В предыдущих разделах данной книги мы с вами рассмотрели основные программы операционной системы Windows Vista, оснастки, а также службы данной операционной системы. Сейчас же будут более подробно рассмотрены способы решения некоторых задач, которые могут возникнуть перед администратором Windows Vista.

По сравнению с предыдущими версиями операционных систем Windows, настройка разрешений на доступ к файлам и ветвям реестра в операционной системе Windows Vista совершенно не изменилась: диалоги операционной системы остались те же, механизмы изменения также, настройки безопасности по прежнему основаны на SID учетной записи пользователя.

SID представляет собой 48-битный код, который идентифицирует такие объекты операционной системы, как учетные записи пользователей, группы, компьютеры, домены и члены доменов. SID компьютера генерируется при инсталляции операционной системы и используется при генерации SID учетных записей локального компьютера: для создания SID учетной записи к SID компьютера добавляется уникальный на компьютере RID. При этом существует несколько RID, которые на любом компьютере идентифицируют одну и ту же учетную запись. Например, RID 500 идентифицирует учетную запись администратора, а RID 501 — учетную запись гостя.

Каждый SID начинается с буквы S, после которой указываются следующие элементы, разделенные дефисом: номер версии (как правило, 1), код агента идентификатора (как правило, 5), четыре кода субагентов, идущие подряд, и, на последнем месте, RID.

Однако теперь права администраторов на доступ к файлам и ветвям реестра по умолчанию несколько урезаны.

Подсистема защиты в операционных системах семейства Windows основана на SID, маркерах и дескрипторах защиты. Описание SID было приведено выше, сейчас же мы рассмотрим реализацию двух других терминов.

Маркер доступа

Маркер доступа представляет собой набор сведений, которые присваиваются любому процессу при его создании, и определяют те операции, которые процесс может выполнять. Он содержит в себе следующую информацию:

• привилегии, которые предоставлены процессу или потоку (эта информация необходима для определения тех операций, которые может выполнять процесс в операционной системе);
• тип олицетворения, если маркер является олицетворяющим (эта информация необходима для определения тех прав, которые будут заимствоваться процессом у другого процесса);

  Олицетворение позволяет одному процессу заимствовать права другого (как будто он имеет маркер доступа другого процесса). Например, олицетворение часто применяется в клиент-серверных приложениях, где сервер может применять олицетворение для получения доступа к ресурсам компьютера от имени клиента (и с его правами доступа). При этом процесс, получивший олицетворяющий маркер (в нашем примере, сервер), не может передавать его другому процессу.

  Существует несколько уровней олицетворения: anonymous (олицетворение запрещено), identification (можно получать SID и привилегии клиента, но олицетворять клиента запрещено), impersonation (можно как идентифицировать, так и олицетворять клиента) и delegation (позволяет олицетворять клиента как на локальном, так и на удаленном компьютере). Мы уже встречались с этими уровнями, при описании оснастки Component Services.

• информацию о том, кто создал данный маркер (диспетчер сеансов, RPC-сервер и т.д.);
• DACL по умолчанию (эта информация необходима для определения тех атрибутов защиты, которые будут присваиваться создаваемым при помощи данного маркера объектам, если дескриптор защиты для создаваемого объекта не определен, и объект не наследует DACL родительского объекта);
• сведения об учетной записи, которой принадлежит маркер, и группах, в которые входит данная учетная запись (эта информация необходима для определения прав доступа процесса к требуемым ему объектам).

Поскольку маркер содержит переменные сведения (набор привилегий и групп), его длина не является постоянной.

Начальный маркер доступа создается во время входа пользователя в систему, и присваивается начальному процессу userinit.exe. Данный процесс запускает все основные процессы пользователя, а поскольку маркер доступа родительского процесса передается и процессам, которые он создает (дочерним процессам), все процессы, создаваемые пользователем, имеют один и тот же маркер доступа.

Кроме основных маркеров доступа и маркеров олицетворения, в операционных системах семейства Windows могут использоваться ограниченные маркеры. Ограниченным называется такой маркер, выданный дочернему процессу, в котором отсутствует какая-нибудь привилегия родительского маркера.

Дескрипторы защиты

Если маркер доступа выдается процессу, и определяет те права, которыми обладает запущенный процесс, то дескриптор защиты выдается объектам операционной системы (файлы, каталоги) и определяет тех пользователей, которые могут получить доступ к объекту, а также права, которыми эти пользователи обладают. Дескриптор защиты состоит из следующих элементов.

• DACL (список управления избирательным доступом). Определяет пользователей, которые могут получить доступ к данному объекту, и их права. Каждый ACE (элемент списка DACL), содержит SID учетной записи пользователя или группы, маску доступа, а также флаги наследования (определяют, был ли данный ACE унаследован от DACL родительского объекта, и будет ли он наследоваться DACL дочерних объектов). При этом ACE может быть четырех основных типов.
  • Доступ разрешен (access allowed). Разрешает пользователю, определенному SID, права доступа к объекту, определенные в маске доступа.
  • Доступ отклонен (access denied). Запрещает пользователю, определенному SID, права доступа к объекту, определенные в маске доступа.
  • Разрешенный объект (allowed-object). Данный тип ACE используется в Active Directory и применяется для разрешения доступа к объектам и подобъектам каталога.
  • Запрещенный объект (denied-object). Данный тип ACE используется в Active Directory и применяется для запрещения доступа к объектам и подобъектам каталога.

  Если дескриптор защиты не содержит DACL, тогда любой пользователь может получить доступ к данному объекту. Если же дескриптор защиты содержит пустой DACL (не имеющий ни одной записи ACE), тогда доступ к объекту запрещен всем пользователям.

  Если же DACL содержит в себе множество ACE, определяющих доступ одному и тому же пользователю, тогда определить то, сможет ли в результате пользователь получить доступ к объекту, бывает очень сложно. В этом случае проще воспользоваться вкладкой EFFECTIVE PERMISSIONS диалога ADVANCED SECURITY SETTINGS. С помощью данной вкладки можно просуммировать все запрещающие и разрешающие ACE для учетной записи пользователя и групп, в которые он входит, и определить текущие разрешения для данного пользователя.

• SACL (системный список управления доступом). Определяет пользователей, для которых установлен аудит доступа, а также те операции, совершаемые пользователем над объектом, которые будут подлежать аудиту. Список SACL может содержать в себе ACE двух типов: системного аудита и объекта системного аудита. Каждый ACE содержит SID учетной записи пользователя, GUID-объекта, к которому применим ACE, а также флаги наследования.

  Если дескриптор защиты не содержит SACL, тогда аудит работы с объектом не ведется.

DACL и SACL являются составными частями списка управления доступом (ACL). Данный список (а также DACL и SACL), состоит из элементов, называемых ACE. Работа с DACL и SACL в операционной системе Windows Vista будет описана ниже.

Привилегии и права

При описании маркеров доступа мы определили, что они могут содержать в себе информацию о привилегиях, предоставляемых процессу. Привилегии, это права определенной учетной записи (или службы, о чем было описано в главе данной книги, посвященной службам), позволяющие ей выполнять те операции в операционной системе, которые по умолчанию выполнять запрещено.

Мы с вами уже сталкивались с привилегиями, когда рассматривали оснастку РЕДАКТОР ОБЪЕКТОВ ГРУППОВОЙ ПОЛИТИКИ, хотя тогда мы упомянули о них лишь мельком, даже не говоря о том, что это привилегии.

Привилегии операционной системы Добавлять и удалять привилегии можно как с помощью API-функций, так и с помощью оснастки РЕДАКТОР ОБЪЕКТОВ ГРУППОВОЙ ПОЛИТИКИ. Для этого применяется подраздел оснастки COMPUTER CONFIGURATION/WINDOWS SETTINGS/SECURITY SETTINGS/LOCAL POLICIES/USER RIGHTS ASSIGNMENT. Данный подраздел содержит следующие элементы (сначала указано системное название привилегии, потом ее название в оснастке, и, в самом конце, ее описание).

