2018. november 6., kedd

A Windows Vista biztonsági szolgáltatásai - Session 0 izoláció 2.rész

Ez a védelmi eljárás nyilvánvalóan kompatibilitási problémákat is felvet, hiszen a régebbi
szolgáltatások (például eszközmeghajtók telepítésekor) megpróbálhatnak egy-egy üzenetet vagy
ablakot megjeleníteni. Ezzel viszonylag ritkán találkozhatunk, de ha mégis előfordul a szolgáltatás
telepítése ekkor hibával leállna. A Windows Vista erre is kínál megoldást: abban az esetben, ha
interaktív szolgáltatással lenne dolgunk, az ablak megjelenítésének idejére a rendszer
automatikusan átkapcsol a nulladik munkafázisra (ekkor eltűnik a szokásos Windows asztal), majd
amint a program befejezte a működést visszatérünk a saját felhasználói szintünkre.



Egy interaktív szolgáltatás üzenetet jelenít meg a nulladik munkafázisban

2018. október 14., vasárnap

A Windows Vista biztonsági szolgáltatásai - Session 0 izoláció 1.rész

A Windows XP és Windows Server 2003 rendszerekben minden operációs rendszer-komponens a
bejelentkezett felhasználóéval megegyező munkafázisban, a "session 0"-ban futott. Ez biztonsági
problémákat vethet fel, mert a magas jogosultságú "Local System" felhasználói fiókkal futó
Windows szolgáltatások kedvelt célpontjai voltak az ártalmas programoknak, hiszen egy interaktív
művelettel akár ők maguk is emelt jogosultsági szintre juthattak. A Windows Vista-ban a nulladik
munkafázis izolálva lett, így a bejelentkező felhasználó már a következő, 1-es fázisba lép be, ezzel


együtt pedig a session 0 elvesztette interaktivitását, vagyis a szolgáltatások nem jeleníthetnek meg
többé üzeneteket vagy párbeszédablakokat. Ezzel az elszigeteléssel megakadályozható, hogy a
felhasználó szintjéről bármilyen kód átnyúlhasson arra a munkafázisra, ahol a
rendszerszolgáltatások dolgoznak. Ha a Windows feladatkezelőben engedélyezzük a munkafázisok
megjelenítését, láthatjuk, hogy a szolgáltatások és a felhasználói programok egymástól elszigetelt
szinteken futnak.

2018. október 2., kedd

A Windows Vista biztonsági szolgáltatásai - PatchGuard 4. rész

Bár a felháborodás jogosnak tűnhet, a Microsoft olyan további technológiákat bocsájt a cégek
rendelkezésére, melyekkel a kernel módosítása nélkül is megfelelő kiegészítő védelemmel láthatják
el a rendszert:

Windows Filtering Platform - olyan hálózati műveletek engedélyezése, mint a csomagelemzés,
például harmadik féltől származó tűzfal működésének támogatásához.

File System Mini Filter - programok hozzáférésének biztosítása a fájlrendszer-műveletek
figyeléséhez.

Registry Notification Hooking - a Windows XP-ben bemutatott, de a Vista-ban továbbfejlesztett
eljárás, mely lehetővé teszi a programoknak, hogy valós időben kövessék a rendszerleíró-adatbázis
módosulásait.

A PatchGuard-on kívül a Vista 64 bites változatainál további megszorításként ezentúl csak
digitálisan aláírt és megfelelően kitesztelt eszközmeghajtók telepíthetők a rendszerre, ezáltal is
növelve a Windows stabilitását.

2018. szeptember 19., szerda

A Windows Vista biztonsági szolgáltatásai - PatchGuard 3. rész

A kernel-módosítás elleni védelem nem újkeletű, először a Windows XP és a Windows Server 2003 64 bites változataiban találkozhattunk vele az AMD64 és Intel EMT64T processzorok bevezetésének ideje körül. A 64 bites Windows Vista-ban azonban megkerülhetetlen lett a technológia, amint a Windows jogosulatlan kernel-módosítást érzékel automatikusan leállítja a rendszert.

