Академический Документы
Профессиональный Документы
Культура Документы
Introduo Segurana C2
SID's - Identificadores Segurana
Logon
Fichas de Acesso
Introduo a Segurana C2
O Departamento de Defesa dos Estados Unidos (DoD) e a Agncia Nacional de Segurana estabeleceram o
Centro Nacional de Segurana em Computador (NCSC), para ajudar o Governo, Corporaes e usurios
comuns a protegerem dados proprietrios e pessoais armazenados em sistemas de comutador. O NCSC
criou uma gama de avaliaes de segurana que medem o grau de proteo dos Sistemas Operacionais
Comerciais, componentes de rede, e oferecer aplicaes confiveis. O NCSC atribuiu essas avaliaes de
segurana em 1983 baseado no Critrio de Evoluo de Sistema de Computao Confivel (TCSEC) do
Departamento de Defesa dos EUA (DoD). As avaliaes de segurana so comumente conhecidas como o
"Livro Laranja".
O padro TCSEC consiste de nveis de avaliaes confiveis, nas quais nveis mais altos de confiana
constrem em nveis mais baixos, adicionando exigncias de proteo mais rigorosas. Nenhum Sistema
Operacional ganhou avaliao A1. Alguns Sistemas Operacionais ganharam avaliaes B1, B2 e B3,
incluindo variantes do HP-UX da Hp, (um sistema UNIX), Ultrix e SEVMS da Digital, OS 1100 da Unisys
e IRIX da Silicom Graphics. Sistemas Operacionais que ganharam avaliao C2 incluem verses do
OS/400 da IBM e o OpenVMS da Digital. O NT 3.5 (Estao e Servidor) com o Service Pack 3 (SP3)
ganhou a avaliao C2 em Julho de 1995. A Microsoft , segundo consta, submeteu o NT 4.0 para avaliao
do NCSC, mas o processo de avaliao leva vrios anos e no est completo no momento dessa impresso.
(a Microsoft primeiro submeteu o NT 3.5 em 1991). Em razo dos componentes de segurana-relacionados
da arquitetura do NT 4.0 serem virtualmente idntica quelas na arquitetura do NT 3.5, o NT 4.0
provavelmente satisfar as exigncias C2.
Para ganhar uma avaliao de segurana C2, um Sistema Operacional deve implementar as seguintes
caractersticas: instalao segura de logon, controle de acesso discricionrio, auditoria e reutilizao de
proteo objeto. Uma instalao segura de logon exige que os usurios entrem antes com uma nica
identificao e senha para identifica-los que conceder a eles acesso ao computador. O NT usa contas para
identificao de usurios e senha-baseada de logon para seu mecanismo de autenticao default.
Quando um Sistema Operacional implementa controle de acesso discricionrio, ele deixa todos os recursos
compartilhveis do Sistema Operacional associado com um bloco de informao que especifica quais
usurios podem executar operaes no recurso. Se voc tem visualizado ou ajustado o campo NTFS ou o
diretrio de permisses ou voc modificou os ajustes de segurana nas chaves Registry, voc tem visto uma
representao do controle de acesso discricionrio do NT, o qual o NT organiza como uma lista. Os
elementos da lista descrevem as aes que um usurio pode ou no pode realizar em um objeto.
Capacidade de auditoria permite que usurios autorizados coloquem sentinelas nos recursos que monitoram
e gravam as falhas ou tentativas bem sucedidas dos usurios para acessar os recursos. Os editores de
permisso os Registry providenciam acesso ao sistema de arquivo de implementao e para o objeto de
auditoria Registry do NT. Todos os objetos compartilhveis do NT podem ter a auditoria ativada. Mas a
auditoria pode introduzir sobre-leitura indesejvel, ento o NT desativa-a sistematicamente por default.
Para ter proteo de reutilizao de objeto, um Sistema Operacional deve prevenir usurios de visualizar
dados que outro usurio deletou ou de acessar memria que outro usurio previamente usou ou liberou. Por
exemplo, em alguns Sistema Operacionais voc pode criar um novo arquivo de um certo tamanho e ento
examinar o contedo do arquivo para ver dados que previamente ocupou a localizao no disco alocado
para o novo arquivo. Esses dados devem ser informao sensvel que outro usurio armazenou em um
arquivo e ento deletou. O NT previne esse tipo de quebra de segurana pr-inicializando o arquivo de
dados, memria, e outros objetos quando ele aloca-os. Se voc criar um arquivo, o NT zera os contedos
antes que voc possa acessar o arquivo, o qual previne voc de ver alguns dados que existiam
anteriormente na localizao do arquivo no disco.
Quando o NT ganhou sua avaliao de segurana C2, o Centro Nacional de Segurana em Computador
tambm reconheceu o NT como satisfazendo duas exigncias de segurana nvel-B: Funcionalidade de
1/7
2/7
TELA 1
Quando voc instala o NT, o programa setup do NT resulta ao computador um Identificador de Segurana.
