A Windows Vista biztonsági szolgáltatásai - PatchGuard 3. rész

A kernel-módosítás elleni védelem nem újkeletű, először a Windows XP és a Windows Server 2003 64 bites változataiban találkozhattunk vele az AMD64 és Intel EMT64T processzorok bevezetésének ideje körül. A 64 bites Windows Vista-ban azonban megkerülhetetlen lett a technológia, amint a Windows jogosulatlan kernel-módosítást érzékel automatikusan leállítja a rendszert.

 Az antivírus cégek szemében ez persze érthető módon szálkát jelent, hiszen a továbbiakban nem alkalmazhatják a régi jól bevált módszert, a kernel módosítását. A Microsofthoz még olyan abszurd kérés is érkezett ezektől a vállalatoktól, hogy a védelem fenntartásával együtt tegyék lehetővé az ismert patnercégek számára, hogy csak ők módosíthassák a kernelt. Ez nyilvánvalóan kivitelezhetetlen, hiszen hogyan különböztetné meg a Windows a valóban jóindulatú és a csak jóindulatúnak tűnő programokat, valamint mi akadályozná meg a víruskészítőket abban, hogy egy ismert antivírus termék digitális aláírását felhasználva bejussanak a kernelbe?

A Windows Vista biztonsági szolgáltatásai - PatchGuard 2. rész

Mi a kernel-patchelés? A kernel külső eszközök igénybevételével történő, nem támogatott módosíta, mellyel szükségszerűen megbomlik a mag integritása, ami kihatással lehet a rendszer teljesítményére, stabilitására, de akár biztonságára is. A különböző védelmi programok (antivírusok, anti-spyware alkalmazások) gyártói a múltban gyakran alkalmazták ezt az eljárást, hogy elejét vegyék egy-egy fertőzésnek azáltal, hogy közvetlenül kernelszinten akadályozták meg egyes ártalmas programoknak, hogy bizonyos rendszerfüggvényeket hívjanak meg. De nem csak az antivírus cégek alkalmazták a kernel-módosítást, hanem a különböző vírusokat készítő programozók is, hiszen ilyen módon akár a fájlkezelők elől is elrejtőzni képes, úgynevezett rootkiteket is bejuttathattak a rendszerbe, amik aztán szabadon garázdálkodhattak anélkül, hogy bármely védelmi program tudomást szerzett volna a fertőzésről.

A Windows Vista biztonsági szolgáltatásai - PatchGuard 1. rész

A Windows rendszermag módosítását korlátozó PatchGuard körül az utóbbi időban nagy port kavartak a különböző védelmi szoftvereket gyártó cégek (pl. a Symantec vagy a McAfee) által kirobbantott nyilatkozatháborúk. Állításuk szerint a Microsoft kizárja őket a versenyből azzal, hogy lehetetlenné teszi a Windows kernel módosítását, így veszélynek teszik ki a felhasználókat is. Ez talán már elsőre is furcsán hangzik, de lássuk mi van a dolgok mögött. Mi a kernel? A kernel, vagyis a rendszermag a legalacsonyabb szintű komponense az operációs rendszernek. A boot-folyamat során elsőként töltődik be, majd olyan feladatokat lát el, mint a programok indítása, memória-, és a fájlrendszer kezelése. A kernel teszi lehetővé, hogy az egyes alkalmazások "beszélgethessenek" a hardvereszközökkel, így a mag sebessége, megbízhatósága és integritása alapvető fontosságú a rendszer egészére nézve.

A Windows Vista biztonsági szolgáltatásai - MIC - Mandatory Integrity Control 6. rész

Hogy miért szükséges ez a bűvészkedés a jogosultsági szintekkel? Képzeljük el a következő helyzetet: kapunk egy e-mailt egy csatolmánnyal. Mikor lementjük a fájlt, az rögtön alacsony integritás-szintre kerül, mivel az internetről - egy nem megbízható helyről érkezett. Ezért aztán bármi legyen is a fájl tartalma, mikor lefuttatjuk azt semmi különös nem történhet, mivel - a fentiek alapján - egy alacsony szinten futó folyamat nem férhet hozzá a felhasználó magas, vagy nem jelölt, így közepes szinten lévő adataihoz. Az Internet Explorer védett módja a megbízhatósági szintek köré épült, és mivel a böngésző alapértelmezésként alacson integritás-szinten fut, biztosak lehetünk benne, hogy az Internet Explorer-en kereszül nem települhet többé a rendszerre semmilyen ártó kód. Ezen túlmenően, mivel a Windows munkaasztal közepes szintre van besorolva, a böngészőben esetlegesen lefuttatott ActiveX vezérlő sem küldhet többé olyan megtévesztő üzeneteket a desktopra, miszerint vírustámadás áldozatai lettünk és azonnali hatállyal töltsük le ezt-és-ezt a programot - ami valójában maga a vírus.

A Windows Vista biztonsági szolgáltatásai - MIC - Mandatory Integrity Control 4. rész

A Windows Vista-ban négy integritás-szintet definiáltak a fejlesztők: alacsony, közepes, magas és rendszer. Az egyszerű felhasználók közepes, a (valódi) rendszergazda jogosultságúak pedig magas szinten tevékenykednek. A felhasználó által indított folyamatok vagy az általa létrehozott objektumok öröklik a felhasználó integritás-szintjét, a rendszerszolgáltatások a "rendszer" szintre kapnak belépőt. Ha valamilyen okból kifolyólag egy objektum nem kap integritásszint-jelölést, az operációs rendszer automatikusan közepes szintre sorolja be, ezzel megakadályozva, hogy az alacsony szinten futó folyamatok hozzáférhessenek a nem jelölt objektumokhoz. Az operációs rendszer fájljai alapértelmezésként nem jelöltek, így közepes szinten tartózkodnak, valamint természetesen alkalmazódnak rájuk a megfelelő fájlrendszer-jogosultsági beállítások (ACL) is.