 Az antivírus cégek szemében ez persze érthető módon szálkát jelent, hiszen a továbbiakban nem alkalmazhatják a régi jól bevált módszert, a kernel módosítását. A Microsofthoz még olyan abszurd kérés is érkezett ezektől a vállalatoktól, hogy a védelem fenntartásával együtt tegyék lehetővé az ismert patnercégek számára, hogy csak ők módosíthassák a kernelt. Ez nyilvánvalóan kivitelezhetetlen, hiszen hogyan különböztetné meg a Windows a valóban jóindulatú és a csak jóindulatúnak tűnő programokat, valamint mi akadályozná meg a víruskészítőket abban, hogy egy ismert antivírus termék digitális aláírását felhasználva bejussanak a kernelbe?

2018. szeptember 8., szombat

A Windows Vista biztonsági szolgáltatásai - PatchGuard 2. rész

Mi a kernel-patchelés? A kernel külső eszközök igénybevételével történő, nem támogatott módosíta, mellyel szükségszerűen megbomlik a mag integritása, ami kihatással lehet a rendszer teljesítményére, stabilitására, de akár biztonságára is. A különböző védelmi programok (antivírusok, anti-spyware alkalmazások) gyártói a múltban gyakran alkalmazták ezt az eljárást, hogy elejét vegyék egy-egy fertőzésnek azáltal, hogy közvetlenül kernelszinten akadályozták meg egyes ártalmas programoknak, hogy bizonyos rendszerfüggvényeket hívjanak meg. De nem csak az antivírus cégek alkalmazták a kernel-módosítást, hanem a különböző vírusokat készítő programozók is, hiszen ilyen módon akár a fájlkezelők elől is elrejtőzni képes, úgynevezett rootkiteket is bejuttathattak a rendszerbe, amik aztán szabadon garázdálkodhattak anélkül, hogy bármely védelmi program tudomást szerzett volna a fertőzésről.

2018. augusztus 28., kedd

A Windows Vista biztonsági szolgáltatásai - PatchGuard 1. rész

A Windows rendszermag módosítását korlátozó PatchGuard körül az utóbbi időban nagy port kavartak a különböző védelmi szoftvereket gyártó cégek (pl. a Symantec vagy a McAfee) által kirobbantott nyilatkozatháborúk. Állításuk szerint a Microsoft kizárja őket a versenyből azzal, hogy lehetetlenné teszi a Windows kernel módosítását, így veszélynek teszik ki a felhasználókat is. Ez talán már elsőre is furcsán hangzik, de lássuk mi van a dolgok mögött. Mi a kernel? A kernel, vagyis a rendszermag a legalacsonyabb szintű komponense az operációs rendszernek. A boot-folyamat során elsőként töltődik be, majd olyan feladatokat lát el, mint a programok indítása, memória-, és a fájlrendszer kezelése. A kernel teszi lehetővé, hogy az egyes alkalmazások "beszélgethessenek" a hardvereszközökkel, így a mag sebessége, megbízhatósága és integritása alapvető fontosságú a rendszer egészére nézve.

2018. július 27., péntek

A Windows Vista biztonsági szolgáltatásai - MIC - Mandatory Integrity Control 6. rész

