Segurana no Windows NT

Introduo Segurana C2
SID's - Identificadores Segurana
Logon
Fichas de Acesso
Introduo a Segurana C2
O Departamento de Defesa dos Estados Unidos (DoD) e a Agncia Nacional de Segurana estabeleceram o
Centro Nacional de Segurana em Computador (NCSC), para ajudar o Governo, Corporaes e usurios
comuns a protegerem dados proprietrios e pessoais armazenados em sistemas de comutador. O NCSC
criou uma gama de avaliaes de segurana que medem o grau de proteo dos Sistemas Operacionais
Comerciais, componentes de rede, e oferecer aplicaes confiveis. O NCSC atribuiu essas avaliaes de
segurana em 1983 baseado no Critrio de Evoluo de Sistema de Computao Confivel (TCSEC) do
Departamento de Defesa dos EUA (DoD). As avaliaes de segurana so comumente conhecidas como o
"Livro Laranja".
O padro TCSEC consiste de nveis de avaliaes confiveis, nas quais nveis mais altos de confiana
constrem em nveis mais baixos, adicionando exigncias de proteo mais rigorosas. Nenhum Sistema
Operacional ganhou avaliao A1. Alguns Sistemas Operacionais ganharam avaliaes B1, B2 e B3,
incluindo variantes do HP-UX da Hp, (um sistema UNIX), Ultrix e SEVMS da Digital, OS 1100 da Unisys
e IRIX da Silicom Graphics. Sistemas Operacionais que ganharam avaliao C2 incluem verses do
OS/400 da IBM e o OpenVMS da Digital. O NT 3.5 (Estao e Servidor) com o Service Pack 3 (SP3)
ganhou a avaliao C2 em Julho de 1995. A Microsoft , segundo consta, submeteu o NT 4.0 para avaliao
do NCSC, mas o processo de avaliao leva vrios anos e no est completo no momento dessa impresso.
(a Microsoft primeiro submeteu o NT 3.5 em 1991). Em razo dos componentes de segurana-relacionados
da arquitetura do NT 4.0 serem virtualmente idntica quelas na arquitetura do NT 3.5, o NT 4.0
provavelmente satisfar as exigncias C2.
Para ganhar uma avaliao de segurana C2, um Sistema Operacional deve implementar as seguintes
caractersticas: instalao segura de logon, controle de acesso discricionrio, auditoria e reutilizao de
proteo objeto. Uma instalao segura de logon exige que os usurios entrem antes com uma nica
identificao e senha para identifica-los que conceder a eles acesso ao computador. O NT usa contas para
identificao de usurios e senha-baseada de logon para seu mecanismo de autenticao default.
Quando um Sistema Operacional implementa controle de acesso discricionrio, ele deixa todos os recursos
compartilhveis do Sistema Operacional associado com um bloco de informao que especifica quais
usurios podem executar operaes no recurso. Se voc tem visualizado ou ajustado o campo NTFS ou o
diretrio de permisses ou voc modificou os ajustes de segurana nas chaves Registry, voc tem visto uma
representao do controle de acesso discricionrio do NT, o qual o NT organiza como uma lista. Os
elementos da lista descrevem as aes que um usurio pode ou no pode realizar em um objeto.
Capacidade de auditoria permite que usurios autorizados coloquem sentinelas nos recursos que monitoram
e gravam as falhas ou tentativas bem sucedidas dos usurios para acessar os recursos. Os editores de
permisso os Registry providenciam acesso ao sistema de arquivo de implementao e para o objeto de
auditoria Registry do NT. Todos os objetos compartilhveis do NT podem ter a auditoria ativada. Mas a
auditoria pode introduzir sobre-leitura indesejvel, ento o NT desativa-a sistematicamente por default.
Para ter proteo de reutilizao de objeto, um Sistema Operacional deve prevenir usurios de visualizar
dados que outro usurio deletou ou de acessar memria que outro usurio previamente usou ou liberou. Por
exemplo, em alguns Sistema Operacionais voc pode criar um novo arquivo de um certo tamanho e ento
examinar o contedo do arquivo para ver dados que previamente ocupou a localizao no disco alocado
para o novo arquivo. Esses dados devem ser informao sensvel que outro usurio armazenou em um
arquivo e ento deletou. O NT previne esse tipo de quebra de segurana pr-inicializando o arquivo de
dados, memria, e outros objetos quando ele aloca-os. Se voc criar um arquivo, o NT zera os contedos
antes que voc possa acessar o arquivo, o qual previne voc de ver alguns dados que existiam
anteriormente na localizao do arquivo no disco.
Quando o NT ganhou sua avaliao de segurana C2, o Centro Nacional de Segurana em Computador
tambm reconheceu o NT como satisfazendo duas exigncias de segurana nvel-B: Funcionalidade de
1/7

