Windows Vista. Для профессионалов Клименко Роман
Олицетворение позволяет одному процессу заимствовать права другого (как будто он имеет маркер доступа другого процесса). Например, олицетворение часто применяется в клиент-серверных приложениях, где сервер может применять олицетворение для получения доступа к ресурсам компьютера от имени клиента (и с его правами доступа). При этом процесс, получивший олицетворяющий маркер (в нашем примере сервер), не может передавать его другому процессу.
Существует несколько уровней олицетворения: anonymous (олицетворение запрещено), identification (можно получать SID и привилегии клиента, но олицетворять клиента запрещено), impersonation (можно как идентифицировать, так и олицетворять клиента) и delegation (позволяет олицетворять клиента как на локальном, так и на удаленном компьютере). Вы уже встречались с этими уровнями при описании оснастки Службы компонентов.
• Информацию о том, кто создал данный маркер (диспетчер сеансов, RPC-cepвер и т. д.).
• DACL по умолчанию (эта информация необходима для определения тех атрибутов защиты, которые будут присваиваться создаваемым с помощью данного маркера объектам, если дескриптор защиты для создаваемого объекта не определен, и объект не наследует DACL родительского объекта).
• Сведения об учетной записи, которой принадлежит маркер, и группах, в которые входит данная учетная запись (эта информация необходима для определения прав доступа процесса к требуемым ему объектам).
Поскольку маркер содержит переменные сведения (набор привилегий и групп), его длина не является постоянной.
Начальный маркер доступа создается во время входа пользователя в систему и присваивается начальному процессу userinit.ехе. Этот процесс запускает все основные процессы пользователя, а поскольку маркер доступа родительского процесса передается и процессам, которые он создает (дочерним процессам), все процессы, создаваемые пользователем, имеют один и тот же маркер доступа.
Кроме основных маркеров доступа и маркеров олицетворения, в операционных системах семейства Windows могут использоваться ограниченные маркеры. Ограниченным называется такой маркер, выданный дочернему процессу, в котором отсутствует какая-нибудь привилегия родительского маркера.
Дескрипторы защиты
Если маркер доступа выдается процессу и определяет те права, которыми обладает запущенный процесс, то дескриптор защиты выдается объектам операционной системы (файлы, каталоги) и определяет тех пользователей, которые могут получить доступ к объекту, а также права, которыми эти пользователи обладают. Дескриптор защиты состоит из следующих элементов.
• DACL (список управления избирательным доступом) – определяет пользователей, которые могут получить доступ к данному объекту, и их права. Каждый АСЕ (элемент списка DACL) содержит SID учетной записи пользователя или группы, маску доступа, а также флаги наследования (определяют, был ли данный АСЕ унаследован от DACL родительского объекта и будет ли он наследоваться DACL дочерних объектов). При этом АСЕ может быть четырех основных типов.
– Доступ разрешен (access allowed). Разрешает пользователю, определенному SID, права доступа к объекту, определенные в маске доступа.
– Доступ отклонен (access denied). Запрещает пользователю, определенному SID, права доступа к объекту, определенные в маске доступа.
– Разрешенный объект (allowed-object). Данный тип АСЕ используется в Active Directory и применяется для разрешения доступа к объектам и подобъектам каталога.
– Запрещенный объект (denied-object). Данный тип АСЕ используется в Active Directory и применяется для запрещения доступа к объектам и подобъектам каталога.
Если дескриптор защиты не содержит DACL, то любой пользователь может получить доступ к данному объекту. Если же дескриптор защиты содержит пустой DACL (не имеющий ни одной записи АСЕ), то доступ к объекту запрещен всем пользователям.
Если же DACL включает в себя множество АСЕ, определяющих доступ одному и тому же пользователю, то определить, сможет ли в результате пользователь получить доступ к объекту, бывает очень сложно. В этом случае проще воспользоваться вкладкой Действующие разрешения окна Дополнительные параметры безопасности. С ее помощью можно просуммировать все запрещающие и разрешающие АСЕ для учетной записи пользователя и групп, в которые он входит, и определить текущие разрешения для данного пользователя.
