Vigilancia de seguridadTemas y los principales de seguridad
Jesper M. Johansson
Contenido
La tupla de asunto y objetos y acción
Tipos de los principales de seguridad
Servicios
Ajustar hacia arriba
En el nivel más básico, todo el contenido de seguridad reduce a los asuntos y objetos.Los objetos son las cosas que proteger y asuntos son las cosas que protege objetos de.Estas construcciones dos se utilizan en (demostrar quién es usted) de autenticación, autorización (otorgar acceso a algo) y de auditoría (seguimiento quién tiene acceso a qué).Fundamentalmente, estos conceptos son muy sencillas, como se muestra en la figura 1 .
.gif)
Figura 1 un usuario intenta leer un archivo
Temas son cosas que hacer las cosas, mientras objetos son las cosas siga a.Además, en ocasiones, los objetos para los temas hacer cosas son otros temas.
Windows admite algunas semántica extremadamente enriquecido cuando incluye a la seguridad y se ha ampliado enormemente las definiciones de los asuntos y objetos.Un tema puede ser mucho más que sólo un usuario, y la representación es mucho más compleja que simplemente un identificador de usuario básica.
En la terminología de Windows, un principal de seguridad abarca no sólo el asunto típica (lo que se podría considerar como un usuario), pero también grupos y equipos.Una entidad de seguridad es todo lo que se puede asignar un identificador de seguridad (SID) y le da permiso para tener acceso a algo.
En esta entrega de vigilancia de seguridad, estoy dando una introducción a cómo se representan los asuntos y utilizado en Windows.
La tupla de asunto y objetos y acción
Administrar la seguridad muy a menudo trata hacia abajo el asunto y el objeto o tupla en acción.El sujeto es el actor que está intentando realizar alguna acción en un objeto.Por ejemplo, es posible que un usuario intente obtener acceso a un archivo, como se muestra en la figura 1 .Cuando un usuario intenta leer el archivo, el sistema operativo se necesita comprobar si se establecer permisos en el objeto (archivo) que permite el asunto (el usuario) para realizar la acción (lectura) en ese objeto en particular.Si los permisos están en orden, la solicitud de acceso se ejecuta correctamente.Si los permisos no están en orden, se deniega la solicitud de acceso.Hasta ahora, esto es todo muy sencillo.
Importante caso
En la documentación de Windows, cuando ve las palabras "administrador" o "Administradores" con una letra mayúscula A, esto hace normalmente referencia al usuario o el grupo, respectivamente.Cuando vea lo escrito en minúsculas todos, "administrador", se refiere a alguna cuenta de usuario o la persona que tenga privilegios administrativos.El mismo se aplica para otras entidades, como "invitado" y de invitado.
Tipos de los principales de seguridad
Temas, o las entidades principales de seguridad, como sucesivo hará referencia a ellos, en un sistema basado en Windows y por extensión de una red basada en Windows, puede ser mucho más que sólo los usuarios.Sin embargo, el usuario está todavía el concepto más básico.
los usuarios Un usuario es alguna entidad distinto que inicia sesión en un equipo.Fundamentalmente, todas las entidades principales de seguridad al menos un poco están relacionados con los usuarios.En Windows, puede haber dos tipos de usuarios: local y de dominio.Un usuario local se define en la base de datos Administrador de cuentas de seguridad (SAM) local en un equipo.Cada equipo basado en Windows tiene un SAM, que contiene todos los usuarios en el equipo local.
Se suele considerar que los controladores de dominio (DC) no tienen un SAM local y los usuarios, por tanto, no locales.Sin embargo, es incorrecta.Incluso un controlador de dominio tiene una base de datos SAM local, pero sólo se pueden utilizar las cuentas en su base de datos de SAM en modo de restauración de servicios de directorio.
La base de datos SAM local siempre contiene al menos dos cuentas de usuario: el administrador y el invitado y la cuenta de invitado está deshabilitada de siempre forma predeterminada.
En todas las versiones de Windows Server 2008 (con excepción de Windows Small Business Server 2008), la cuenta Administrador está habilitada de forma predeterminada y debe utilizar esta cuenta de la primera vez que inicie sesión en el equipo.En Windows Vista, la cuenta Administrador está deshabilitada de forma predeterminada y sólo puede utilizarse en circunstancias muy restrictivas.