• SEBACKUPPRIVILEGE (АРХИВАЦИЯ ФАЙЛОВ И КАТАЛОГОВ). Разрешает службе или учетной записи выполнять операции резервного копирования. Данная привилегия позволяет учетной записи или службе открывать файлы и каталоги, независимо от того, разрешена для них эта операция при помощи DACL или нет. Данная привилегия позволяет обходить проверку таких разрешений, как ОБЗОР ПАПОК/ВЫПОЛНЕНИЕ ФАЙЛОВ, СОДЕРЖИМОЕ ПАПКИ/ЧТЕНИЕ ДАННЫХ, ЧТЕНИЕ АТРИБУТОВ, ЧТЕНИЕ РАСШИРЕННЫХ АТРИБУТОВ, ЧТЕНИЕ РАЗРЕШЕНИЙ, READ PERMISSIONS. При этом DACL обходится только в том случае, если установлен флаг FILE_FLAG_BACKUP_SEMANTIC. Привилегия предоставлена: группа Администраторы, группа Операторы архива и группа Операторы сервера.
• SECHANGENOTIFYPRIVILEGE (ОБХОД ПЕРЕКРЕСТНОЙ ПРОВЕРКИ). Разрешает службе или учетной записи не проходить все проверки прав доступа пользователя при проходе многоуровневых каталогов (проверки прав доступа к вложенным каталогам). Данная привилегия не предоставляет прав на просмотр содержимого каталога, если эти права вам не предоставлены DACL, однако она позволяет выполнять обзор каталога. Привилегия предоставлена: группа Администраторы, группа Операторы архива, группа Пользователи, группа Все, учетная запись локальной службы, учетная запись сетевой службы.
• SECREATEGLOBALPRIVILEGE (СОЗДАНИЕ ГЛОБАЛЬНЫХ ОБЪЕКТОВ). Данная привилегия разрешает процессу создание разделов и символьных ссылок во время сеанса службы терминалов. Привилегия предоставлена: группа Администраторы, учетная запись локальной службы, учетная запись сетевой службы.
• SECREATEPAGEFILEPRIVILEGE (СОЗДАНИЕ ФАЙЛА ПОДКАЧКИ). Разрешает службе или учетной записи создание файла подкачки при помощи специальных API-функций. Привилегия предоставлена: группа Администраторы.
• SECREATESYMBOLICLINKPRIVILEGE (СОЗДАНИЕ СИМВОЛИЧЕСКИХ ССЫЛОК). Данная привилегия позволяет пользователю создавать символические ссылки. Определить, какие виды символьных ссылок доступны в операционной системе, можно при помощи команды программы командной строки fsutil behavior set. Привилегия предоставлена: группа Администраторы.
• SEDEBUGPRIVILEGE (ОТЛАДКА ПРОГРАММ). Разрешает службе или учетной записи производить отладку системного процесса с помощью подключаемого отладчика программ. Это позволяет процессам получать доступ к другим процессам, минуя проверку их дескриптора защиты. Привилегия предоставлена: группа Администраторы.
• SEIMPERSONATEPRIVILEGE (ИМИТАЦИЯ КЛИЕНТА ПОСЛЕ ПРОВЕРКИ ПОДЛИННОСТИ). Данная привилегия разрешает процессам выполнять олицетворение других процессов. Привилегия предоставлена: группа Администраторы, учетная запись локальной службы, учетная запись сетевой службы.
• SEINCREASEBASEPRIORITYPRIVILEGE (УВЕЛИЧЕНИЕ ПРИОРИТЕТА ВЫПОЛНЕНИЯ). Разрешает службе или учетной записи увеличивать приоритет, с которым выполняются процессы. Например, пользователь это сможет сделать при помощи окна диспетчера задач. Привилегия предоставлена: группа Администраторы.
• SEINCREASEQUOTAPRIVILEGE (НАСТРОЙКА КВОТ ПАМЯТИ ДЛЯ ПРОЦЕССА). Разрешает службе или учетной записи увеличивать квоту на доступный объем памяти, назначенную запущенному процессу. Привилегия предоставлена: группа Администраторы, учетная запись локальной службы, учетная запись сетевой службы.
• SELOADDRIVERPRIVILEGE (ЗАГРУЗКА И ВЫГРУЗКА ДРАЙВЕРОВ УСТРОЙСТВ). Разрешает службе или учетной записи загружать и выгружать драйверы устройств режима ядра. Данная привилегия не относится к драйверам, поддерживающим Plug`n`Play. Привилегия предоставлена: группа Администраторы.
• SEMANAGEVOLUMEPRIVILEGE (ВЫПОЛНЕНИЕ ЗАДАЧ ПО ОБСЛУЖИВАНИЮ ТОМОВ). Данная привилегия необходима для выполнения проверки диска или его дефрагментации. Привилегия предоставлена: группа Администраторы.
• SEPROFILESINGLEPROCESSPRIVILEGE (ПРОФИЛИРОВАНИЕ ОДНОГО ПРОЦЕССА). Разрешает службе или учетной записи собирать информацию о профилях одиночного процесса. Данная привилегия необходима для работы службы предвыборки данных. В частности, эта привилегия необходима для использования средства мониторинга производительности несистемных процессов. Привилегия предоставлена: группа Администраторы.
• SEREMOTESHUTDOWNPRIVILEGE (ПРИНУДИТЕЛЬНОЕ УДАЛЕННОЕ ЗАВЕРШЕНИЕ РАБОТЫ). Данная привилегия необходима, чтобы процесс winlogon.exe разрешил удаленно завершить работу компьютера. Привилегия предоставлена: группа Администраторы.
• SERESTOREPRIVILEGE (ВОССТАНОВЛЕНИЕ ФАЙЛОВ И КАТАЛОГОВ). Разрешает службе или учетной записи выполнять операции восстановления. Данная привилегия позволяет учетной записи или службе открывать файлы и каталоги, независимо от того, разрешена для них эта операция при помощи DACL или нет. При этом данная политика позволяет обходить проверку таких разрешений, как ОБЗОР ПАПОК/ВЫПОЛНЕНИЕ ФАЙЛОВ и ЗАПИСЬ. Однако DACL обходится только в том случае, если установлен флаг FILE_FLAG_BACKUP_SEMANTIC. Привилегия предоставлена: группа Администраторы и группа Операторы архива.
• SESECURITYPRIVILEGE (УПРАВЛЕНИЕ АУДИТОМ И ЖУРНАЛОМ БЕЗОПАСНОСТИ). Данная привилегия необходима для доступа к SACL дескриптора защиты, а также для чтения и очистки журнала событий безопасности. Она идентифицирует своего владельца в качестве оператора системы безопасности. Привилегия предоставлена: группа Администраторы.
• SESHUTDOWNPRIVILEGE (ЗАВЕРШЕНИЕ РАБОТЫ СИСТЕМЫ). Разрешает службе или учетной записи завершать работу операционной системе. Привилегия предоставлена: группа Администраторы, группа Операторы архива, группа Пользователи.
• SESYSTEMENVIRONMENTPRIVILEGE (ИЗМЕНЕНИЕ ПАРАМЕТРОВ СРЕДЫ ИЗГОТОВИТЕЛЯ). Данная привилегия необходима для чтения переменных окружения микрокода из энергонезависимой памяти компьютеров при помощи HAL. Эта привилегия применима только к компьютерам с архитектурой, отличной от x86 — единственное, к чему можно получить доступ при помощи этой привилегии на компьютерах x86, так это к сведениям о последней удачной конфигурации. Также эта привилегия требуется для установки и модернизации операционной системы. Привилегия предоставлена: группа Администраторы.
• SESYSTEMPROFILEPRIVILEGE (ПРОФИЛИРОВАНИЕ ПРОИЗВОДИТЕЛЬНОСТИ СИСТЕМЫ). Проверяется API-функцией NTCREATEPROFILE. Данная привилегия необходима для использования средства мониторинга производительности системных процессов. Привилегия предоставлена: группа Администраторы.
• SESYSTEMTIMEPRIVILEGE (ИЗМЕНЕНИЕ СИСТЕМНОГО ВРЕМЕНИ). Разрешает изменять на компьютере время и дату. Привилегия предоставлена: группа Администраторы, учетная запись локальной службы.
• SETAKEOWNERSHIPPRIVILEGE (СМЕНА ВЛАДЕЛЬЦЕВ ФАЙЛОВ И ДРУГИХ ОБЪЕКТОВ). Разрешает службе или учетной записи получать права владельца на любой объект файловой системы (объекты Active Directory, файлы и папки, принтеры, разделы реестра, процессы и потоки), но не предоставляет полного доступа к объекту. Привилегия предоставлена: группа Администраторы.
• SETIMEZONEPRIVILEGE (ИЗМЕНЕНИЕ ЧАСОВОГО ПОЯСА). Данная привилегия разрешает пользователю изменять временную зону, установленную в операционной системе. Привилегия предоставлена: группа Администраторы, учетная запись локальной службы.
• SETCBPRIVILEGE. (РАБОТА В СОСТАВЕ ОПЕРАЦИОННОЙ СИСТЕМЫ). Повышает общие права службы или учетной записи до уровня операционной системы (идентифицирует владельца привилегии как часть доверенного блока компьютеров). Например, это позволяет создавать новый сеанс от имени любого локального пользователя, относящегося к любой группе (позволяет олицетворять любого пользователя локального компьютера без аутентификации, и получать доступ к тем ресурсам, к которым может получить доступ другой пользователь). Привилегия предоставлена: никому.
• SEUNDOCKPRIVILEGE (ОТКЛЮЧЕНИЕ КОМПЬЮТЕРА ОТ СТЫКОВОЧНОГО УЗЛА). Данная привилегия необходима, чтобы Plug`n`Play разрешил извлечение компьютера из стыковочного устройства. Привилегия предоставлена: группа Администраторы, группа Пользователи.

