Разграничение доступа к реестру в операционной системе Windows. Полный доступ, чтение. Особые разрешения

Санкт-Петербургский государственный университет информационных технологий, механики и оптики

Лабораторная работа №2

«Разграничение доступа к реестру в операционной системе Windows»

Подготовили:

гр. 5103.

Преподаватель:

2009 г.

Реестр Windows – это база данных, в которой содержится всевозможные сведения о компонентах операционной системы и прикладных программах. Соответственно, реестр может стать слабым местом при организации безопасности ОС. Реестр состоит из кустов (hive), каждый из которых физически расположен в отдельном файле в системных директориях. В свою очередь, кусты состоят из ветвей, которые содержат различные параметры. Во время загрузки системы информация из этих файлов считывается и создается логически единая древовидная иерархическая структура, которую и принято называть реестром.

Разграничение доступа к реестру в Windows построено так же, как и разграничение доступа к файлам: с помощью дискреционных списков доступа и использованием запретительной политики. Таким образом, для каждой ветви реестра можно назначить список разрешений для каждого пользователя в системе. Стандартным средством редактирования реестра Windows является утилита regedit.exe. Она позволяет устанавливать для каждой ветви разрешения вида: Полный доступ, Чтение, Особые разрешения. В свою очередь, под особыми разрешениями подразумевается любая совокупность следующих прав доступа: Запрос значения, Задание значения, Создание подраздела, Перечисление подразделов, Уведомление, Создание связи, Удаление, Запись DAC, Смена владельца, Чтение разрешений.

Как уже упоминалось ранее, разграничение доступа к реестру напрямую связано с разграничением доступа к файлам и папкам. Соответственно, при обеспечении безопасности возникают схожие проблемы. Например, даже если запретить изменение ветвей реестра всем пользователям кроме SYSTEM, существует опасность атаки повышения привилегий, когда злоумышленник получает права учетной записи SYSTEM и делает с реестром все, что ему необходимо. Также, слабым местом в защите может стать сущность владения (право Take Ownership), когда пользователь-владелец объекта может изменять права доступа к своему объекту, даже если ему полностью запрещен доступ.

Очень часто реестр атакуют, чтобы получить доступ к базе учетных записей пользователей, которая находится в реестре и содержит всю информацию о пользователях, включая пароли. Физически база располагается в нескольких файлах на компьютерах. По умолчанию, к ветви SAM имеет доступ учетная запись SYSTEM, а также администраторы могут просматривать права доступа к ней и изменять их.

Можно произвести резервное копирование реестра, а затем прочитать информацию из него на другой машине и получить необходимые для злоумышленника данные.

Таким образом, возможность резервного копирования реестра является еще одной брешью в защите. Необходимо предоставлять эту возможность только ответственным за это личностям и только на период непосредственного копирования.