Caminho Confivel e Funcionalidade de Facilidade de Gerenciamento Confivel. Funcionalidade de

Caminho Confivel previne programas "Cavalo de Tria" de interceptar o nome e a senha de usurio
enquanto o usurio executa o logon. A Funcionalidade de Caminho Confivel do NT existe na sua forma de
seqncia de logon-ateno Crtl+Alt+Del. Essa seqncia de teclas pressionadas, a Seqncia de Ateno
Segura, causa o aparecimento de uma caixa de dilogo de logon do NT, o qual inicializa um processo que
ajuda o NT a reconhecer os aspirantes "Cavalos de Tria". O NT desvia qualquer "Cavalo de Tria que
apresente um dilogo de logon falso quando um usurio entra a seqncia de ateno.
O NT satisfaz a exigncia de Facilidade de Gerenciamento Confivel por suportar regras de separao de
conta por funes administrativas. Por exemplo, o NT prov separao de contas por administrao
(Administradores), contas de usurios envolvidas com o backup do computador (Operadores de Backup), e
usurios padres (Usurios). A Microsoft est segundo consta trabalhando em uma verso nvel-B do NT,
mas a companhia no tem feito uma declarao pblica sobre quando ela deva liberar essa verso.
Se voc depende da avaliao de segurana C2 do NT em suas decises de segurana, voc deve manter em
mente duas importantes consideraes. Primeiro, uma avaliao de segurana C2 diferente uma
certificao de Segurana C2. Sistemas Operacionais e programas ganham avaliaes, mas instalaes
individuais devem ser certificadas. Essa distino significa que a maioria das instalaes NT no esto
certificadas C2, nem eles iriam necessariamente querer que sua necessidade de ser seguro variem, e
tambm muita segurana pode dificultar a produtividade. Voc pode usar a ferramenta C2 Config do
RECURSO MICROSOFT WINDOWS NT SERVER 4.0 para ajudar voc a encontrar as exigncias para a
certificao C2. Segundo, o NT ganhou sua avaliao C2 como um sistema dedicado, sem capacidade de
rede. Se voc obter seu sistema C2Config C2-Certificado e liga-lo sua LAN, seu sistema perde sua
certificao C2. Sistema de segurana de uma rede-baseada mais difcil do que segurana de uma
mquina dedicada, mas se voc manter atualizado com os pacotes de servios e alertas de segurana, voc
pode permanecer fechado ao nvel de certificao C2.

Identificadores de Segurana - (SID's)

O NT usa Identificadores de Segurana (SIDs) antes que nomes (a qual no pode ser nica) para identificar
entidades que executam aes em um sistema. Usurios, grupos locais e de domnio, computadores locais,
domnios e membros de domnio tem Identificadores de Segurana. Um Identificador de Segurana uma
varivel de valor numrico varivel que consiste de um nmero de reviso do Identificador de Segurana,
uma valor de identificador de autoridade de 48 bit, e um nmero varivel de subautoridade de 32 bit ou
valores de Identificador Relativo (RID). O valor de autoridade identifica o agente que resultou o
Identificador de Segurana, e esse agente tipicamente sistema local NT ou um domnio. Os valores de
subautoridade identificam os administradores relativos para a autoridade resultante, e os Identificadores
Relativos so simplesmente um meio para o NT criar Identificadores de Segurana nicos de uma base de
Identificador de Segurana. Por causa dos Identificadores de Segurana serem longos e o NT tomar
cuidado para a gerao de valores feitos verdadeiramente dentro de cada Identificador de Segurana, ela
virtualmente impossvel para o NT resultar Identificadores de Segurana duplicados em mquinas ou
domnios em qualquer lugar do mundo.
Na forma de texto, cada Identificador de Segurana leva um prefixo S, e hfens separam seus vrios
componentes. Para ver a representao do Identificador de Segurana para qualquer conta que voc est
usando, execute regedit e abra a chave HKEY_USERS, como mostra a TELA 1. Essa tela contm o perfil
do usurio atual e o perfil da conta default, a qual est em uso quando ningum est logado na localmente.
Na TELA 1, o Identificador de Segurana da conta corrente s-1-5-21-1463437245-1224812800863842198-1128. Esse Identificador de Segurana tem um nmero de reviso 1, um identificador de
autoridade 5, (o qual representa a autoridade de segurana do NT), outro identificador de autoridade 21 (o
qual identifica o Identificador de Segurana como no incorporado), trs valores de subautoridade, e um
Identificador Relativo (1128). Esse Identificador de Segurana um Identificador de Segurana de
domnio, mas um computador local no mundo domnio tem um Identificador de Segurana com o mesmo
nmero de reviso, valor identificador de autoridade, e nmeros de valores de subautoridade.

2/7

TELA 1

Quando voc instala o NT, o programa setup do NT resulta ao computador um Identificador de Segurana.
O NT atribui Identificadores de Segurana para contas locais no computador. Cada Identificador de
Segurana de conta local est baseada na fonte do Identificador de Segurana do computador e tem um
Identificador Relativo no final. Os Identificadores Relativos para contas de usurios e grupos iniciam em
1000 e aumenta em incremento de 1 para cada usurio ou grupo novo. Similarmente, o NT resulta um
Identificador de Segurana para cada domnio de NT novamente criado. O NT resulta novos Identificadores
de Segurana de contas de domnio que esto baseados no Identificador de Segurana de domnio e tem
uma Identificador Relativo apendiada (tambm comeando em 1000 e aumentando em incrementos de 1
para cada novo usurio ou grupo). A Identificador Relativo na TELA 1 (1128) identifica aquele
Identificador de Segurana como a centsima vigsima nona resultada do domnio.
O NT tambm define vrios Identificadores de Segurana locais e de domnio incorporadas para
representar grupos. Por exemplo, um Identificador de Segurana que identifica todas as contas o
Identificador de Segurana Everyone ou World: S-1-1-0. Outro exemplo de um grupo que um Identificador
de Segurana pode representar o grupo Network, o qual o grupo que representa usurios que podem
executar logon para uma mquina de uma rede. O Identificador de Segurana do grupo de rede S-1-5-2. O
NT resulta Identificadores de Segurana que consistem de um Identificador de Segurana de um
computador ou de domnio com uma Identificador Relativo predefinida para muitas contas e grupos
predefinidos. Por exemplo, uma Identificador Relativo para a conta do administrador 500, e a
Identificador Relativo para a conta do convidado 501. Uma conta de administrador de um computador
local, por exemplo, tem o Identificador de Segurana do computador como sua base com a Identificador
Relativo de 500 apendiada para ela: S-1-5-21-13124455-12541255-61235125-500.

Logon
O NT implementa um processo de logon seguro que toma como entrada um nome de usurio e uma senha e
retorna como sada para o Sistema Operacional Identificadores de Segurana que identificam a conta do
usurio e a conta dos grupos a quem ele pertence. No primeiro passo do processo de logon seguro, o NT
reconhece a Seqncia de Ateno Segura e os prompts de usurio para identificao e uma senha. O
programa winlogon.exe responsvel por apresentar as caixas de dilogo do NT. Ao invs de conter uma
interface de usurio incorporada, o Winlogon carrega a interface dinamicamente. Essa estratgia permite
3/7

terceiros vendedores implementarem suas prprias interfaces de logon. Os pacotes de interfaces de logon
so conhecidos como bibliotecas de Autenticao e Identificao Grfica (GINA).
A interface de logon default, a qual apresenta a caixa de dilogo do logon que deve ser familiar para a
maioria de ns, a MSGINA (ela est localizada em winnt\system32\msgina.dll). A habilidade do NT para
substituir a interface de logon permite terceiros vendedores substituir a MSGINA com uma GINA
proprietria. Por exemplo, uma GINA de cliente deve reconhecer um comando de voz ao invs de
Crtl+Alt+Del como a seqncia de logon, ou ela deve usar um dispositivo de exame retinal para identificar
usurios. Depois dos usurios se identificarem a si mesmos para uma GINA com um nome de usurio e
senha, a GINA emite a informao acumulada para o Sub-Sistema Local de Segurana e Autoridade
(LSASS, em winnt\system32\lsass.exe) processo com uma mensagem de chamada de procedimento local
(LPC). O Sub-Sistema Local de Segurana e Autoridade a fronteira final para a autenticao de logon no
NT. A autenticao o mecanismo pelo qual o NT valida os nomes e senhas de usurios
OOOOOOoOodkfjadfj e recupera a identificao do Identificador de Segurana que identifica o usurio.
Refletindo a configurabilidade do Winlogon, o Sub-Sistema Local de Segurana e Autoridade usa uma
biblioteca substituvel como seu pacote de autenticao. Se voc olhar para o valor do Registro de Pacotes
de Autenticao HKEY_LOCAL_MACHINES\SYSTEM\CurrentControlSet\CONTROL\Lsa, voc ver
MSV1_0 listado como o autenticador do Sub-Sistema Local de Segurana e Autoridade (o MSV1_0 est
em winnt\system32\\msv1_0.dll). Se voc tem Arquivo e Servios de Impresso para NetWare (FPNW) ou
Servios de Cliente para NetWare (CSNW), voc ver um pacote de autenticao para eles tambm. O SubSistema Local de Segurana e Autoridade chama o MSV1_0 e cede a ele o nome e a senha do usurio.