O NT atribui Identificadores de Segurana para contas locais no computador. Cada Identificador de
Segurana de conta local est baseada na fonte do Identificador de Segurana do computador e tem um
Identificador Relativo no final. Os Identificadores Relativos para contas de usurios e grupos iniciam em
1000 e aumenta em incremento de 1 para cada usurio ou grupo novo. Similarmente, o NT resulta um
Identificador de Segurana para cada domnio de NT novamente criado. O NT resulta novos Identificadores
de Segurana de contas de domnio que esto baseados no Identificador de Segurana de domnio e tem
uma Identificador Relativo apendiada (tambm comeando em 1000 e aumentando em incrementos de 1
para cada novo usurio ou grupo). A Identificador Relativo na TELA 1 (1128) identifica aquele
Identificador de Segurana como a centsima vigsima nona resultada do domnio.
O NT tambm define vrios Identificadores de Segurana locais e de domnio incorporadas para
representar grupos. Por exemplo, um Identificador de Segurana que identifica todas as contas o
Identificador de Segurana Everyone ou World: S-1-1-0. Outro exemplo de um grupo que um Identificador
de Segurana pode representar o grupo Network, o qual o grupo que representa usurios que podem
executar logon para uma mquina de uma rede. O Identificador de Segurana do grupo de rede S-1-5-2. O
NT resulta Identificadores de Segurana que consistem de um Identificador de Segurana de um
computador ou de domnio com uma Identificador Relativo predefinida para muitas contas e grupos
predefinidos. Por exemplo, uma Identificador Relativo para a conta do administrador 500, e a
Identificador Relativo para a conta do convidado 501. Uma conta de administrador de um computador
local, por exemplo, tem o Identificador de Segurana do computador como sua base com a Identificador
Relativo de 500 apendiada para ela: S-1-5-21-13124455-12541255-61235125-500.
Logon
O NT implementa um processo de logon seguro que toma como entrada um nome de usurio e uma senha e
retorna como sada para o Sistema Operacional Identificadores de Segurana que identificam a conta do
usurio e a conta dos grupos a quem ele pertence. No primeiro passo do processo de logon seguro, o NT
reconhece a Seqncia de Ateno Segura e os prompts de usurio para identificao e uma senha. O
programa winlogon.exe responsvel por apresentar as caixas de dilogo do NT. Ao invs de conter uma
interface de usurio incorporada, o Winlogon carrega a interface dinamicamente. Essa estratgia permite
3/7
terceiros vendedores implementarem suas prprias interfaces de logon. Os pacotes de interfaces de logon
so conhecidos como bibliotecas de Autenticao e Identificao Grfica (GINA).
A interface de logon default, a qual apresenta a caixa de dilogo do logon que deve ser familiar para a
maioria de ns, a MSGINA (ela est localizada em winnt\system32\msgina.dll). A habilidade do NT para
substituir a interface de logon permite terceiros vendedores substituir a MSGINA com uma GINA
proprietria. Por exemplo, uma GINA de cliente deve reconhecer um comando de voz ao invs de
Crtl+Alt+Del como a seqncia de logon, ou ela deve usar um dispositivo de exame retinal para identificar
usurios. Depois dos usurios se identificarem a si mesmos para uma GINA com um nome de usurio e
senha, a GINA emite a informao acumulada para o Sub-Sistema Local de Segurana e Autoridade
(LSASS, em winnt\system32\lsass.exe) processo com uma mensagem de chamada de procedimento local
(LPC). O Sub-Sistema Local de Segurana e Autoridade a fronteira final para a autenticao de logon no
NT. A autenticao o mecanismo pelo qual o NT valida os nomes e senhas de usurios
OOOOOOoOodkfjadfj e recupera a identificao do Identificador de Segurana que identifica o usurio.
Refletindo a configurabilidade do Winlogon, o Sub-Sistema Local de Segurana e Autoridade usa uma
biblioteca substituvel como seu pacote de autenticao. Se voc olhar para o valor do Registro de Pacotes
de Autenticao HKEY_LOCAL_MACHINES\SYSTEM\CurrentControlSet\CONTROL\Lsa, voc ver
MSV1_0 listado como o autenticador do Sub-Sistema Local de Segurana e Autoridade (o MSV1_0 est
em winnt\system32\\msv1_0.dll). Se voc tem Arquivo e Servios de Impresso para NetWare (FPNW) ou
Servios de Cliente para NetWare (CSNW), voc ver um pacote de autenticao para eles tambm. O SubSistema Local de Segurana e Autoridade chama o MSV1_0 e cede a ele o nome e a senha do usurio.
Depois, o MSV1_0 determina se a tentativa local (sobre um grupo de trabalho ou o computador local) ou
baseado em domnio.