• SACL (системный список управления доступом) – определяет пользователей, для которых установлен аудит доступа, а также те операции, совершаемые пользователем над объектом, которые будут подлежать аудиту. Список SACL может содержать АСЕ двух типов: системного аудита и объекта системного аудита. Каждый АСЕ включает в себя SID учетной записи пользователя, GUID-объекта, к которому применим АСЕ, а также флаги наследования.
Если дескриптор защиты не содержит SACL, то аудит работы с объектом не ведется.
DACL и SACL являются составными частями списка управления доступом (ACL). Данный список (а также DACL и SACL) состоит из элементов, называемых АСЕ. Работа с DACL и SACL в операционной системе Windows Vista будет описана далее в этой главе.
Привилегии и права
При описании маркеров доступа мы определили, что они могут содержать информацию о привилегиях, предоставляемых процессу. Привилегии – это права определенной учетной записи (или службы, о чем было описано в гл. 6), позволяющие ей выполнять те операции в операционной системе, которые по умолчанию выполнять запрещено.
Мы уже сталкивались с привилегиями, когда рассматривали оснастку Редактор объектов групповой политики, хотя тогда было упомянуто о них лишь мельком, даже не говорилось о том, что это привилегии.
Привилегии операционной системы
Добавлять и удалять привилегии можно как с помощью API-функций, так и с помощью оснастки Редактор объектов групповой политики. Для этого применяется подраздел оснастки Конфигурация компьютера Конфигурация Windows Параметры безопасности Локальные политики Назначение прав пользователя. Данный подраздел содержит следующие элементы (сначала указано системное название привилегии, потом ее название в оснастке и в самом конце ее описание).
• SeBackupPrivilege (архивация файлов и каталогов) – разрешает службе или учетной записи выполнять операции резервного копирования. Данная привилегия позволяет учетной записи или службе открывать файлы и каталоги независимо от того, разрешена для них эта операция с помощью DACL или нет. Привилегия позволяет обходить проверку таких разрешений, как Обзор папок/Выполнение файлов, Содержимое папки/Чтение данных, Чтение атрибутов, Чтение расширенных атрибутов, Чтение разрешений. При этом DACL обходится только в том случае, если установлен флаг FILE_FLAG_BACKUP_SEMANTIC.
Привилегия предоставлена группам: Администраторы, Операторы архива и Операторы сервера.
• SeChangeNotifyPriviLege (обход перекрестной проверки) – разрешает службе или учетной записи не проходить все проверки прав доступа пользователя при проходе многоуровневых каталогов (проверки прав доступа к вложенным каталогам). Она не предоставляет прав на просмотр содержимого каталога, если эти права вам не предоставлены DACL, однако позволяет выполнять обзор каталога.
Привилегия предоставлена группам: Администраторы, Операторы архива, Пользователи, Все, а также учетной записи локальной службы, учетной записи сетевой службы.
• SeCreateGlobalPrivilege (создание глобальных объектов) – позволяет процессу создание разделов и символьных ссылок во время сеанса службы терминалов.
Привилегия предоставлена: группе Администраторы, учетной записи локальной службы, учетной записи сетевой службы.
• SeCreatePagefilePrivilege (создание файла подкачки) – разрешает службе или учетной записи создание файла подкачки с помощью специальных API-функций.
Привилегия предоставлена группе Администраторы.
• SeCreateSymbolicLinkPrivilege (создание символических ссылок) – позволяет пользователю создавать символические ссылки. Определить, какие виды символьных ссылок доступны в операционной системе, можно с помощью команды программы командной строки fsutil behavior set.
Привилегия предоставлена группе Администраторы.
