Предлагаемое нами запатентованное решение (Патент № 2207619) состоит в следующем. В общем случае при управлении доступом к ресурсам следует различать два самостоятельных субъекта доступа – «пользователь» и «процесс». При этом предлагается управлять доступом (разграничивать права доступа) не только для субъекта пользователь, но и для субъекта процесс, причем могут быть выделены следующие схемы задания разграничительной политики доступа к ресурсам:
Разграничение прав доступа к объектам процессов вне разграничений пользователей (эксклюзивный режим обработки запросов процессов - доступ к объекту разрешается, если он разрешен процессу – права доступа пользователя, запустившего процесс не учитываются. Данная схема разграничений может использоваться в том случае, когда процессу следует расширить права доступа к ресурсам, по сравнению с пользователем, запустившим процесс);
Разграничение прав доступа к объектам пользователей, вне разграничений процессов (эксклюзивный режим обработки запросов пользователей - доступ к объекту разрешается, если он разрешен пользователю – права доступа процесса не учитываются. Это обычная схема разграничений прав доступа, используемая современными ОС, не позволяющая учитывать свойства отдельных процессов, в частности, уровень доверия к ним);
Комбинированное разграничение прав доступа - разграничение прав доступа к объектам процессов в рамках разграничений пользователей (совместное разграничение доступа процессов и пользователей - доступ к объекту разрешается, если он разрешен и пользователю, и процессу. Данная схема разграничений может использоваться в том случае, когда процессу следует сузить права доступа к ресурсам, по сравнению с пользователем, запустившим процесс).
Укрупненный алгоритм анализа прав доступа к ресурсу при реализации данной технологии, приведен на рис. 1.
Рисунок 1 - Укрупненный алгоритм анализа прав доступа к ресурсам
Кликните по схеме для увеличения масштаба
Таким образом, применение данного подхода позволяет устанавливать и анализировать для субъекта «процесс» права доступа к ресурсам, как для самостоятельного субъекта доступа.
Заметим, что в соответствии с описанием запатентованного решения, могут использоваться различные механизмы управления доступом к ресурсам процессов (как избирательный, так и полномочный) – суть запатентованного решения состоит в том, что права доступа процесса к ресурсу могут отличаться от прав доступа пользователя (назначаются для процесса, как для самостоятельного субъекта доступа), запустившего данный процесс, к этому ресурсу.
Применение данной технологии позволяет получить множество принципиально новых свойств защиты.
В качестве примера возможностей предлагаемого подхода, проиллюстрируем появляющуюся возможность противодействия атакам на расширение привилегий. В общем виде (не применительно к конкретной уязвимости скомпрометированного процесса) противодействовать данным атакам возможно лишь в том случае, если устранить привилегии пользователя, от которого запускается скомпрометированный процесс – в данном случае пользователя System – при это теряется сам смысл атаки на получение прав пользователя System.
Применительно к данной задаче, речь пойдет о назначении эксклюзивных прав доступа так называемым привилегированным процессам (процессам, доступ которых к ресурсам должен разграничиваться вне прав доступа, устанавливаемых для пользователей).
Теперь определимся с тем, как необходимо разграничить права доступа для пользователя System, чтобы противодействовать в общем виде атакам на повышение привилегий. Естественно, что, прежде всего, необходимо запретить ему право на «запись» (модификацию) системного диска, право на модификацию каталогов, где расположены исполняемые файлы разрешенных к запуску процессов, а также запретить право на запись (модификацию) значимых ветвей и ключей реестра ОС, в частности, отвечающих за политику безопасности системы.
Установка запрета доступа «на запись» к системному диску и к значимым ветвям и ключам реестра ОС для пользователя System связано с включением в схему разграничения прав доступа привилегированных процессов – здесь системных процессов и процессов СЗИ НСД, для которых устанавливаются права доступа вне прав пользователя, в частности, этим системным процессам и процессам СЗИ НСД для корректного функционирования системы и СЗИ НСД вне прав пользователя «System» разрешается запись на системный диск.
Пример настройки механизма управления доступом к файловым объектам для виртуального пользователя «System» для ОС Windows технологии NT представлен в Табл. 1.
Таблица 1
Кликните по таблице для увеличения масштаба
Замечание. Данные настройки обеспечивают корректное функционирование системы и офисных приложений. При использовании иных приложений на компьютере (прежде всего, запускаемых с системными правами), может потребоваться модификация данных настроек.