O MSV1_0 consiste de um componente de interface, um componente de processo, e um componente
chamado Netlogon, o qual ser descrito brevemente. O componente de interface obtm a senha e a encripta.
Se o logon local ou direcionado em um domnio e a mquina e o logon que eles esto ocupando um
controlador de domnio, o componente de interface passa o nome e a senha do usurio para o componente
de processo. O componente de processo usa as funes exportadas pela biblioteca samsrv.dll para acessar o
HKEY_LOCAL_MACHINE\SAM, o qual serve como conta de base de dados local no NT, para validar o
nome e a senha. A FIGURA 1 ilustra esse controle de validao local fluir.
FIGURA 1
4/7
TELA 2
Abaixo da Sub-chave Conta, voc achar informao pertinente s aliases no-incorporadas, contas,
grupos, e computadores. Na TELA 2, voc pode ver trs contas inseridas (Administrador, Convidado, e
Joe) abaixo de Conta\Usurios\Nomes. Trs sub-chaves abaixo de Conta\Usurios tem nomes numricos.
As chaves com nomes numricos correspondem diretamente aos nomes de contas abaixo da sub-chave
Nomes, e os nomes numricos dessas chaves so os Identificadores Relativos das contas (por exemplo, a
conta do Administrador tem um Identificador Relativo de 000001F4, o qual uma representao
hexadecimal de 500). Para as chaves do nome do Identificador Relativo, voc achar dois valores, F e V,
que contm a descrio da conta, poltica de senha, senha (encriptada), e o Identificador de Segurana.
Logicamente, todas essas informaes esto em um formato no documentado e mudar no NT 5.0. A
subchave Embutida um espelho da sub-chave Conta, mas a Embutida tambm contm informao para
aliases, grupos, e contas que esto incorporadas no NT. A menos que voc tenha um sistema de segurana
no padro, voc achar nessas sub-chaves apenas informao de alias incorporada que descrevem quais
contas so membros de aliases. Por exemplo, abaixo da sub-chave Embutida voc achar Administradores,
Usurios Poderosos, Operadores de Backup, e outras aliases.
Para validar um logon de usurio, o MSV1_0 procura a conta de logon especificada no Gerente de Contas
de Segurana e compara a senha do usurio digitada com a qual ele acha no Gerente de Contas de
Segurana. Se a informao corresponder, o MSV1_0 valida o usurio, obtm os Identificadores de
Segurana da conta e dos grupos aos quais a conta pertence, e retorna esses Identificadores de Segurana
para o componente de interface, o qual por sua vez passa os Identificadores de Segurana devolta para o
Sub-Sistema Local de Segurana e Autoridade. O Sub-Sistema Local de Segurana e Autoridade finalmente
5/7
obtm uma lista de privilgios associados com a conta e os grupos. Um exemplo de privilgio o Usurio
poder reinicializar o computador. O NT armazena a lista de privilgios no
HKEY_LOCAL_MACHINE\SECURITY. Como o Gerente de Contas de Segurana, a base de dados de
segurana est perfeitamente trancada. O fluxo do controle de logon diferente se o logon do usurio est
direcionado em um domnio e a mquina do usurio no um controlador de domnio ou se o logon est
direcionado em um domnio seguro. A FIGURA 2 mostra o fluxo do controle de logon remoto. O
componente de interface MSV1_0 apresenta o nome do usurio e a senha encriptada para o componente de
processo, o qual dispe o nome do usurio e a senha encriptada para o componente Netlogon.
FIGURA 2
Fichas de Acesso
Se a poro de interface do MSV1_0 retornar um resultado para o Sub-Sistema Local de Segurana e
Autoridade que confirma um logon bem sucedido, o Sub-Sistema Local de Segurana e Autoridade deve
criar uma ficha de acesso. Uma ficha de acesso armazena toda a informao do MSV1_0 acumulada,
incluindo o Identificador de Segurana da conta, os Identificadores de Segurana do grupo, os privilgios
coletivos, e o nome da conta. Uma ficha de acesso uma descrio completa de um usurio do ponto de
vista de segurana do NT, e o NT anexa uma cpia das fichas todos os processos que o usurio executa.
Por exemplo, quando algum executa um logon interativo, o Winlogon executa um programa shell (na
maioria dos casos Explorer) e se adianta anexando ao processo shell a ficha de acesso que o Sub-Sistema
Local de Segurana e Autoridade retornou atravs da Autenticao e Identificao Grfica. Quando o SubSistema Local de Segurana e Autoridade cria a primeira ficha, o usurio est oficialmente logado. Se o
usurio iniciar outro programa, assim como o Word, pelo Explorer, o processo do Word anexado e obter
uma cpia da ficha de acesso. Quando o Sub-Sistema Local de Segurana e Autoridade fecha a ltima ficha
6/7
FIGURA 3
7/7