Hogy miért szükséges ez a bűvészkedés a jogosultsági szintekkel? Képzeljük el a következő helyzetet: kapunk egy e-mailt egy csatolmánnyal. Mikor lementjük a fájlt, az rögtön alacsony integritás-szintre kerül, mivel az internetről - egy nem megbízható helyről érkezett. Ezért aztán bármi legyen is a fájl tartalma, mikor lefuttatjuk azt semmi különös nem történhet, mivel - a fentiek alapján - egy alacsony szinten futó folyamat nem férhet hozzá a felhasználó magas, vagy nem jelölt, így közepes szinten lévő adataihoz. Az Internet Explorer védett módja a megbízhatósági szintek köré épült, és mivel a böngésző alapértelmezésként alacson integritás-szinten fut, biztosak lehetünk benne, hogy az Internet Explorer-en kereszül nem települhet többé a rendszerre semmilyen ártó kód. Ezen túlmenően, mivel a Windows munkaasztal közepes szintre van besorolva, a böngészőben esetlegesen lefuttatott ActiveX vezérlő sem küldhet többé olyan megtévesztő üzeneteket a desktopra, miszerint vírustámadás áldozatai lettünk és azonnali hatállyal töltsük le ezt-és-ezt a programot - ami valójában maga a vírus.

2018. július 16., hétfő

A Windows Vista biztonsági szolgáltatásai - MIC - Mandatory Integrity Control 4. rész

A Windows Vista-ban négy integritás-szintet definiáltak a fejlesztők: alacsony, közepes, magas és rendszer. Az egyszerű felhasználók közepes, a (valódi) rendszergazda jogosultságúak pedig magas szinten tevékenykednek. A felhasználó által indított folyamatok vagy az általa létrehozott objektumok öröklik a felhasználó integritás-szintjét, a rendszerszolgáltatások a "rendszer" szintre kapnak belépőt. Ha valamilyen okból kifolyólag egy objektum nem kap integritásszint-jelölést, az operációs rendszer automatikusan közepes szintre sorolja be, ezzel megakadályozva, hogy az alacsony szinten futó folyamatok hozzáférhessenek a nem jelölt objektumokhoz. Az operációs rendszer fájljai alapértelmezésként nem jelöltek, így közepes szinten tartózkodnak, valamint természetesen alkalmazódnak rájuk a megfelelő fájlrendszer-jogosultsági beállítások (ACL) is.

2018. július 5., csütörtök

A Windows Vista biztonsági szolgáltatásai - MIC - Mandatory Integrity Control 3. rész

Amikor a felhasználó egy műveletet végez, a Windows még azelőtt, hogy a fájlrendszerjogosultságokat vizsgálná, összehasonlítja a felhasználó integritás-szintjét a műveletben részt vevő objektumokéval. Ha a felhasználó szintje a domináns - vagyis az objektuméval megegyező vagy magasabb - a Windows engedélyezi a feladat végrehajtását - feltéve, hogy fájlrendszer-szinten is megvan hozzá a kellő engedélye. Ha a felhasználó alacsonyabb szintről próbál manipulálni egy objektumot, a Windows nem engedélyezi a hozzáférést, függetlenül attól, hogy magához a fájlhoz, registry-kulcshoz, vagy egyéb komponenshez különben meglenne a hozzáférése. Láthatjuk tehát, hogy az integritás-szintek minden esetben a fájlrendszer-jogosultságok, vagyis az ACL fölött állnak.

2018. június 24., vasárnap

A Windows Vista biztonsági szolgáltatásai - MIC - Mandatory Integrity Control 2. rész

Amikor bejelentkezünk, a Windows egy adott integritási azonosítót rendel a felhasználónkhoz. Ez az azonosító tartalmazza mindazt az információt, amiből a rendszer megállapítja, hogy mely területekhez van hozzáférésünk és melyekhez nincs. Nem csak a felhasználók, de a védeni kívánt rendszerobjektumok, úgy mint fájlok, mappák, adatcsatornák, folyamatok (processzek), folyamatszálak (thread-ek), az ablakkezelő, registry-kulcsok, szolgáltatások, nyomtatók, megosztások, ütemezett feladatok, stb. is kapnak egy-egy saját szintazonosítót. Ezek az azonosítók a System Access Control List-ben (SACL) tárolódnak, hasonlóan ahhoz, ahogy a fájlrendszerjogosultságok az egyes fájlokhoz tartozó Access Control List-ekben (ACL).