Depois, o MSV1_0 determina se a tentativa local (sobre um grupo de trabalho ou o computador local) ou
baseado em domnio.
O MSV1_0 consiste de um componente de interface, um componente de processo, e um componente
chamado Netlogon, o qual ser descrito brevemente. O componente de interface obtm a senha e a encripta.
Se o logon local ou direcionado em um domnio e a mquina e o logon que eles esto ocupando um
controlador de domnio, o componente de interface passa o nome e a senha do usurio para o componente
de processo. O componente de processo usa as funes exportadas pela biblioteca samsrv.dll para acessar o
HKEY_LOCAL_MACHINE\SAM, o qual serve como conta de base de dados local no NT, para validar o
nome e a senha. A FIGURA 1 ilustra esse controle de validao local fluir.

FIGURA 1

4/7

O HKEY_LOCAL_MACHINE\SAM, o qual tambm conhecido como a base de dados do Gerente de

Contas de Segurana (SAM), por default no visvel mesmo de uma conta de Administrador.
Consequentemente, o contedo e a disposio do Gerente de Contas de Segurana so um mistrio para a
maioria das pessoas. Olhando dentro do Gerente de Contas de Segurana provavelmente no fornecer a
voc nenhuma informao til. Se voc alterar os ajustes de segurana do Gerente de Contas de Segurana
(faa somente em um ambiente no-produtivo) e abri-lo, voc ver alguma coisa como mostra a TELA 2.
Na TELA 2 voc pode ver as chaves de domnio, as quais contm toda informao da conta local abaixo
dela. Se a mquina um controlador de domnio, as chaves de domnio contm informao sobre a contadomnio e nmero de membros do computador tambm.

TELA 2

Abaixo da Sub-chave Conta, voc achar informao pertinente s aliases no-incorporadas, contas,
grupos, e computadores. Na TELA 2, voc pode ver trs contas inseridas (Administrador, Convidado, e
Joe) abaixo de Conta\Usurios\Nomes. Trs sub-chaves abaixo de Conta\Usurios tem nomes numricos.
As chaves com nomes numricos correspondem diretamente aos nomes de contas abaixo da sub-chave
Nomes, e os nomes numricos dessas chaves so os Identificadores Relativos das contas (por exemplo, a
conta do Administrador tem um Identificador Relativo de 000001F4, o qual uma representao
hexadecimal de 500). Para as chaves do nome do Identificador Relativo, voc achar dois valores, F e V,
que contm a descrio da conta, poltica de senha, senha (encriptada), e o Identificador de Segurana.
Logicamente, todas essas informaes esto em um formato no documentado e mudar no NT 5.0. A
subchave Embutida um espelho da sub-chave Conta, mas a Embutida tambm contm informao para
aliases, grupos, e contas que esto incorporadas no NT. A menos que voc tenha um sistema de segurana
no padro, voc achar nessas sub-chaves apenas informao de alias incorporada que descrevem quais
contas so membros de aliases. Por exemplo, abaixo da sub-chave Embutida voc achar Administradores,
Usurios Poderosos, Operadores de Backup, e outras aliases.
Para validar um logon de usurio, o MSV1_0 procura a conta de logon especificada no Gerente de Contas
de Segurana e compara a senha do usurio digitada com a qual ele acha no Gerente de Contas de
Segurana. Se a informao corresponder, o MSV1_0 valida o usurio, obtm os Identificadores de
Segurana da conta e dos grupos aos quais a conta pertence, e retorna esses Identificadores de Segurana
para o componente de interface, o qual por sua vez passa os Identificadores de Segurana devolta para o
Sub-Sistema Local de Segurana e Autoridade. O Sub-Sistema Local de Segurana e Autoridade finalmente
5/7