• SeDebugPrivilege (отладка программ) – разрешает службе или учетной записи производить отладку системного процесса с помощью подключаемого отладчика программ. Это позволяет процессам получать доступ к другим процессам, минуя проверку их дескриптора защиты.
Привилегия предоставлена группе Администраторы.
• SeImpersonatePrivilege (имитация клиента после проверки подлинности) – позволяет процессам выполнять олицетворение других процессов.
Привилегия предоставлена группе Администраторы, учетной записи локальной службы, учетной записи сетевой службы.
• SelncreaseBasePn\'orityPrivilege (увеличение приоритета выполнения) – разрешает службе или учетной записи увеличивать приоритет, с которым выполняются процессы. Например, пользователь сможет сделать это с помощью окна диспетчера задач.
Привилегия предоставлена группе Администраторы.
• SelncreaseQuotaPrivilege (настройка квот памяти для процесса) – позволяет службе или учетной записи увеличивать квоту на доступный объем памяти, назначенную запущенному процессу.
Привилегия предоставлена группе Администраторы, учетной записи локальной службы, учетной записи сетевой службы.
• SeLoadDriverPriviLege (загрузка и выгрузка драйверов устройств) – разрешает службе или учетной записи загружать и выгружать драйверы устройств режима ядра. Данная привилегия не относится к драйверам, поддерживающим Plug and Play.
Привилегия предоставлена группе Администраторы.
• SeManageVolumePrivilege (выполнение задач по обслуживанию томов) – необходима для выполнения проверки диска или его дефрагментации.
Привилегия предоставлена группе Администраторы.
• SeProfileSingleProcessPrivilege (профилирование одного процесса) – разрешает службе или учетной записи собирать информацию о профилях одиночного процесса. Данная привилегия необходима для работы службы предвыборки данных. В частности, эта привилегия необходима для использования средства мониторинга производительности несистемных процессов.
Привилегия предоставлена группе Администраторы.
• SeRemoteShutdownPrivilege (принудительное удаленное завершение работы) – необходима, чтобы процесс winlogon.exe разрешил удаленно завершить работу компьютера.
Привилегия предоставлена группе Администраторы.
• SeRestorePriviLege (восстановление файлов и каталогов) – разрешает службе или учетной записи выполнять операции восстановления. Данная привилегия позволяет учетной записи или службе открывать файлы и каталоги независимо от того, разрешена для них эта операция с помощью DACL или нет. При этом она позволяет обходить проверку таких разрешений, как Обзор папок/Выполнение файлов и Запись. Однако DACL обходится только в том случае, если установлен флаг FILE_FLAG_BACKUP_SEMANTIC.
Привилегия предоставлена группам Администраторы и Операторы архива.
• SeSecurityPriviLege (управление аудитом и журналом безопасности) – необходима для доступа к SACL дескриптора защиты, а также для чтения и очистки журнала событий безопасности. Она идентифицирует своего владельца в качестве оператора системы безопасности.
Привилегия предоставлена группе Администраторы.
• SeShutdownPrivilege (завершение работы системы) – разрешает службе или учетной записи завершать работу операционной системы.
Привилегия предоставлена группам Администраторы, Операторы архива, Пользователи.
• SeSystemEnvironmentPrivilege (изменение параметров среды изготовителя) – необходима для чтения переменных окружения микрокода из энергонезависимой памяти компьютеров с помощью HAL. Эта привилегия применима только к компьютерам с архитектурой, отличной от х86 – единственное, к чему можно получить доступ с помощью этой привилегии на компьютерах х86, так это к сведениям о последней удачной конфигурации. Также эта привилегия требуется для установки и модернизации операционной системы.
Привилегия предоставлена группе Администраторы.
• SeSystemProfilePrivilege (профилирование производительности системы) – проверяется API-функцией NtCreateProfile. Данная привилегия необходима для использования средства мониторинга производительности системных процессов.
Привилегия предоставлена группе Администраторы.
