначаются их владельцем или
администратором, в то время как
интегративные уровни WIC назначаются и
определяются операционной системой.
на разрешения NTFS. Главное отличие состоит в
том, что права NTFS раздаются человеком, они
назначаются, а уровни WIC - обязательны. Проще
говоря, права доступа на папки и файлы
назначаются их владельцем или
администратором, в то время как
интегративные уровни WIC назначаются и
определяются операционной системой.
Хотя верхние четыре уровня доверия мало
чем отличаются и практической пользы
приносят мало, главная функциональная
нагрузка WIC лежит в различии между уровнями
Low и Medium. Получение обязательного контроля
от операционной системы, а не упование
только на решения пользователей или
администраторов, обычно обеспечивает
большую безопасность на всех уровнях.
чем отличаются и практической пользы
приносят мало, главная функциональная
нагрузка WIC лежит в различии между уровнями
Low и Medium. Получение обязательного контроля
от операционной системы, а не упование
только на решения пользователей или
администраторов, обычно обеспечивает
большую безопасность на всех уровнях.
Защита Vista от угроз из Интернета
В то время как стандартные пользователи
работают на Среднем уровне, а
администраторы на Высоком, WIC подразумевает,
что Internet и ассоциированные с ним файлы и
процессы полностью враждебны, доверять им
нельзя и потому они получают Низкий уровень
доверия.
работают на Среднем уровне, а
администраторы на Высоком, WIC подразумевает,
что Internet и ассоциированные с ним файлы и
процессы полностью враждебны, доверять им
нельзя и потому они получают Низкий уровень
доверия.
Когда пользователь получает письмо с
линком, который ведет на враждебный сайт, и
кликает на него, сайт может попытаться
установить ту или иную разновидность
вредоносного софта. Malware обычно копирует
себя в некоторое место на жестком диске и
изменяет записи реестра для своего
существования после перезагрузки. Программа
также может попытаться изменить или
удалить другие файлы или начать исполнение
других процессов для продолжения своей
вредоносной деятельности.
линком, который ведет на враждебный сайт, и
кликает на него, сайт может попытаться
установить ту или иную разновидность
вредоносного софта. Malware обычно копирует
себя в некоторое место на жестком диске и
изменяет записи реестра для своего
существования после перезагрузки. Программа
также может попытаться изменить или
удалить другие файлы или начать исполнение
других процессов для продолжения своей
вредоносной деятельности.
B XP или более старых системах вопрос
успеха вредоносного софта заключался в
правах и привилегия работающего на
компьютере пользователя. В Vista, так как
работа в Интернете ведется на Низком уровне
надежности, malware не удастся модифицировать,
удалить или вступить во взаимодействие
с чем либо на системе. Такая защита
позволит разом избавиться от большинства
вредных программ. Ведь в настоящее время
большиснтво пользователей заражается
именно во время посещения зараженных
сайтов или открытия электронных писем с
вложенными файлами. Конечно, следуя логике
такая защита не включится если
пользователь принесет диск или USB
накопитель и будет работать ним, в этом
случае программы получат именно
пользовательский контекст безопасности.
правах и привилегия работающего на
компьютере пользователя. В Vista, так как
работа в Интернете ведется на Низком уровне
надежности, malware не удастся модифицировать,
удалить или вступить во взаимодействие
с чем либо на системе. Такая защита
позволит разом избавиться от большинства
вредных программ. Ведь в настоящее время
большиснтво пользователей заражается
именно во время посещения зараженных
сайтов или открытия электронных писем с
вложенными файлами. Конечно, следуя логике
такая защита не включится если
пользователь принесет диск или USB
накопитель и будет работать ним, в этом
случае программы получат именно
пользовательский контекст безопасности.
Использование защищенного режима
Автоматически, когда Internet Explorer работает в
защищенном режиме, ему назначается Низкий
уровень доверия. Защищенный режим
продвигается MS как одно из важнейших
нововведений в Windows Vista и IE 7. Все то время
пока броузер работает в защищенном режиме
все его действия получают низкие
разрешения.
защищенном режиме, ему назначается Низкий
уровень доверия. Защищенный режим
продвигается MS как одно из важнейших
нововведений в Windows Vista и IE 7. Все то время
пока броузер работает в защищенном режиме
все его действия получают низкие
разрешения.
Некоторые сайты не могут правильно
функционировать в таких ограничениях. Во
вкладке Security в настройке есть возможность
отключить такой режим, за это отвечает
опция Enable Protected Mode. Компания рекомендует не
давать пользователям на предприятиях
возможность отключать защищенный режим
работы броузера через групповые политики.
Всем остальным предлагается включать
необходимые сайты в зону надежных узлов,
где защищенный режим выключен по умолчанию.
функционировать в таких ограничениях. Во
вкладке Security в настройке есть возможность
отключить такой режим, за это отвечает
опция Enable Protected Mode. Компания рекомендует не
давать пользователям на предприятиях
возможность отключать защищенный режим
работы броузера через групповые политики.
Всем остальным предлагается включать
необходимые сайты в зону надежных узлов,
где защищенный режим выключен по умолчанию.