obtm uma lista de privilgios associados com a conta e os grupos. Um exemplo de privilgio o Usurio
poder reinicializar o computador. O NT armazena a lista de privilgios no
HKEY_LOCAL_MACHINE\SECURITY. Como o Gerente de Contas de Segurana, a base de dados de
segurana est perfeitamente trancada. O fluxo do controle de logon diferente se o logon do usurio est
direcionado em um domnio e a mquina do usurio no um controlador de domnio ou se o logon est
direcionado em um domnio seguro. A FIGURA 2 mostra o fluxo do controle de logon remoto. O
componente de interface MSV1_0 apresenta o nome do usurio e a senha encriptada para o componente de
processo, o qual dispe o nome do usurio e a senha encriptada para o componente Netlogon.

FIGURA 2

O Netlogon (winnt\system32\netlogon.dll) envia a informao para o MSV1_0 em um servidor (chamado

atravs de um processo chamado discovery (descobrimento)) para o domnio que o logon est almejando;
esse servidor tambm tem uma instncia de MSV1_0 rodando nele. O Netlogon no servidor alvo est
atento para os requisitos de autenticao da rede. Quando ele recebe uma requisio, ele entrega a
informao para o componente de processo do MSV1_0. O componente de processo executa a mesma
autenticao e os passos de recuperao do Identificador de Segurana como para logons local, mas ele
dispe a informao para o Netlogon no servidor alvo, o qual retorna a informao para o Netlogon do
computador de origem. Finalmente, o Netlogon de origem retorna seus resultados para o componente de
interface do MSV1_0, o qual retorna o resultado para o Sub-Sistema Local de Segurana e Autoridade. Foi
descrito apenas logons interativos, nos quais um usurio senta em um computador e digita um nome uma
senha de usurio, mas o fluxo de controle o mesmo para logons no-interativos. Por exemplo, quando um
servio Win32 (um processo daemon) roda no contexto de uma conta de usurio especfica, o servio
acessa o computador usando informao de nome de conta e senha, as quais o servio armazena com seus
outros parmetros de configurao. A diferena de logons interativos e no-interativos que um logon
interativo resulta na criao de uma estao window interativa, com uma Interface Grfica nica de
desktop com a qual programas podem interagir. Voc pode imaginar logons no-interativos como logons
"acfalos" .

Fichas de Acesso
Se a poro de interface do MSV1_0 retornar um resultado para o Sub-Sistema Local de Segurana e
Autoridade que confirma um logon bem sucedido, o Sub-Sistema Local de Segurana e Autoridade deve
criar uma ficha de acesso. Uma ficha de acesso armazena toda a informao do MSV1_0 acumulada,
incluindo o Identificador de Segurana da conta, os Identificadores de Segurana do grupo, os privilgios
coletivos, e o nome da conta. Uma ficha de acesso uma descrio completa de um usurio do ponto de
vista de segurana do NT, e o NT anexa uma cpia das fichas todos os processos que o usurio executa.
Por exemplo, quando algum executa um logon interativo, o Winlogon executa um programa shell (na
maioria dos casos Explorer) e se adianta anexando ao processo shell a ficha de acesso que o Sub-Sistema
Local de Segurana e Autoridade retornou atravs da Autenticao e Identificao Grfica. Quando o SubSistema Local de Segurana e Autoridade cria a primeira ficha, o usurio est oficialmente logado. Se o
usurio iniciar outro programa, assim como o Word, pelo Explorer, o processo do Word anexado e obter
uma cpia da ficha de acesso. Quando o Sub-Sistema Local de Segurana e Autoridade fecha a ltima ficha
6/7

pertencente um usurio, o usurio est oficialmente deslogado. A FIGURA 3 descreve um contedo

lgico da ficha de acesso. Quando um processo tenta acessar um objeto, assim como um arquivo, chave de
Registro, pipe nomeado, ou mesmo um objeto de sincronizao no nomeado, o sub-sistema de Segurana
de Referncia de Monitor usa a ficha de acesso do processo para determinar se permite o acesso.

FIGURA 3

7/7