• SeSystemtimePriviLege (изменение системного времени) – разрешает изменять на компьютере время и дату.
Привилегия предоставлена группе Администраторы, учетной записи локальной службы.
• SeTakeOwnershipPriviLege (смена владельцев файлов и других объектов) – позволяет службе или учетной записи получать права владельца на любой объект файловой системы (объекты Active Directory, файлы и папки, принтеры, разделы реестра , процессы и потоки), но не предоставляет полнго доступа к объекту.
Привилегия предоставлена группе Администраторы.
• SeTimeZonePriviLege (изменение часового пояса) – разрешает пользователю изменять временную зону, установленную в операционной системе.
Привилегия предоставлена группе Администраторы, учетной записи локальной службы.
• SeTcbPriviLege (работа в составе операционной системы) – повышает общие права службы или учетной записи до уровня операционной системы (идентифицирует владельца привилегии как часть доверенного блока компьютеров). Например, это позволяет создавать новый сеанс от имени любого локального пользователя, относящегося к любой группе (позволяет олицетворять любого пользователя локального компьютера без аутентификации и получать доступ к тем ресурсам, к которым может получить доступ другой пользователь).
Привилегия предоставлена: никому.
• SeUndockPriviLege (отключение компьютера от стыковочного узла) – необходима, чтобы режим Plug and Play разрешил извлечение компьютера из стыковочного устройства.
Привилегия предоставлена группам Администраторы, Пользователи.
Если же вам необходимо узнать, какие привилегии предоставлены текущему пользователю, то можно воспользоваться новой программой командной строки операционной системы Windows Vista Whoami.ехе. Для этого применяется следующий синтаксис программы: Whoami /priv.
Права учетной записи
Подраздел Конфигурация компьютера Конфигурация Windows Параметры безопасности Локальные политики Назначение прав пользователя оснастки Редактор объектов групповой политики содержит также набор прав, которые могут предоставляться пользователю.
Список большинства этих прав приведен ниже.
• SeAssign Primary Token Privilege (замена маркера уровня процесса) – позволяет процессам использовать API-функцию CreateProcessAsUser для запуска других процессов, не используя свой маркер доступа. Например, эта привилегия может использоваться одной службой для запуска другой. В частности, она используется планировщиком заданий.
Право предоставлено учетным записям сетевой и локальной службы.
• SeAuditPriviLege (управлять аудитом и журналом безопасности) – разрешает службе или учетной записи создание записей в стандартном журнале безопасности системы (eventvwr.msc) с помощью API-функции ReportEvent.
Право предоставлено учетным записям сетевой и локальной службы.
• SeCreatePermanentPriviLege (создание постоянных общих объектов) – позволяет службе или учетной записи создавать постоянные объекты (объекты, не удаляемые при отсутствии ссылок на них). Например, создавать объекты каталога с помощью диспетчера объектов.
Право предоставлено: никому.
• SeCreateTokenPriviLege (создание маркерного объекта) – разрешает службе или учетной записи создавать первичные маркеры. Иначе говоря, учетная запись может создать маркер, содержащий любые SID и привилегии, и запустить с его помощью процесс.
Право предоставлено: никому.
• SeEnableDelegationPrivilege (разрешить доверия к учетным записям компьютеров и пользователей при делегировании) – используется в Active Directory для делегирования учетных записей и определяет, может ли данная учетная запись устанавливать параметр Делегирование разрешено для пользовательского или компьютерного объекта. Этот параметр можно устанавливать только для тех учетных записей пользователей или компьютеров, для которых снят флажок Учетная запись не может быть делегирована.
Право предоставлено: никому.
• SeLockMemoryPrivilege (блокировка страниц в памяти) – разрешает службе или учетной записи выполнять блокировку физических страниц памяти. Блокировка физических страниц памяти запрещает сброс блокированных страниц в файл подкачки, то есть они всегда будут находиться в оперативной памяти.
Право предоставлено: никому.