Если же вам необходимо узнать, какие привилегии предоставлены текущему пользователю, тогда можно воспользоваться новой программой командной строки операционной системы Windows Vista Whoami.exe. Для этого применяется следующий синтаксис программы: Whoami /priv.

Права учетной записи Также подраздел Computer Configuration/Windows Settings/Security Settings/Local Policies/User Rights Assignment оснастки GROUP POLICY OBJECT EDITOR содержит в себе набор прав, которые могут предоставляться пользователю.

Список большинства этих прав приведен ниже.

• SEASSIGNPRIMARYTOKENPRIVILEGE (ЗАМЕНА МАРКЕРА УРОВНЯ ПРОЦЕССА). Данное право позволяет процессам использовать API-функцию CreateProcessAsUser для запуска других процессов, не используя свой маркер доступа. Например, эта привилегия может использоваться одной службой для запуска другой. В частности, она используется планировщиком заданий. Право предоставлено: учетная запись сетевой службы и учетная запись локальной службы.
• SEAUDITPRIVILEGE (УПРАВЛЯТЬ АУДИТОМ И ЖУРНАЛОМ БЕЗОПАСНОСТИ). Разрешает службе или учетной записи создание записей в стандартном журнале безопасности системы (eventvwr.msc) при помощи API-функции REPORTEVENT. Право предоставлено: учетная запись сетевой службы и учетная запись локальной службы.
• SECREATEPERMANENTPRIVILEGE (СОЗДАНИЕ ПОСТОЯННЫХ ОБЩИХ ОБЪЕКТОВ). Разрешает службе или учетной записи создавать постоянные объекты (объекты, не удаляемые при отсутствии ссылок на них). Например, создавать объекты каталога при помощи диспетчера объектов. Право предоставлено: никому.
• SECREATETOKENPRIVILEGE (СОЗДАНИЕ МАРКЕРНОГО ОБЪЕКТА). Разрешает службе или учетной записи создавать первичные маркеры. То есть, учетная запись может создать маркер, содержащий в себе любые SID и привилегии, и запустить с его помощью процесс. Право предоставлено: никому.
• SEENABLEDELEGATIONPRIVILEGE (РАЗРЕШИТЬ ДОВЕРИЯ К УЧЕТНЫМ ЗАПИСЯМ КОМПЬЮТЕРОВ И ПОЛЬЗОВАТЕЛЕЙ ПРИ ДЕЛЕГИРОВАНИИ). Используется в Active Directory для делегирования учетных записей и определяет, может ли данная учетная запись устанавливать параметр ДЕЛЕГИРОВАНИЕ РАЗРЕШЕНО для пользовательского или компьютерного объекта. Этот параметр можно устанавливать только для таких учетных записей пользователей или компьютеров, для которых сброшен флаг УЧЕТНАЯ ЗАПИСЬ НЕ МОЖЕТ БЫТЬ ДЕЛЕГИРОВАНА. Право предоставлено: никому.
• SELOCKMEMORYPRIVILEGE (БЛОКИРОВКА СТРАНИЦ В ПАМЯТИ). Разрешает службе или учетной записи выполнять блокировку физических страниц памяти. Блокировка физических страниц памяти запрещает сброс блокированных страниц в файл подкачки. То есть, они всегда будут находиться в оперативной памяти. Право предоставлено: никому.
• SEMACHINEACCOUNTPRIVILEGE. (ДОБАВЛЕНИЕ РАБОЧИХ СТАНЦИЙ К ДОМЕНУ). Данное право необходимо, чтобы диспетчер учетных данных безопасности SAM разрешил добавление компьютера к домену. Если пользователь обладает данным правом, он может добавить до 10 компьютеров в домен. Право предоставлено: пользователи, прошедшие проверку.
• SESYNCAGENTPRIVILEGE (СИНХРОНИЗИРОВАТЬ ДАННЫЕ СЛУЖБЫ КАТАЛОГОВ). Позволяет пользователям выполнять синхронизацию Active Directory. Данное право позволяет читать объекты и свойства каталога Active Directory, даже если их атрибуты защиты это запрещают. Право предоставлено: никому.

Продолжение следует