Использование ICACLS для просмотра уровней
доверия
Windows Vista предоставляет утилиту командной
строки ICACLS для просмотра прав. Как мы уже
писали ранее особенность работы состоит в
том, что объектам, которым специально не
назначен уровень целостности, достается Средний уровень и он не
показывается в управляющей программе так
как не назначен и подразумевается по
умолчанию.
строки ICACLS для просмотра прав. Как мы уже
писали ранее особенность работы состоит в
том, что объектам, которым специально не
назначен уровень целостности, достается Средний уровень и он не
показывается в управляющей программе так
как не назначен и подразумевается по
умолчанию.
Для работы с утилитой прежде всего
необходимо получить окно с командной
строкой. Подробную информацию о ключах и
возможностях их использования можно
получить просто набрав 'icacls'. Мы
сфокусируемся на двух примерах
использования программы.
необходимо получить окно с командной
строкой. Подробную информацию о ключах и
возможностях их использования можно
получить просто набрав 'icacls'. Мы
сфокусируемся на двух примерах
использования программы.
Первое - просмотр уровня доверия. Для
просмотра уровня и другого содержания
назначенного access list-а вводим 'icacls' и путь к
желаемому объекту. например вы хотите
просмотреть мандаты explorer.exe:
просмотра уровня и другого содержания
назначенного access list-а вводим 'icacls' и путь к
желаемому объекту. например вы хотите
просмотреть мандаты explorer.exe:
icacls c:\windows\explorer.exe
Результаты будут примерно следующими:
C:\windows\explorer.exe
NT SERVICE\TrustedInstaller:(F)
BUILTIN\Administrators:(RX)
NT AUTHORITY\SYSTEM:(RX)
BUILTIN\Users:(RX)
NT SERVICE\TrustedInstaller:(F)
BUILTIN\Administrators:(RX)
NT AUTHORITY\SYSTEM:(RX)
BUILTIN\Users:(RX)
Назначенный уровень не показывается так
как у Проводника он остается назначенным по
умолчанию. Если бы он присутствовал, то мы
бы увидели примерно следующее:
как у Проводника он остается назначенным по
умолчанию. Если бы он присутствовал, то мы
бы увидели примерно следующее:
Mandatory Label\Medium Mandatory Level
Просто помните, что если вы используете
ICACLS ждя определения уровня доверия в WIC и он
не показывается, значит ему присвоен
Средний уровень безопасности.
ICACLS ждя определения уровня доверия в WIC и он
не показывается, значит ему присвоен
Средний уровень безопасности.
При помощи ICACLS можно так же сменить
уровень объекта. Для этого пользователь
должен быть включен в группу SeRelabelPrivilege. Для
изменения пользователь должен не только
иметь права на изменение прав на объект, но
и возможность перенять владение целевым
объектом. Только в этом случае он сможет
изменить доверие ему. Однако надо помнить,
что юзер никогда не сможет назначить
объекту уровень больший, чем он сам
обладает.
уровень объекта. Для этого пользователь
должен быть включен в группу SeRelabelPrivilege. Для
изменения пользователь должен не только
иметь права на изменение прав на объект, но
и возможность перенять владение целевым
объектом. Только в этом случае он сможет
изменить доверие ему. Однако надо помнить,
что юзер никогда не сможет назначить
объекту уровень больший, чем он сам
обладает.
Убедившись, что все необходимые права на
месте, можете изменить уровень объекта:
месте, можете изменить уровень объекта:
icacls /setintegritylevel H|M|L
В данном случае H - уровень High, M - Medium и L - Low
соответственно.
соответственно.
Заключение
В вопросе обеспечения безопасности Windows-компьютеров
самой непредсказуемой и неконтролируемой
переменной является человек. Организации
начали понимать, что на пользователей
нельзя положиться в вопросе обеспечения
сохранения важной информации и для
устранения этой переменной начали,
например, внедрять полное шифрование
дисков, особенно на мобильных компьютерах.
самой непредсказуемой и неконтролируемой
переменной является человек. Организации
начали понимать, что на пользователей
нельзя положиться в вопросе обеспечения
сохранения важной информации и для
устранения этой переменной начали,
например, внедрять полное шифрование
дисков, особенно на мобильных компьютерах.
Windows Integrity Control оперирует на таком же
уровне. Пользователь может назначать права
на доступ к файлам и папкам, однако на его
решения не всегда можно полагаться и
вручать в его руки все меры по защите
компьютера нельзя. Права, назначаемые
операционной системой в принудительном
порядке, помогли сделать компьютер
более безопасным. Конечно, WIC не "серебряная
пуля" и не идеальна, в ней возможны
улучшения, однако для модели безопасности
Windows она неоценима и способна защитить Vista
от многих угроза перед которыми пасовала
Windows 2000 и другие операционные системы.
уровне. Пользователь может назначать права
на доступ к файлам и папкам, однако на его
решения не всегда можно полагаться и
вручать в его руки все меры по защите
компьютера нельзя. Права, назначаемые
операционной системой в принудительном
порядке, помогли сделать компьютер
более безопасным. Конечно, WIC не "серебряная
пуля" и не идеальна, в ней возможны
улучшения, однако для модели безопасности
Windows она неоценима и способна защитить Vista
от многих угроза перед которыми пасовала
Windows 2000 и другие операционные системы.
Комментариев нет:
Отправить комментарий