• SeMachineAccountPrivilege (добавление рабочих станций к домену) – необходимо, чтобы диспетчер учетных данных безопасности SAM разрешил добавление компьютера к домену. Если пользователь обладает данным правом, он может добавить до десяти компьютеров в домен.
Право предоставлено пользователям, прошедшим проверку.
• SeSyncAgentPrivilege (синхронизировать данные службы каталогов) – позволяет пользователям выполнять синхронизацию Active Directory. Данное право позволяет читать объекты и свойства каталога Active Directory, даже если их атрибуты защиты это запрещают.
Право предоставлено: никому.
Редактирование DACL объекта
По умолчанию, если вы еще не отключили механизм UAC, большинство ветвей реестра подраздела HKEY_LOCAL_MACHINE и системных файлов доступны администраторам только для чтения. Полный же доступ на них имеет пользователь TrustedlnstaLLer, который также является и их владельцем. Поэтому администраторы не смогут изменить права доступа на ветвь реестра или файл, пока не сменят владельца на него.
Операция смены владельца проходит так же, как и в Windows ХР. Например, для смены владельца файла нужно отобразить окно Свойства данного файла, перейти на вкладку Безопасность и нажать кнопку Изменить. После этого отобразится копия окна Безопасность, в которой нужно нажать кнопку Дополнительно, чтобы отобразилось еще одно окно, имеющее вкладку Владелец. Чтобы сменить владельца файла, нужно перейти на данную вкладку и в поле Изменить владельца на: выбрать нового владельца. После нажатия кнопки ОК владелец файла будет изменен, и вы сможете изменить разрешения на доступ к файлу. Похожим образом выполняется изменение владельца ветви реестра.
Программа для работы с DACL icacls.exe
Вы, наверное, знаете, что в предыдущих версиях операционной системы Windows присутствовала программа командной строки cacls.ехе, с помощью которой можно изменять DACL определенного файла. Данная программа присутствует и в Windows Vista, однако, кроме нее, в новой операционной системе есть еще одна программа для работы с DACL – icacls.ехе. Основные возможности данной программы лучше всего рассмотреть на примерах ее использования. Полное же описание ее возможностей можно увидеть, введя в командной строке команду icacls /?.
Архивирование и восстановление DACL файла или нескольких файлов и каталогов
Интересной возможностью данной программы является возможность архивирования DACL файлов или каталогов с целью их дальнейшего восстановления на локальном или удаленном компьютере.
Для архивирования DACL файла достаточно воспользоваться командой icacls.ехе <путь к файлу и его имя> /save <путь к архиву и его имя>. Например:
• Icacls c: \windows\system32\cmd.exe/save d: \cmd ACL old – копирует ACL файла cmd.ехе в файл cmd_ACL_old;
• Icacls c: \windows\system32\* /save d: \System32 ACL old – копирует ACL всех файлов и каталогов папки %systemroot%\system32 в файл System32_ACL_old.
Не забывайте, что если какая-нибудь программа, DACL которой нужно скопировать, в данный момент открыта другой программой, то icacls.ехе не сможет получить к ней доступ и завершит свою работу. В этом случае, если вы копируете DACL содержимого целого каталога, нужно использовать параметр /С, чтобы программа icacls.ехе не завершала свою работу, а продолжила, не копируя DACL занятого файла. Также при копировании DACL содержимого каталога можно использовать параметр /Т, чтобы также копировалось содержимое всех вложенных в выбранный каталог подкаталогов.
Если же вы хотите восстановить DACL из созданного ранее файла, то нужно воспользоваться командой icacls.exe <путь к файлу и его имя> /restore <путь к архиву и его имя>.
Например, Icacls c: \windows\system32\ /restore d: \System32 ACL old /С. Команда восстанавливает DACL для всех файлов, подкаталогов и содержимого подкаталогов папки %systemroot%\system32 из файла System32_ACL_old. Если какой-то файл в данный момент заблокирован, то он будет пропущен программой (благодаря параметру /С). Заметьте, что в команде при указании каталога не нужно указывать маску *.