En ambos casos, debe crear al menos dos cuentas para cada persona que administrará un equipo dado.Si están sujetos a casi cualquier tipo de regulación (y probablemente), ésta es un requisito.Para cada usuario, una cuenta debe ser la cuenta administrativa personal del usuario.La cuenta otra es personal cuenta no administrativa del usuario para las tareas sin derechos administrativas.
los usuarios que son locales no son los usuarios del dominio Estos usuarios se definen en los controladores de dominio para el dominio.La diferencia entre cuentas local y de dominio es principalmente el ámbito de las cuentas.Las cuentas de dominio pueden utilizarse en cualquier equipo en el dominio mientras que las cuentas locales son válidas sólo en el equipo en el que están definidos.Además, las cuentas de dominio pueden tener un número mucho mayor de propiedades asociadas con ellos en comparación con la variable local (consulte las figuras 2 y 3 para la comparación) de cuenta.
.gif)
La Figura 2 ventana de propiedades para una cuenta local
.gif)
La figura 3 ventana de propiedades para una cuenta de dominio
Las cuentas de dominio tienen un conjunto más rico de semántica, que cubren una gran variedad de atributos en un entorno organizativa, como los números de teléfono, administración de relaciones y las cuentas de correo electrónico.Las cuentas de dominio también son mucho más útiles en una red porque puede se utiliza y asigna permisos en los equipos a través de la red.Además, definir las cuentas en el dominio, simplifica administración ahora que sólo tenga mantener las cuentas de un solo lugar.
los equipos Un equipo es sólo otro tipo de usuario.En Active Directory, esto es especialmente true y se hay fuera por el modelo de herencia.La estructura de herencia llevan a un equipo se describe en la figura 4 .
.gif)
La figura 4 la jerarquía de herencia en mostrar cómo se relacionan los usuarios y equipos de Active Directory
Hay varias cosas muy interesantes que se muestra en la figura 4 .En primer lugar, como puede observar, todas las clases de Active Directory se derivan de una clase de raíz denominada superior.De hecho, incluso superior se considera una subclase de la parte superior.En segundo lugar, la clase de usuario se deriva la clase organizationalPerson.Tercer (y esto es lo más interesante), se deriva la clase de equipo de la clase de usuario.En otras palabras, en el lenguaje orientado a objetos, un equipo es un tipo de usuario.Anthropomorphizing los equipos de esta forma realmente hacer mucho sentido, sin embargo, porque los equipos deben tratarse como temas así y tienen casi todos el mismo atributos como una persona.
grupos Un tema, se recuerda, es algo que intenta obtener acceso a un objeto.El sistema operativo comprueba este intento de acceso comprobando los permisos del objeto.Muy pronto en, los diseñadores de sistema OPERATIVO di cuenta que sería resultar difíciles de muy administrar para asignar permisos a cada objeto único para cada usuario único que se necesitan.Para solucionar este problema, los diseñadores permiten a los usuarios sean miembros de grupos.Esto permite asignar permisos a grupos adicionales a los usuarios.
Un grupo no puede ser un usuario, pero un grupo todavía es un tipo de entidad de seguridad porque puede tener un identificador, al igual que los usuarios y equipos.En Windows, un usuario puede ser miembro de varios grupos y un objeto puede tener los permisos asignados a varios grupos.También se permiten grupos anidados, con algunas restricciones.
Un controlador de dominio no tiene sólo dos tipos de grupos, grupos integrados y grupos locales que el administrador ha definido.En Active Directory, sin embargo, encontrará seis tipos diferentes de los grupos de seguridad: integrado local de dominio grupos, grupos globales integrados, integrados grupos universales, grupos locales de dominio de definido por el usuario, grupos globales de definido por el usuario y definido por el usuario universales grupos.
Grupos locales de dominio sólo se pueden asignar permisos a los recursos dentro del dominio donde están definidos.Sin embargo, pueden contener usuarios, grupos universales y globales de cualquier dominio de confianza o del bosque y grupos locales de dominio de su propio dominio.
Un grupo global sólo puede contener usuarios y asignar permisos a recursos en cualquier dominio del bosque del dominio grupos globales del dominio en el que se definió, pero puede ser es parte de o un bosque que confía.
Un grupo universal puede contener usuarios y grupos universal y global de cualquier dominio.Un grupo universal se puede asignar permisos a los recursos de cualquier dominio o bosque que confía.En otras palabras, un grupo universal es un tipo de híbrido entre grupos de dominio local y global.
Aunque una estación de trabajo incluye sólo dos grupos de forma predeterminada, los administradores y los invitados, un dominio incluye varios relativamente grande, de todos los tipos de tres.Figura 5 muestra los grupos predeterminados en un dominio.Todos se designan como grupos de seguridad, lo que significa que se pueden asignar permisos.(Grupos de seguridad no deben confundirse con grupos de distribución, que se utilizan por Microsoft Exchange Server para los usuarios del grupo en las listas de correo electrónico.Ambos están definidos en Active Directory.) Los grupos locales que existen en todos los equipos basados en Windows se definen en Active Directory en los controladores de dominio.
La figura 5 predeterminado grupos definidos en el contenedor de usuarios de Active Directory
Como con los controladores de dominio, algunas sean controladores de dominio tiene un gran número de grupos así.la figura 6 muestra 16 grupos integrados en un equipo de prueba.El número exacto de los grupos en cualquier equipo dado serán diferentes en función las funciones que haya instalado en ese equipo.
Figura 6 grupos integrados en un que no sea de controlador de dominio (haga clic en la imagen de una vista más grande)
Si se intenta asignar permisos a un objeto, encontraría aún más grupos que lo que mostraron hasta ahora.De hecho, en un controlador de dominio básico, no podría encontrará 63 menos grupos y principales de seguridad integrada, que se muestra en la figura 7 .
Muchos de los grupos de 63 que se muestra en la figura 7 son conceptos abstractos, que a veces se conocen como "identidades especiales", que representan un grupo dinámico de los principales de seguridad.También a veces también se conocen como grupos de inicio de sesión.
grupos de inicio de sesión Los grupos de inicio de sesión son grupos que representan algunos aspecto dinámico de la una seguridad principal, como cómo un usuario o de otra entidad de seguridad ha iniciado sesión en.Por ejemplo, el grupo INTERACTIVO que se muestra en la figura 7 incluye todos los usuarios que inició sesión en la consola del equipo y vía Servicios de Terminal Server.Por el contrario, el grupo de red incluye todos los usuarios que iniciaron sesión a través la red.Por definición, un usuario sólo puede ser un miembro de uno de estos grupos a la vez y pertenencia a los que se asigna en el momento del inicio de sesión.Puede utilizar estos grupos para conceder permisos a todos los usuarios iniciar sesión una forma en concreto, pero no puede controlar que se convierte en un miembro de esos grupos.
La figura 7 un controlador de dominio básica no tiene menos 63 grupos y los principales de seguridad integrada
Hay otros grupos de esta naturaleza.De nota determinado son el grupo Todos y el grupo Usuarios autenticados.El grupo todos incluye, como el nombre implica, todos los usuarios tener acceso a este equipo, con la excepción de que, comenzando por Windows XP, totalmente anónima, no autenticado a los usuarios no se incluyen.En otras palabras, el usuario NULL inevitable no se incluye en todos en cualquier sistema compatible de operativo basado en Windows.Aunque se incluyen, los invitados.
El grupo Usuarios autenticados, aunque también se rellena dinámicamente, incluye sólo aquellos usuarios que realmente se autentican.Por lo tanto, los invitados no se incluyen en los usuarios autenticados.Es la única diferencia entre estos dos grupos.Pero desde la cuenta de invitado que existe en el sistema operativo está deshabilitada, hay ninguna diferencia funcional entre usuarios autenticados y todos a menos que han tenido pasos manuales para habilitar la cuenta de invitado, en cuyo caso, probablemente, desea que los invitados que puedan tener acceso a los recursos y, por tanto, necesita el todos agrupar intacto.
A pesar de esto, muchos administradores han perdido muchas horas de suspensión en el hecho de que "todos los usuarios de todo el mundo tiene permisos en el servidor" y ha realizado muy drásticos pasos para modificar permisos para corregir esta situación.Normalmente, estas modificaciones tienen los resultados completamente desastrosas.No tiene ninguna razón absoluto que intenta reemplazar permisos para todos los usuarios autenticados.O bien desea que los invitados tener permisos en el equipo y habilite la cuenta Invitado, o no y mantenga deshabilitada la cuenta de invitado.Si desea que los invitados tener permisos, deberá los permisos para todos.Si no lo hace, el grupo Todos no estará cualquier diferente de los usuarios autenticados.
Algunas personas argumentar que estos cambios son los cambios de "defensa en profundidad".Eso sería true si define "defensa en profundidad" como "cambios que no se puede justificar cualquier otra manera". El hecho es que tales modificaciones proporcionan poca o ninguna mejora de seguridad al ejecutar un gran riesgo.Deje los valores predeterminados por sí solo.
Si ese argumento no fue suficiente persuasive, le dirigirá a base del conocimiento de Microsoft artículo 885409 ("Soporte de instrucciones de configuración de seguridad").Indica, en pocas palabras, que permisos mayoristas sustitución puede anular su contrato de soporte técnico.Cuando lo haga que, básicamente crea su propio sistema operativo y Microsoft ya no puede garantizar que funciona.
También es importante señalar la diferencia entre usuarios, que es un grupo integrado y los usuarios autenticados.La diferencia es el hecho bastante obvio que los usuarios autenticados incluye todos los usuarios que ha autenticado en el equipo, incluidos los usuarios en diferentes dominios, los usuarios que son miembros de grupos locales no sean los usuarios y los usuarios que no son miembros de los grupos en todos los (Sí, es posible tal algo).Esto significa que es mucho, mucho más restrictivo que los usuarios autenticados al grupo Usuarios.
A pesar de este hecho, he visto organizaciones destruir sus redes intenta reemplazar permisos para usuarios con permisos para Authenticated Users en un intento de "reforzar sus sistemas". Han argumentar continuamente con clueless auditores PCI/DSS que dice que el sector de tarjetas de pago requiere que reemplazar todos los permisos para usuarios de los usuarios autenticados.Simplemente no es true.
También han Defender las organizaciones de todo el mundo de consultores que parecen ver reemplazo de lista (ACL) de control de acceso completo como una forma excelente de bastidor hasta horas facturables.No hace falta decir que puede esperar cualquier intento de por mayor sustitución de los usuarios o todos con usuarios autenticados que en gran medida incorrecta con respecto a la seguridad y estabilidad.
Servicios
Windows Vista y Windows Server 2008 admiten el tipo un nuevo principal de seguridad: un servicio.Para entender cómo estas entidades son valiosas, considere el curso debate acerca de los firewalls basado en host.Muchas personas, rápidamente admitidos por los proveedores que vende los productos, argumentar que servidores de seguridad basado en host deben filtrar el tráfico saliente que merece la pena porque esto protege el resto de la red desde un equipo en peligro.Mentes más objetivos señale que, si se pone en peligro un equipo, el malware ya está presente en el equipo y, por tanto, el malware tiene capacidad para omitir o deshabilitar el firewall basado en host totalmente.
Para entender motivo por el este es el caso, considere dos servicios en ejecución como el principal de seguridad mismo.UN servicio se permite comunicarse a través del firewall, B de servicio no es.Si el servicio B se ve comprometida, el intruso podría omitir esa restricción simplemente tomando sobre otro proceso de ejecución como esta seguridad principal, un servicio, para la instancia y comunicar de ese proceso en su lugar.
Para solucionar este problema, Microsoft necesitaba una manera para aplicar permisos a un proceso o más específicamente, para un servicio.Para este propósito, servicios se convirtieron los principales de seguridad en su propio derecha.Y como resultado, cada uno de los servicios ahora tiene un identificador que se puede utilizar para aplicar permisos frente a.Puede ejecutar el comando "sc showsid" desde la línea de comandos para ver el SID de servicio para cualquier servicio.
Con los SID de servicio, puede restringir el acceso a recursos para procesos específicos, en contraposición a sólo restringir el acceso para usuarios específicos.Este cambio permite filtros de salida firewall basado en host significativo, en algunas situaciones.La naturaleza exacta de las situaciones en las está fuera del alcance de este tema, pero si está interesado en leer más información sobre esto, le sugiero que lea el artículo que escribí acerca del firewall de Windows Vista en el número de junio de 2008 de TechNet Magazine (consulte la"Administración de Firewall de Windows Vista).
Ajustar hacia arriba
Las entidades principales de seguridad subyacen tanto de seguridad de Windows que es esencial para cualquier administrador tener al menos un conocimiento básico de cómo funcionan los distintos tipos de entidades de seguridad y cómo se utilizan.Sólo al comprender estos temas puede eficazmente crear una estrategia de seguridad que utiliza estas entidades de seguridad de forma eficaz.Este conocimiento le será de gran utilidad cuando debe resistir inútil argumentos de las personas que no minuciosamente entender las entidades principales de seguridad y esperar que poner en peligro el estado de la red con los cambios innecesarios y inadecuados.
Esta columna se basa en el material de mi libroKit de recursos de seguridad del servidor 2008 de Windows (Microsoft Press) .
Jesper M. Johansson es arquitecto de seguridad principal para una empresa Fortune 200 conocida, trabajar en la visión de la seguridad basada en riesgos y estrategia de seguridad.También es un redactor a TechNet Magazine.Su trabajo consiste en garantizar la seguridad de algunos de los sistemas más grandes y más distribuidos en el mundo.Contiene un pH.d.en sistemas de administración de información, tiene más de 20 años experiencia en seguridad y es un MVP de seguridad de la empresa.Su último libro es el Kit de recursos de seguridad de Windows Server 2008.