- •22. Mic
- •23. Smb
- •24. Возможные атаки на smb. Меры повышения защиты
- •25. Защита удаленного доступа пользователя в корпоративной сети. Аутентификация удаленный пользователей. Доп. Механизмы аутентификации пользователя
- •26. Удаленная аутентификация с использованием Kerberos
- •27. Мандаты. Kdc Структура мандатов
- •28. Мандат на выдачу мандатов
- •29. Подсистемы Kerberos
- •30. Чё-то еще про Kerberos.
- •31. Active Directory, дерево доменов
- •32. Доверительные отношения
- •33. Ntds, ad – основные возможности и характеристики
- •34. Active Directory. Домен, дерево доменов. Лес Доменов
- •35. Контроллер доменов ad
- •36. Объекты Active Directory, отражающие физическую и логическую структуру
22. Mic
Контроль целостности появился с висты. Админы могут обозначать защищенные объекты. такие как системные файлы и папки или разделы реестра, присваивать им обязательные метки. Используются названия - уровень доверия или уровень целостности (Integrity Level (IL)). Они дополняют привычное разрешение доступа к объекту и могут сопоставляться как объекты винды, так и УЗ пользователей. Они гарантируют что объекты пользователя или процессы с низким уровнем этих меток не повлияют на ресурсы с более высоким уровнем привилегий. Например программный код из интернета и сохраненный в temporary internet files по умолчанию назначается низкий уровень приоритета и при попытке записать в реестр, попытка блокируется, так как по умолчанию разделу реестра присваивается более высокий уровень. Процесс может записать в объект когда уровень его равен или выше уровня метки в данном объекте. Объекты с более высоким уровнем метки доступны только по чтению.
В целом идея и общий принцип работы в данной подсистеме заимствованы из мандатных уровней доступа. Администратор может менять метки только после их назначения ОС, который мог задать столь высокий уровень метки, что он станет недоступен и администратору. Всего существует пять обязательных уровней меток:
Ненадежный (untrusted). Назначается анонимно процессором.
Низкий (low). Назначается любым объектам, непреднамеренно загруженным из интернета в папке temporary internet files. Такой процесс может писать только в специально выделенную папку users/username/AppData/Local... которая используется как карантин. Приложение может работать, но не может проникнуть в другие места на диске.
Средний (medium). Уровень по умолчанию. Уровень явно назначается объектам пользователя или процессам для которых явно не определен уровень целостности. Так же назначается к файлам, загруженным из интернета сознательно через “сохранить как”. Процессы со средним уровнем не могут записывать в корневую папку на системном диске.
Высокий (high). Уровень по умолчанию для УЗ админа.
Системный (system). Назначается всем системным службам, процессам.
Данные компоненты не блокируют программы не загруженные из интернета, а с флешки или с диска. Им назначается средний или высокий уровень в зависимости от УЗ. Обязательные метки хранятся в SACL. Просмотреть ее можно с помощью icacls. МОжет и не увидеть, так как большинству объектов по умолчанию присваивается средний уровень метки, который не сохраняется в системном списке контроля доступа (SACL). Только при назначении админом, он отобразится. Установка уровня тоже производится с помощью этой команды - /setupintegritylevel. Метка пользователя хранится как специальный объект-маркер уровня доступа пользователя. Для его просмотра можно использовать команду whoiam. Уровень целостности процесса так же хранится в маркере доступа. Он наследуется от уровня УЗ пользователя, запустившего программу или от уровня целостности самой программы. Если у них разный уровень целостности, то процессу назначается меньший из двух уровней. Просмотреть уровень целостности можно с помощью программы syskernels process explorer, добавив в список просматриваемых столбцов уровень “метки”. По умолчанию только ОС и админ могут менять уровень. При наличии прав админа, можно предоставить право изменения данного уровня и обычному пользователю. Разрешение менять уровень определяется новой привилегией пользователя “изменять метки объекта”. Пользователь с этой привилегией так же должен иметь разрешение смены разрешений и смены владельца для соответствующего объекта и он не сможет поднять уровень метки выше чем уровень метки самого пользователя. В целом данная подсистема предотвращает взаимодействие низкопривилегированных процессов с высокопривилегированными, гарантируя, что вредоносное ПО не сможет захватить доверенное приложение.