Смена владельца файлов и каталогов
С помощью данной программы также очень легко сменить владельца для определенного фйла или для всего содержимого каталога. Для этого применяется командаicacls.exe <путь к файлу и его имя или путь к каталогу> /setowner <логин нового владельцах
Например, leads c: \windows\system32\* /setowner administrator /С. Команда изменяет владельца всего содержимого каталога %systemroot% на владельца Администратор. Заметьте, что в команде применяется параметр /С. Он имеет такое же действие, что и в предыдущих командах. При смене владельца можно также использовать параметр /Т. Точнее, параметры /С и /Т можно использовать во всех командах программы icacls.ехе.
Поиск файлов, в DACL которых есть упоминание о SID определенного пользователя
Для реализации этой возможности используется команда icacls.ехе <путь к файлу и его имя или путь к каталогу> /findsid <SID пользователя или группы>. В ней вы можете также использовать параметры /С и /Т.
Изменение DACL
Изменение DACL можно выполнить не только с помощью программы cads.ехе, но и с помощью новой программы icacls.ехе. Но перед изменением DACL сначала вспомним обозначения прав пользователей, которые применяются в программах cacls.ехе и icacls.ехе:
• F – определяет право на полный доступ к объекту;
• М – указывает право на изменение объекта;
• RE – определяет право на чтение и выполнение объекта;
• R – указывает право только на чтение объекта;
• W – определяет право на запись объекта;
• D – указывает право на удаление объекта;
• RC – определяет разрешение на чтение разрешения;
• WDAC – указывает разрешение на запись DAC;
• W0 – определяет разрешение на смену владельца;
• S – указывает разрешение на синхронизацию;
• AS – определяет разрешение на доступ к системе безопасности;
• МА – указывает разрешение на полный доступ к объекту;
• RD – определяет разрешение на просмотр содержимого папок и чтение данных;
• WD – указывает разрешение на создание файлов и запись данных;
• AD – определяет разрешение на создание папок и дозапись данных;
• REA – указывает разрешение на чтение дополнительных атрибутов;
• WEA – определяет разрешение на запись дополнительных атрибутов;
• ЕХ – указывает разрешение на обзор папок и выполнение файлов;
• DC – определяет разрешение на удаление;
• RA – указывает разрешение на чтение атрибутов;
• WA – определяет разрешение на запись атрибутов.
Для добавления DACL, разрешающих определенное действие, нужно использовать командуicacls.ехе <путь к файлу и его имя или путь к каталогу> /grant <SID пользователя;-: (разрешения через запятую). В этом случае указанное DACL будет добавляться к уже существующему. Если же нужно заменить существующий DACL, то вместо /grant необходимо воспользоваться /grant: г.
Например, такая команда, как Icacls c: \windows\system32\* /grant: r administrator: (D, WO) /С, изменяет разрешения для администратора на разрешение удаления и разрешение смены владельца всех файлов и папок каталога %systemroot%\system32. Как обычно при изменении DACL нескольких файлов, в команде используется параметр /С.
Для добавления DACL, запрещающих определенное действие, нужно использовать команду icacls.ехе <путь к файлу и его имя или путь к каталогу> /deny <SID пользователя>: (разрешения через запятую).
Например, Icacls c: \windows\system32\* /deny administrator: (D,WO) /С. Данная команда запрещает администратору удалять или изменять владельца для всех файлов и папок каталога %systemroot%\system32. Как обычно при изменении DACL нескольких файлов, в команде используется параметр /С.
Для удаления DACL используется команда icacls.ехе <путь к файлу и его имя или путь к каталогу> /remove <SID пользователях
Например, Icacls c: \windows\system32\* /remove administrator /С. Удаляет DACL, упоминающий SID учетной записи Администратор, для всех файлов и папок каталога %systemroot%\system32.
