После аутентификации пользователя, пытающегося получить доступ к инфор¬мационным ресурсам, компьютерная система должна проверить, к каким имен¬но ресурсам этот пользователь имеет право обращаться. Данную задачу решает следующий компонент системы защиты - средства авторизации. Для авториза¬ции пользователей в системах Windows каждому пользователю каждого инфор¬мационного ресурса, например, файла или папки, определяется набор разреше¬ний доступа. Например, пользователю Васе Пупкину можно разрешить только чтение важного файла, а Пете Лохову можно разрешить и его модификацию.
Авторизацию не следует путать с аутентификацией, поскольку, например, и Вася Пупкин, и Петя Лохов оба могут пройти входную аутентификацию, но их
возможности по нанесению системе ущерба могут существенно отличаться. 26
Чтобы облегчить авторизацию пользователей, в системах Windows NT/2000/XP разработан набор средств для управления доступом к ресурсам. Эти средства опираются на концепцию групп пользователей, и суть ее такова. Вместо того, чтобы для каждого отдельного пользователя устанавливать множество разреше¬ний на доступ к различным ресурсам, эту задачу решают всего один раз для це¬лой группы пользователей. Далее каждый новый пользователь включается в од¬ну из существующих групп и получает те же права, или привилегии на доступ, которые определены для остальных членов группы. Например, Васю Пупкина можно включить в группу Гость (Guest), члены которой практически не имеют никаких прав, а Петю Лохова - в группу Пользователь (User), члены которой могут открывать и редактировать отдельные документы.
Теперь вам, должно быть, становится ясным, почему следующей задачей хакера после входной регистрации в системе является расширение привилегий. Без по¬лучения прав высокопривилегированной группы, лучше всего группы Админи¬страторы (Administrators), ничего у хакера не выйдет, и останется ему только одно - «заклеить кулер скотчем» или выключить компьютер при работающем винчестере, чем и занимаются некоторые странные личности, обитающие в на¬шем непростом
Njbwm
Ясно, что включенный в гостевую группу Вася Пупкин будет обижен таким пренебрежением к своей персоне и захочет залезть туда, куда его не пускают. И вот, чтобы предотвратить его попытки несанкционированного доступа к чу¬жим ресурсам, в системе устанавливают аудит - средства наблюдения за собы¬тиями безопасности, т.е. специальная программа начинает отслеживать и фик¬сировать в журнале события, представляющие потенциальную угрозу вторжения в систему. В число событий безопасности входят попытки открытия файлов, входной регистрации в системе, запуска приложений и другие. Так что, если в системе с установленным аудитом Вася Пупкин попробует открыть файл, не
имея на то разрешений, это событие будет зафиксировано в журнале безопасно¬сти, вместе с указанием времени и учетной записи пользователя, вызвавшего такое событие.
Просматривая журнал безопасности Windows можно определить
очень многое, что позволит идентифицировать хакера, так что одна из важней¬ших задач хакинга - это очистка журнала безопасности перед уходом. Как это делается, мы отдельно поговорим в Главе 4, а сейчас сформулируем, что должен сделать антихакер, чтобы предотвратить все попытки вторжения в систему. Хорошо организованная защита требует создания политики безопасности, под которой понимается документ, фиксирующий все правила, параметры, алгоритмы,
27 процедуры, организационные меры, применяемые организацией для обеспече¬ния компьютерной безопасности.
Например, политика безопасности может включать требование задавать пароли
длиной не менее 11 символов, или обязательный запуск парольной заставки пе-
ред кратковременной отлучкой от компьютера, и так далее. Все эти вопросы
достаточно подробно рассмотрены во множестве книг, например, [2], [6], так что
не будем повторяться, а перейдем к более существенным для нас темам - как
работает эта система защиты Windows и что можно сделать, чтобы она
не работала.