Настройки выполнены в следующих предположениях: системным является диск C:\, исполняемые файлы программ, разрешенных для выполнения, располагаются в каталогах: C:\Winnt (WINDOWS) – системные процессы, C:\Program Files – каталог, в который администратором инсталлируются разрешенные пользователям для выполнения программы. СЗИ НСД установлена на системный диск в каталог: C:\СЗИ НСД.
Заметим, что выделенным привилегированным процессам (системным процессам и процессам СЗИ НСД) в наших настройках (см. Табл. 1) права доступа к файловым объектам не ограничены. При необходимости, можно проанализировать (это можно осуществить с использованием средств аудита СЗИ НСД), к каким конкретно файловым объектам необходимо разрешить обращаться привилегированным процессам и разрешить им доступ (вне прав пользователей) только к этим объектам.
Аналогично могут быть сформированы и права доступа к объектам реестра ОС. Пример настройки механизма управления доступом к объектам реестра ОС для виртуального пользователя «System» (где также необходимо вводить привилегированные процессы) для ОС Windows технологии NT представлен в Табл. 2.
Таблица 2
Кликните по таблице для увеличения масштаба
Замечание. Заметим, что выделенным привилегированным процессам (системным процессам и процессам СЗИ НСД) в наших настройках (см. Табл. 2) права доступа к объектам реестра ОС не ограничены. При необходимости, можно проанализировать (это можно осуществить с использованием средств аудита СЗИ НСД), к каким конкретно объектам реестра ОС необходимо разрешить обращаться привилегированным процессам и разрешить им доступ (вне прав пользователей) только к этим объектам. Проиллюстрируем сказанное примером. Представленные разграничения для процесса Lsass.exe обеспечивают запрет работы с учётными записями пользователей. Наиболее распространенные действия злоумышленника при получении системных прав сводятся к заведению новой учетной записи в системе в группе администраторов, с последующим доступом в систему под этой учетной записью. При данных разграничениях завести нового пользователя в системе, имея права System, становится невозможным.
Из Табл.1 и Табл.2 видим, что при данных настройках системы защиты теряется какой-либо смысл атак на расширение привилегий, т.к. у пользователя System становится прав на доступ к ресурсам меньше, чем у любого другого пользователя, зарегистрированного в системе.
В качестве замечания отметим, что, во-первых, рассмотренные в статье решения (в частности, приведенные настройки механизма защиты) апробированы при создании семейства СЗИ НСД – КСЗИ «Панцирь» (для ОС семейств Windows и Unix) - разработка НПП «Информационные технологии в бизнесе», во-вторых, они либо уже запатентованы, либо находятся в стадии патентования, поэтому без нарушения авторских прав, рассмотренные в работе технологии не могут быть реализованы в разработках иных производителей.
В порядке иллюстрации, покажем, как выглядит интерфейс настройки механизма контроля доступа к файловым объектам для субъекта процесс в КСЗИ «Панцирь» для ОС Windows 2000/XP/2003, см. рис.2 (настройками, представленными на рис.2, выделяются привилегированный процессы – процессы могут быть заданы полнопутевым именем хранения их исполняемых файлов, полнопутевым именем папки (тогда для всех процессов, исполоняемые файлы которых хранятся в этой папке, будут действовать установленные разграничения), маской, которым разрешен полный доступ (ничего не запрещено) ко всем ресурсам.
В качестве замечания отметим, что в КСЗИ «Панцирь» для ОС Windows 2000/XP/2003 процесс, как самостоятельный субъект доступа, включен во все механизмы управления доступом к ресурсам: к локальным и разделенным в сети (по входу и выходу) файловым объектам – на жестком диске и устройствах ввода, включая Flash-устройства, к объектам реестра ОС, к портам, к сетевым ресурсам (задача межсетевого экранирования). Подобный же подход реализован и в наших СЗИ НСД для ОС семейства Unix (HP-UX, Linux, Free BSD).
Рисунок 2 - Интерфейс настройки механизма контроля доступа к файловым объектам для субъекта процесс, реализованный в КСЗИ «Панцирь» для ОС Windows 2000/XP/2003
Кликните по рисунку для увеличения масштаба
С защитой системного диска связаны и вопросы корректности реализации механизма обеспечения замкнутости программной среды, т.к. на системном диске находятся исполняемые файлы системных процессов, возможность модификации которых необходимо предотвратить.
Использование данного подхода несет в себе и возможность распределения задач администрирования между администратором безопасности и системным администратором (права системного администратора СЗИ НСД могут быть сведены на нет, либо в значительной мере ограничены). До тех пор, пока активна СЗИ НСД, системный администратор сможет выполнять только те функции, которые средствами СЗИ НСД ему разрешены администратором безопасности (в предположении, что администратор безопасности управляет СЗИ НСД).