Вы также можете сбросить DACL всех файлов определенного каталога или только определенного файла. В этом случае для него будет применяться наследуемый DACL. Для этого применяется команда icacls.ехе <путь к файлу и его имя или путь к каталогу> /reset.
Программа смены владельца takeown.exe
Наверное, вам знакома ситуация, когда после запрещения полного доступа к файлу вы больше не можете изменить его DACL, так как это запрещено вами же. В этом случае можно попробовать заново получить файл во владение, чтобы сбросить все элементы DACL. Для этого можно использовать программу takeown.ехе.
С помощью данной программы администраторы могут сменить владельца определенного файла или каталога локального или удаленного компьютера на группу Администраторы или пользователя, от имени которого было выполнено подключение к компьютеру.
Синтаксис данной программы следующий: takeown /s <удаленный компьютер> /и <пользователь, от имени которого выполняется подключение к компьютеру> /р <пароль> /F <путь к файлу или каталогу, владельца которых нужно изменить> – <дополнительные параметры>.
• /А – по умолчанию владельцем указанных в команде файлов становится пользователь, от имени которого выполнено подключение к компьютеру. Если же вы укажете этот параметр, то владельцем станет группа Администраторы.
• /R – по умолчанию владелец файлов сменяется только в файлах указанного в команде каталога. Если же нужно, чтобы владелец сменился для всех файлов, каталогов и содержимого вложенных каталогов, необходимо использовать данный параметр.
• /D <Y или N> – если значение данного параметра равно Y, то в случае отказа в доступе к файлу будет выполняться смена разрешений. Иначе данный файл будет пропущен.
Работа с SACL объекта
Как вы, наверное, уже знаете, включить аудит доступа к различным категориям объектов операционной системы можно с помощью оснастки Редактор объектов групповой политики, которая также входит в стандартную консоль gpedit.msc. Для этого нужно перейти в ее подраздел Конфигурация компьютера Конфигурация Windows Параметры безопасности Локальные политики Политика аудита.
После этого можно указать определенный файл или ветвь реестра , аудит доступа к которым будет отслеживаться (если соответствующий тип аудита установлен в групповых политиках). Например, включить аудит для файла можно следующим образом. После отображения окна Свойства файла нужно перейти на вкладку Безопасность и нажать кнопку Дополнительно. Это приведет к отображению нового окна, содержащего вкладку Аудит. Вам достаточно перейти на нее и нажать кнопку Добавить. После этого отобразится окно Выбор: «Пользователь» или «Группа» для выбора учетной записи пользователя, для которого нужно установить аудит доступа к файлу. А после этого отобразится окно Элемент аудита для, с помощью которого можно выбрать действия над файлом, сведения о выполнении которых пользователем будут заноситься в стандартный журнал Windows Vista. Похожим образом устанавливается аудит доступа к ветвям реестра.
Просмотреть же события аудита можно в стандартном журнале операционной системы Безопасность, отображаемом в оснастке Просмотр событий (входит в консоль eventvwr.msc).
Однако это не единственный способ работы с функциями аудита операционной системы.
В состав операционной системы Windows Vista входит программа командной строки, назначением которой является аудит доступа к объектам и его настройкам. Эта программа является нововведением операционной системы Windows Vista, однако мы не будем полностью описывать ее параметры, так как о них всегда можно прочитать, введя в командной строке auditpol.ехе /? или auditpol.ехе <команда> /?. Рассмотрим лишь основные способы применения данной программы.
Просмотр состояния аудита доступа к компонентам операционной системы
С помощью данной программы можно определить, включен или нет аудит доступа к тем или иным категориям или подкатегориям доступа операционной системы.
Для просмотра состояния аудита подкатегорий определенной категории доступа используется команда auditpol.ехе /get /Category: категория». Здесь вместо категории можно использовать следующие значения.