A Windows Vista biztonsági szolgáltatásai - MIC - Mandatory Integrity Control 3. rész

Amikor a felhasználó egy műveletet végez, a Windows még azelőtt, hogy a fájlrendszerjogosultságokat vizsgálná, összehasonlítja a felhasználó integritás-szintjét a műveletben részt vevő objektumokéval. Ha a felhasználó szintje a domináns - vagyis az objektuméval megegyező vagy magasabb - a Windows engedélyezi a feladat végrehajtását - feltéve, hogy fájlrendszer-szinten is megvan hozzá a kellő engedélye. Ha a felhasználó alacsonyabb szintről próbál manipulálni egy objektumot, a Windows nem engedélyezi a hozzáférést, függetlenül attól, hogy magához a fájlhoz, registry-kulcshoz, vagy egyéb komponenshez különben meglenne a hozzáférése. Láthatjuk tehát, hogy az integritás-szintek minden esetben a fájlrendszer-jogosultságok, vagyis az ACL fölött állnak.

A Windows Vista biztonsági szolgáltatásai - MIC - Mandatory Integrity Control 2. rész

Amikor bejelentkezünk, a Windows egy adott integritási azonosítót rendel a felhasználónkhoz. Ez az azonosító tartalmazza mindazt az információt, amiből a rendszer megállapítja, hogy mely területekhez van hozzáférésünk és melyekhez nincs. Nem csak a felhasználók, de a védeni kívánt rendszerobjektumok, úgy mint fájlok, mappák, adatcsatornák, folyamatok (processzek), folyamatszálak (thread-ek), az ablakkezelő, registry-kulcsok, szolgáltatások, nyomtatók, megosztások, ütemezett feladatok, stb. is kapnak egy-egy saját szintazonosítót. Ezek az azonosítók a System Access Control List-ben (SACL) tárolódnak, hasonlóan ahhoz, ahogy a fájlrendszerjogosultságok az egyes fájlokhoz tartozó Access Control List-ekben (ACL).

A Windows Vista biztonsági szolgáltatásai - MIC - Mandatory Integrity Control 1. rész

A következőkben bemutatásra kerülő védelmi eljárás még egy, az 1970-es években született elgondoláson alapszik, megvalósítására azonban csak napjainkban került sor. Míg a fájlrendszerjogosultságok könnyen kezelhető és hatékony védelmet nyújtanak az illetéktelen hozzáférésektől, a technológia rendelkezik némi korlátoltsággal. Hiába védjük másoktól a fájlokat, ha magát a tulajdonost is viszonylag könnyen rávehetjük, hogy lefuttasson egy-egy parancsot - természetesen adminisztrátori jogokkal. A MIC alapelgondolása a következő: a csökkentett megbízhatósági szinten dolgozó alanyok nem módosíthatnak magasabb szinten lévő objektumokat, a magasabb szinten létező objektumok pedig nem kényszeríthetők, hogy megbízzanak alacsonyabb szintről érkező utasításokban vagy adatokban. A kulcsszó itt a "megbízhatóság", a MIC pedig ezt az információáramlási politikát valósítja meg a Windows Vista-ban.

A Windows Vista biztonsági szolgáltatásai - UAC User Account Control 4.rész UAC fájlrendszer-virtualizáció

Régebben sok problémát okozott egy-egy alkalmazásnál, hogy - tervezési hibából vagy egyéb okokból kifolyólag - csak teljes rendszergazdai jogosultsággal voltak képesek megfelelően futni. Ez a Windows Vista-ban gondot jelenthet, mivel mint minden más alkalmazás, ezek a programok is
csökkentett hatókörrel kell hogy beérjék. A megoldás megint csak a virtuális homokozó. Az olyan programok esetén, melyek a rendszerleíró-adatbázis vagy a fájlrendszer védett helyeire szeretnének írni, az UAC virtualizálja nekik a helyet, vagyis egy könyvtár vagy registry-ág pontos másával
"elhiteti" az alkalmazásokkal, hogy tulajdonképpen a megfelelő helyre írnak, holott természetesen
csak a felhasználó profilkönyvtárában létrehozott mappa- és registry-másolatokban
tevékenykednek. Ezzel a módszerrel megakadályozhatjuk, hogy a régi alkalmazások
teleszemeteljék a rendszermappákat és a registry-adatbázist, valamint elejét vehetjük egy véletlen
(vagy rosszindulatú) módosítás okozta rendszerösszeomlásnak.

A Windows Vista biztonsági szolgáltatásai - UAC User Account Control 3.rész Internet Explorer Protected Mode

Az UAC nem csak figyelmeztető ablakok feldobálására alkalmas, de neki köszönhetjük, hogy az Internet Explorer 7 képes úgynevezett "védett módban" futni. A védett mód nem más, mint az alkalmazás számára létrehozott virtuális homokozó, ahol kedvére törhet-zúzhat, ha éppen úgy tartja kedve. Ennek a védett módnak akkor vesszük igazán hasznát, ha minden figyelmeztetés, tiltás és riasztás ellenére mégis bejut valahogy egy ártó program az Internet Explorer-en keresztül. Ilyenkor, mivel maga a böngésző is alacsony jogosultsági szinten fut - sot még alacsonyabban, mint a többi (erről később) - a problémás kód nem férhet hozzá szinte semmihez az adott böngészőablakon kívül, ténykedését pedig igen egyszerűen beszűntethetjük, mégpedig az Internet Explorer ablak bezárásával.