2019. január 12., szombat

A Windows Vista biztonsági szolgáltatásai - Áttekintés 1.rész

Végezetül tekintsük át újra, mely biztonsági szolgáltatások védik a Windows Vista rendszert és a
felhasználók adatait:


• BitLocker meghajtótitkosítás
• ASLR - rendszerkomponensek véletlenszerű memóriacímre történő betöltése
• DEP - kódvégrehajtás tiltása a memóriába beolvasott adatszegmensek helyén
• UAC - hozzáférés-megerősítés, Internet Explorer védett mód, fájlrendszer- és registryvirtualizáció
• MIC - megbízhatósági szintek a fájlrendszer-jogosultságok fölött
• PatchGuard - jogosulatlan kernel-módosítások megelőzése
• Session 0 izoláció - a szolgáltatások elkülönített munkafázisban történő futtatása
• Service Hardening - egyedi biztonsági azonosítókkal rendelkező szolgáltatások

2019. január 2., szerda

A Windows Vista biztonsági szolgáltatásai - Service hardening 2.rész

Néhány szó a Local System fiókról
A Local System felhasználói fiók egy előre definiált hozzáférés a Windows beépített
szolgáltatásainak futtatásához. A Local System fiók nem rendelkezik jelszóval, mégis teljes
hozzáférése van a rendszer egészéhez, magában foglalja a beépített adminisztrátor csoport
jogosultsági körét is, hálózati környezetben pedig ez a szolgáltatás testesíti meg magát a
"számítógépet", tehát a hálózati hitelesítés is ezen a fiókon keresztül történik.
A szolgáltatások korábban szinte kivétel nélkül a "Local System" felhasználó nevében futottak, így
sokszor szükségtelen jogosultságokat kaptak, ami az előbb leírtakat figyelembe véve komoly
biztonsági aggályokat vethet fel. A Windows Vista-ban az XP-hez képest a szolgáltatások töredéke
fut helyi rendszerfiókkal, a többségük átkerült a csökkentett jogosultságokkal rendelkező "Local
Service", illetve "Network Service" fiókba. A szolgáltatások biztonsági azonosítója szorosan
kapcsolódik a tűzfal házirendjéhez, így megakadályozható, hogy egy szolgáltatás a hatókörén kívül
eső hálózati erőforrást érhessen el.


Az RPC szolgáltatás immár a csökkentett jogosultságú "Network Service" felhasználó nevében fut

2018. december 11., kedd

A Windows Vista biztonsági szolgáltatásai - Service hardening 1.rész

A Windows Vista-ban nem csak a felhasználói fiókok, hanem a szolgáltatások is saját egyedi
biztonsági azonosítóval (SID) rendelkeznek. Ez megakadályozhatja, hogy az egyes szolgáltatások
"átnyúljanak" egymás munkaterületére és olyan obkjektumokat módosítsanak, amelyekhez
egyébként semmi közük.
Talán sokan emlékeznek a hírhedt Blaster vírusra, mely a Windows egyik alapszolgáltatását, az
RPC-t (távoli eljáráshívás) kerítette hatalmába, így abszolút hatalmat szerzett a teljes rendszer
fölött. A Vista esetében egy ilyen jellegű támadás már nem okozna rendszerszintű összeomlást,
mivel még a "mindenható" RPC-nek sincs joga kritikus rendszerfájlokat vagy registrybejegyzéseket
módosítania. A Windows Vista esetében egyébként - bár a rendszer több szolgáltatást
tartalmaz - kevesebb fut alapértelmezettként, mint a korábbi verziókban.

2018. november 6., kedd

A Windows Vista biztonsági szolgáltatásai - Session 0 izoláció 2.rész

Ez a védelmi eljárás nyilvánvalóan kompatibilitási problémákat is felvet, hiszen a régebbi
szolgáltatások (például eszközmeghajtók telepítésekor) megpróbálhatnak egy-egy üzenetet vagy
ablakot megjeleníteni. Ezzel viszonylag ritkán találkozhatunk, de ha mégis előfordul a szolgáltatás
telepítése ekkor hibával leállna. A Windows Vista erre is kínál megoldást: abban az esetben, ha
interaktív szolgáltatással lenne dolgunk, az ablak megjelenítésének idejére a rendszer
automatikusan átkapcsol a nulladik munkafázisra (ekkor eltűnik a szokásos Windows asztal), majd
amint a program befejezte a működést visszatérünk a saját felhasználói szintünkre.



Egy interaktív szolgáltatás üzenetet jelenít meg a nulladik munkafázisban

2018. október 14., vasárnap

A Windows Vista biztonsági szolgáltatásai - Session 0 izoláció 1.rész

A Windows XP és Windows Server 2003 rendszerekben minden operációs rendszer-komponens a
bejelentkezett felhasználóéval megegyező munkafázisban, a "session 0"-ban futott. Ez biztonsági
problémákat vethet fel, mert a magas jogosultságú "Local System" felhasználói fiókkal futó
Windows szolgáltatások kedvelt célpontjai voltak az ártalmas programoknak, hiszen egy interaktív
művelettel akár ők maguk is emelt jogosultsági szintre juthattak. A Windows Vista-ban a nulladik
munkafázis izolálva lett, így a bejelentkező felhasználó már a következő, 1-es fázisba lép be, ezzel


együtt pedig a session 0 elvesztette interaktivitását, vagyis a szolgáltatások nem jeleníthetnek meg
többé üzeneteket vagy párbeszédablakokat. Ezzel az elszigeteléssel megakadályozható, hogy a
felhasználó szintjéről bármilyen kód átnyúlhasson arra a munkafázisra, ahol a
rendszerszolgáltatások dolgoznak. Ha a Windows feladatkezelőben engedélyezzük a munkafázisok
megjelenítését, láthatjuk, hogy a szolgáltatások és a felhasználói programok egymástól elszigetelt
szinteken futnak.

2018. október 2., kedd

A Windows Vista biztonsági szolgáltatásai - PatchGuard 4. rész

Bár a felháborodás jogosnak tűnhet, a Microsoft olyan további technológiákat bocsájt a cégek
rendelkezésére, melyekkel a kernel módosítása nélkül is megfelelő kiegészítő védelemmel láthatják
el a rendszert:

Windows Filtering Platform - olyan hálózati műveletek engedélyezése, mint a csomagelemzés,
például harmadik féltől származó tűzfal működésének támogatásához.

File System Mini Filter - programok hozzáférésének biztosítása a fájlrendszer-műveletek
figyeléséhez.

Registry Notification Hooking - a Windows XP-ben bemutatott, de a Vista-ban továbbfejlesztett
eljárás, mely lehetővé teszi a programoknak, hogy valós időben kövessék a rendszerleíró-adatbázis
módosulásait.

A PatchGuard-on kívül a Vista 64 bites változatainál további megszorításként ezentúl csak
digitálisan aláírt és megfelelően kitesztelt eszközmeghajtók telepíthetők a rendszerre, ezáltal is
növelve a Windows stabilitását.

2018. szeptember 19., szerda

A Windows Vista biztonsági szolgáltatásai - PatchGuard 3. rész

A kernel-módosítás elleni védelem nem újkeletű, először a Windows XP és a Windows Server 2003 64 bites változataiban találkozhattunk vele az AMD64 és Intel EMT64T processzorok bevezetésének ideje körül. A 64 bites Windows Vista-ban azonban megkerülhetetlen lett a technológia, amint a Windows jogosulatlan kernel-módosítást érzékel automatikusan leállítja a rendszert.

 Az antivírus cégek szemében ez persze érthető módon szálkát jelent, hiszen a továbbiakban nem alkalmazhatják a régi jól bevált módszert, a kernel módosítását. A Microsofthoz még olyan abszurd kérés is érkezett ezektől a vállalatoktól, hogy a védelem fenntartásával együtt tegyék lehetővé az ismert patnercégek számára, hogy csak ők módosíthassák a kernelt. Ez nyilvánvalóan kivitelezhetetlen, hiszen hogyan különböztetné meg a Windows a valóban jóindulatú és a csak jóindulatúnak tűnő programokat, valamint mi akadályozná meg a víruskészítőket abban, hogy egy ismert antivírus termék digitális aláírását felhasználva bejussanak a kernelbe?

2018. szeptember 8., szombat

A Windows Vista biztonsági szolgáltatásai - PatchGuard 2. rész

Mi a kernel-patchelés? A kernel külső eszközök igénybevételével történő, nem támogatott módosíta, mellyel szükségszerűen megbomlik a mag integritása, ami kihatással lehet a rendszer teljesítményére, stabilitására, de akár biztonságára is. A különböző védelmi programok (antivírusok, anti-spyware alkalmazások) gyártói a múltban gyakran alkalmazták ezt az eljárást, hogy elejét vegyék egy-egy fertőzésnek azáltal, hogy közvetlenül kernelszinten akadályozták meg egyes ártalmas programoknak, hogy bizonyos rendszerfüggvényeket hívjanak meg. De nem csak az antivírus cégek alkalmazták a kernel-módosítást, hanem a különböző vírusokat készítő programozók is, hiszen ilyen módon akár a fájlkezelők elől is elrejtőzni képes, úgynevezett rootkiteket is bejuttathattak a rendszerbe, amik aztán szabadon garázdálkodhattak anélkül, hogy bármely védelmi program tudomást szerzett volna a fertőzésről.

2018. augusztus 28., kedd

A Windows Vista biztonsági szolgáltatásai - PatchGuard 1. rész

A Windows rendszermag módosítását korlátozó PatchGuard körül az utóbbi időban nagy port kavartak a különböző védelmi szoftvereket gyártó cégek (pl. a Symantec vagy a McAfee) által kirobbantott nyilatkozatháborúk. Állításuk szerint a Microsoft kizárja őket a versenyből azzal, hogy lehetetlenné teszi a Windows kernel módosítását, így veszélynek teszik ki a felhasználókat is. Ez talán már elsőre is furcsán hangzik, de lássuk mi van a dolgok mögött. Mi a kernel? A kernel, vagyis a rendszermag a legalacsonyabb szintű komponense az operációs rendszernek. A boot-folyamat során elsőként töltődik be, majd olyan feladatokat lát el, mint a programok indítása, memória-, és a fájlrendszer kezelése. A kernel teszi lehetővé, hogy az egyes alkalmazások "beszélgethessenek" a hardvereszközökkel, így a mag sebessége, megbízhatósága és integritása alapvető fontosságú a rendszer egészére nézve.

2018. július 27., péntek

A Windows Vista biztonsági szolgáltatásai - MIC - Mandatory Integrity Control 6. rész

Hogy miért szükséges ez a bűvészkedés a jogosultsági szintekkel? Képzeljük el a következő helyzetet: kapunk egy e-mailt egy csatolmánnyal. Mikor lementjük a fájlt, az rögtön alacsony integritás-szintre kerül, mivel az internetről - egy nem megbízható helyről érkezett. Ezért aztán bármi legyen is a fájl tartalma, mikor lefuttatjuk azt semmi különös nem történhet, mivel - a fentiek alapján - egy alacsony szinten futó folyamat nem férhet hozzá a felhasználó magas, vagy nem jelölt, így közepes szinten lévő adataihoz. Az Internet Explorer védett módja a megbízhatósági szintek köré épült, és mivel a böngésző alapértelmezésként alacson integritás-szinten fut, biztosak lehetünk benne, hogy az Internet Explorer-en kereszül nem települhet többé a rendszerre semmilyen ártó kód. Ezen túlmenően, mivel a Windows munkaasztal közepes szintre van besorolva, a böngészőben esetlegesen lefuttatott ActiveX vezérlő sem küldhet többé olyan megtévesztő üzeneteket a desktopra, miszerint vírustámadás áldozatai lettünk és azonnali hatállyal töltsük le ezt-és-ezt a programot - ami valójában maga a vírus.