• Account Logon – определяет аудит событий аутентификации пользователей в системе. В нее входят следующие подкатегории:
– Kerberos Ticket Events – аудит использования билетов Kerberos;
– Other Account Logon Events – аудит других событий;
– Credential Validation – аудит входа в систему с использованием учетных записей.
• Account Management – определяет аудит событий изменения параметров настройки учетных записей пользователей. Например, изменения членства в группах, создание и удаление новых учетных записей. В нее входят следующие подкатегории:
– Computer Account Management – изменение системных учетных записей;
– Security Group Management – смена системных групп пользователей;
– Distribution Group Management – изменение в распределении групп пользователей;
– Application Group Management – смена групп приложений;
– Other Account Management Events – изменение других групп пользователей;
– User Account Management – смена пользовательских учетных записей.
• Object Access – определяет аудит событий доступа к объектам (файлам, папкам, принтерам, разделам реестра , системным службам и т. д.). Именно к этой категории относится аудит, который назначается с помощью вкладки Аудит окна Дополнительные параметры безопасности (данное окно отображается после нажатия кнопки Дополнительно окна Свойства папки, файла, принтера или подраздела реестра ). В нее входят следующие подкатегории:
– File System – объекты файловой системы;
– Registry – ветви реестра ;
– Kernel Object – объекты ядра;
– SAM – объекты базы данных локальной безопасности SAM;
– Certification Services – объекты служб сертификации;
– Application Generated – объекты генерирования приложений;
– Handle Manipulation – объекты работы с указателями на окна;
– File Share – объекты доступа к общим файлам и папкам;
– Filtering Platform Packet Drop – список утерянных пакетов;
– Filtering Platform Connection – список соединений;
– Other Object Access Events – другие объекты операционной системы.
• Policy Change – определяет аудит изменения настроек безопасности операционной системы. Например, таких настроек, как изменение доверительных отношений, политики Kerberos, файловой системы EFS и параметров работы протокола QpS. В нее входят следующие подкатегории:
– Authentication Policy Change – изменение политик аутентификации;
– Authorization Policy Change – смена политик авторизации;
– MPSSVC Rule-Level Policy Change – изменение политик MPSSVC;
– Filtering Platform Policy Change – смена политик фильтрации пакетов;
– Other Policy Change Events – изменение других политик;
– Audit Policy Change – смена политик аудита.
• DS Access – определяет аудит изменения объектов Active Directory и их свойств. Поскольку в Active Directory учетные записи пользователей и группы также считаются объектами, некоторые события аудита, заносимые в категорию Account Management, могут заноситься и в эту категорию. В нее входят следующие подкатегории:
– Directory Service Changes – события изменения служб каталога;
– Directory Service Replication – события репликации каталога;
– Detailed Directory Service Replication – расширенные сведения о событиях репликации каталога;
– Directory Service Access – события доступа к службам каталога.
• Logon /Logoff – определяет события аудита входа и выхода из системы, а также регистрации в ней. В отличие от категории Account Logon, которая также содержит информацию об аутентификации, Logon/Logoff хранит события, позволяющие определить протекание всего сеанса регистрации в операционной системе. В нее входят следующие подкатегории:
– Logoff – события выхода из системы;
– Account Lockout – события политики блокировки окна входа при неправильном введении пароля учетной записи;
– IPSec Main Mode – события использования основного режима IPSec;
– IPSec Quick Mode – события использования быстрого режима IPSec;
– IPSec Extended Mode – события использования расширенного режима IPSec;
– Special Logon – события специального входа в систему;
– Other Logon/Logoff Events – другие события данной категории;
– Logon – события входа в систему.
• Privilege Use – определяет аудит использования привилегий, предоставленных службе или пользователю. К данной категории относятся события, описывающие применение пользователем конкретной привилегии, а также описание этой привилегии (некоторые привилегии могут использоваться очень часто, поэтому они генерируют лишь событие при первом использовании). В нее входят следующие подкатегории: