Implementacja systemu
ochrony poziomu C2
w Windows NT

h

Kryteria normy C2



Wyjaśnienie poszczególnych kryteriów
normy C2.

h

Dostosowanie Windows NT do
wymagań normy C2



Kolejne kroki dostosowania ochrony
systemu Windows NT do kryteriów

J

ak nauczyliśmy się w poprzednim rozdziale,

przyjęte przez Departament Obrony USA
kryteria oceny systemów komputerowych,
dostarczają ujednoliconych środków
sprawdzania poziomu ochrony potencjalnie
wszystkich instalacji informatycznych. Przy
zapewnieniu odpowiednich warunków,
Windows NT spełnia, nakreślone
w „pomarańczowej książce”, wymagania
normy C2. Bieżący rozdział jest poświęcony
przeglądowi kryteriów normy C2 oraz
dostosowaniu Windows NT do ich wymagań.



określonych normą C2. Wykorzystanie
menedżera konfiguracji C2.

Część V Implementacja kryteriów ochrony Departamentu Obrony USA

w

środowisku Windows NT

454

Definicja normy C2

Narodowe Centrum Bezpieczeństwa Komputerowego Departamentu
Obrony USA opublikowało w dniu 29 kwietnia 1996 r. końcowy raport
z oceny Windows NT Workstation oraz Windows NT Server łącznie z US
Service Pack 3 w zakresie normy C2 (CSC-FER-95/003). Ponieważ
opracowanie liczy ponad 200 stron, możemy tutaj jedynie go omówić.
(Więcej informacji można znaleźć pod adresem:

http://www. radium.ncs.mil/tpep/epl/entries/CSC-EPL-95-003.html)

Platformy, na jakich oceniano Windows NT

Windows NT był oceniany na trzech różnych komputerach: Copmpaq
Proliant 2,000, Compaq Proliant 4,000 (http://www.compaq.com) oraz
DECpc AXP/150 (http://www.digital.com). Rozmiary pamięci mieściły się
w przedziale od 16 MB do 512 MB.

Komputery Compaq Proliant były wyposażone w

procesory Intel

Pentium (90 i

100

MHz). Proliant 2,000 posiadał dwa procesory,

a Proliant 4,000 cztery. Oba miały następującą konfigurację:

płyta: Tri-Flex EISA System Board

karta graficzna: SVGA 1024×768×4 Video Adapter

kontroler

32 bit FAST SCSI-2

Twardy dysk: 1,5 GB SCSI-2

Twardy dysk 2,5 GB SCSI-2

Dysk elastyczny

3.5 1.44M

Napęd taśmowy

2/8 GB DAT

klawiatura

101

mysz 3

klawiszowa

drukarka HPLaserJet

IV

Komputer DECpc był skonfigurowany następująco:

CPU: 150 MHz DEC CPU

karta graficzna: Compaq Qvision SVGA

kontroler Adaptec

1742 SCSI

„

Twardy dysk:

353 M SCSI

Implementacja systemu ochrony poziomu C2 w Windows NT

455

„

Dysk elastyczny

3.5 1.44M

„

klawiatura

101

„

mysz 3

klawiszowa

„

drukarka HPLaserJet

IV

Chociaż powyższe platformy Windows NT są powszechnie stosowane
w charakterze serwerów sieciowych, to były oceniane jako systemy
wolnostojące. Poza tym DECpc ROM Console Firmware musi być
w wersji 3.5 lub późniejszej.

Precyzyjna kontrola dostępu

Precyzyjna kontrola dostępu opiera się nie tylko na identyfikacji
użytkownika, lecz również na wiedzy o nim. Windows NT, dzięki
systemowi plików NTFS, umożliwia na przykład właścicielowi obiektu
szczegółową regulację dostępu dla grup, a

nawet pojedynczego

użytkownika. Windows NT zapewnia lepsze sterowanie dostępem niż
inne systemy operacyjne.

Przypomnijmy sobie wymagania normy C2: „Precyzyjna kontrola
dostępu w

systemach godnych zaufania wymaga możliwości

definiowania i sterowania dostępem między nazwanym użytkownikiem
i nazwanym obiektem ( pliki i programy)”. Mówiąc prościej, system
operacyjny musi zapewniać sterowanie dostępem do wszystkich
obiektów, bazując na nazwach użytkowników, członkostwie grup lub
obu metodach. Ponadto, przyznawanie dostępu innym użytkownikom,
powinno wymagać specjalnych, udzielonych explicite upoważnień.

Windows NT steruje dostępem obiektów, wykorzystując listy kontroli
dostępu (ACL - Access; por. rozdział 3). Dzięki listom ACL upoważniony
użytkownik może sterować wykorzystaniem obiektów, zgodnie
z wymaganiami normy C2. Każda lista składa się z nagłówka i pozycji
kontroli dostępu (ACE - Access Control Entries). Nagłówek zawiera
informacje o rozmiarze i liczbie elementów listy. Kolejne pozycje opisują
natomiast informacje o dostępie. W systemie Windows NT stosowane są
dwa rodzaje list: precyzyjne (Discretionary Access Control Lists) oraz
systemowe (System access Control Lists).

Precyzyjne listy kontroli dostępu (DACL) sterują dostępem do obiektów.
Na takich listach mogą znajdować się dwa rodzaje pozycji:
AccessAllowed (dostęp dozwolony) i AccessDenied (dostęp zabroniony).
Pozycja AccessAllowed służy do przyznawania dostępu użytkownikom
lub grupom, natomiast AccessDenied do jego wyraźnego zakazania. Sys-
temowe listy kontroli dostępu (SACL) kierują nadzorem nad dostępem

Część V Implementacja kryteriów ochrony Departamentu Obrony USA

w

środowisku Windows NT

456

do obiektów. SACL ma jedną pozycję dostępu - SystemAudit. Syste-
mAudit służy do sterowania systemem śledzenia dostępu.

Jedyna droga przyznania uprawnienia dostępu do dowolnego obiektu,
polega na zmianie jego DACL. Precyzyjną listę kontroli dostępu do
obiektu mogą modyfikować tylko użytkownicy, posiadający uprawnienie
dostępu na poziomie WriteDAC. Takie rozwiązanie daje gwarancję, że
tylko indywidualnie uprawnione osoby, zazwyczaj administratorzy,
mogą udostępniać obiekt innym użytkownikom. Omówione elementy
Windows NT sprawiają, że spełnia wszystkie wymagania w zakresie
precyzyjnej kontroli dostępu.

Powtórne wykorzystanie obiektu

Wymagania normy C2 dotyczą ścisłego zabezpieczenia systemu przed
możliwością ponownego wykorzystania obiektów. Aby spełnić żądania
w tym zakresie, system musi usunąć wszelkie przyznane do obiektu
pełnomocnictwa, zanim zwolni go do ewentualnego wykorzystania przez
inne procesy. Poza tym, żąda się, aby żadna informacja, nawet w postaci
zakodowanej, pozostawiona przez sesję poprzedniego użytkownika, nie
była dostępna dla następnego.

Windows NT jest bardzo dobrze zabezpieczony przed ponownym
użyciem obiektów dzięki trzem rozwiązaniom:

1. Nagłówek i

treść każdego procesu jest inicjowana z

nowymi,

odpowiednimi wartościami.

2. Pamięć wydzielona dla obiektu jest zerowana.

3. Obiekt może być czytany jedynie przez proces, który go ostatnio

zapisywał.

Metody zabezpieczania obiektów przed ponownym użyciem zależą od
ich rodzaju. Kiedy menedżer obiektów inicjuje pola nagłówkowe, aby
uruchomić dowolny podsystem wykonywalny (executive), wszystkie
dane zawarte wcześniej w przydzielonej pamięci są nadpisywane. Zanim
obiekty chronionego serwera zostaną odwzorowane do przestrzeni
adresowej procesu, menedżer pamięci zeruje cały obszar pamięci
przydzielony dla obiektu.

Identyfikacja i weryfikacja tożsamości

Spełnienie kryteriów normy C2 wymaga od systemu operacyjnego, aby
przed podjęciem jakiejkolwiek akcji lub otrzymaniem dostępu do dowol-
nych informacji, użytkownik musiał przejść procedurę identyfikacji
i weryfikacji tożsamości. Najczęściej stosowanym w tym zakresie rozwią-
zaniem jest sprawdzanie nazwy użytkownika i stosowanego przez niego

Implementacja systemu ochrony poziomu C2 w Windows NT

457

hasła. Żąda się również, aby informacje niezbędne do weryfikacji użyt-
kowników były chronione przed niepowołanym dostępem, a działania
użytkowników muszą być zdolne do identyfikacji i rejestracji.

Windows NT wymaga od każdego użytkownika przedstawienia się
unikatową nazwą, która jest w systemie reprezentowana wewnętrznie
przez identyfikator bezpieczeństwa (SID). Identyfikator SID jest
całkowicie unikatowy i nie może być powtórnie przydzielony - nawet
jeśli nazwa użytkownika została usunięta z

systemu. Weryfikacja

tożsamości realizowana jest przez ośrodek zabezpieczeń lokalnych (LSA)
drogą sprawdzenia zgodności hasła. Wszystkie hasła są składowane
w specjalnej bazie danych menedżera chronionych kont (SAM).

Nadzór

Jak już było wielokrotnie mówione, instalacja klasyfikowana pod
względem bezpieczeństwa na poziomie C2 musi być zdolna do
rejestrowania wszelkiej działalności systemu oraz dostępu
użytkowników do jego obiektów. Dzienniki tworzone przez układ
rejestracji muszą być zabezpieczone przed nieupoważnionym dostępem
i zniszczeniem. Poniższa lista wylicza zdarzenia, które mogą być
rejestrowane:
„

Wykorzystanie mechanizmów identyfikacji i weryfikacji tożsamości

„

Wprowadzanie obiektów do przestrzeni adresowej użytkownika (na
przykład otwarcie pliku).

„

Usuwanie obiektów.

„

Działania administratorów i personelu ochrony.

„

Wszystkie inne zdarzenia mające wpływ na bezpieczeństwo systemu.

Każdy zapis układu nadzoru musi zawierać następujące pozycje: nazwę
użytkownika, datę, czas, rodzaj oraz wynik zdarzenia (sukces lub
niepowodzenie). Jeśli zdarzenie opisuje rejestrację w systemie, powinno
być odnotowane jego pochodzenie. Ponadto, administrator powinien
mieć możliwość selekcji rejestrowanych zdarzeń.

System nadzoru Windows NT tworzą: ośrodek zabezpieczeń lokalnych
(LSA), kontroler wskaźników bezpieczeństwa (SRM), rejestrator zdarzeń
(Event Logger) oraz przeglądarka zdarzeń. Wszystkie zarejestrowane
informacje są zabezpieczone przez precyzyjną listę kontroli dostępu
(DACL) i są dostępne jedynie dla administratorów. Tablica 19.1 ilustruje
zdarzenia, które może rejestrować Windows NT.

Część V Implementacja kryteriów ochrony Departamentu Obrony USA

w

środowisku Windows NT

458

Tabela 19.1 Lista zdarzeń możliwych do monitorowania przez Windows NT

Rodzaj zdarzenia

Restart systemu
Wyłączenie systemu
Załadowanie pakietu weryfikacyjnego
Proces rejestracji w systemie
0Wyczyszczenie dziennika rejestrowanych zdarzeń
Zaniechanie nadzoru grupy zdarzeń
Pomyślnie zakończona rejestracja w systemie
Błędne wprowadzenie nazwy użytkownika lub hasła
Niepomyślna rejestracja spowodowana przekroczeniem ograniczeń czasowych
Niepomyślna rejestracja spowodowana wyłączonym kontem
Niepomyślna rejestracja spowodowana wygaśnięciem ważności hasła
Niepomyślna rejestracja spowodowana przez wykorzystanie niedozwolonej stacji
roboczej
Niepomyślna rejestracja spowodowana przekroczeniem ograniczeń typu rejestracji
Niepomyślna rejestracja
Wyrejestrowanie się użytkownika
Otwarcie obiektu
Zamknięcie uchwytu
Wyznaczenie specjalnego przywileju
Wykorzystanie uprzywilejowanej usługi
Dostęp do uprzywilejowanego obiektu
Utworzenie procesu
Zakończenie procesu
Zdublowanie uchwytu
Wykorzystanie pośrednich wskaźników
Wyznaczanie przywileju
Zmiana reguł monitoringu
Zmiany w strukturze domen
Zmiana atrybutów konta użytkownika
Utworzenie konta użytkownika
Usunięcie konta użytkownika
Usunięcie elementu grupy ogólnej
Dodanie elementu do grupy ogólnej
Zmiany grupy lokalnej
Utworzenie grupy lokalnej
Usunięcie elementu grupy lokalnej
Dodanie elementu grupy lokalnej

Implementacja systemu ochrony poziomu C2 w Windows NT

459

Rodzaj zdarzenia

Skasowanie grupy lokalnej

Architektura systemu

Architektura systemów spełniających wymogi klasy C2 musi zapewniać
bezpieczną domenę dla własnych procesów i gwarantować, że dane
i procesy znajdujące się w chronionej domenie są wolne od wpływów
zewnętrznych. Ponadto system musi być zdolny do kontroli dostępu
i nadzorowania wszystkich swoich zasobów.

Windows NT zabezpiecza wszystkie swoje obiekty. Próba dostępu do
zasobów systemu wymaga przejścia procedury kontroli uprawnień
i może być śledzona przez układ nadzoru.

Integralność systemu

Aby spełnić kolejne kryteria, system musi być wyposażony w środki
programowe lub sprzętowe, umożliwiające okresową kontrolę i weryfi-
kację poprawności oraz bezpieczeństwa działania.

Rozwiązania do testowania integralności zależą przede wszystkim od
wykorzystywanej platformy sprzętowej. Przy tym zastrzeżeniu,
Windows NT spełnia wymagania, gdyż Microsoft jest zdolny dostarczyć
odpowiedniego oprogramowania do testowania standardowych
rozwiązań sprzętowych.

Testowanie zabezpieczeń

Jak można sobie wyobrazić, system przygotowywany do oceny na
poziomie normy C2, wymaga rozległych testów tak w

czasie

projektowania, jak i podczas weryfikacji. Badania muszą gwarantować
integralność systemu i

umożliwić eliminacje ewentualnych luk

w układzie zabezpieczeń.

Microsoft testował funkcjonalność chronionych serwerów działających
w trybie użytkownika, egzekutywę działającą w trybie jądra oraz WIN32
API. Oddzielne próby były realizowane w

obszarze najbardziej

związanym z

bezpieczeństwem, obejmując dostęp do obiektów,

zabezpieczenia przed powtórnym użyciem obiektów i wykorzystanie
przywilejów. Zespół weryfikujący uznał metodologię badań za
prawidłową.

Część V Implementacja kryteriów ochrony Departamentu Obrony USA

w

środowisku Windows NT

460

Przewodnik użytkownika w zakresie środków zabezpieczających

Aby system operacyjny mógł być klasyfikowany, dostawca musi poświę-
cić przynajmniej jeden rozdział dokumentacji na szczegółowe omówienie
mechanizmów zabezpieczających system. Przewodnik powinien opisy-
wać wykorzystanie narzędzi i ich współpracę, zapewniającą integralność
systemu.

Windows NT dostarczany jest wraz z podręcznikiem użytkownika,
poświęconym mechanizmom zabezpieczającym (Security Features Users
Guide). Opracowanie omawia procedury rejestracji w systemie, zmiany
hasła, zamykania i

otwieranie komputera oraz wykorzystanie

programów do wygaszania ekranu. Ponadto omówione są precyzyjna
kontrola dostępu do plików i katalogów w związku z prawem własności
zbiorów w Windows NT.

Instrukcja obsługi mechanizmów zabezpieczających

Dopełnieniem dokumentacji musi być instrukcja obsługi narzędzi
ochronnych, która jest przeznaczona dla administratorów. Opracowanie
powinno umożliwić zdobycie niezbędnej wiedzy na temat dostępnych
środków bezpieczeństwa, sposobie konfiguracji bezpiecznej instalacji
oraz metod monitorowania systemu.

Wraz z Windows NT nabywca otrzymuje odpowiedni poradnik (Trusted
Facility Manual), omawiający przywileje i

grupy, które mogą być

kontrolowane, wyjaśniający jak sprawdzać i

obsługiwać dzienniki

ochrony oraz opisujący narzędzia administracyjne zawarte w systemie.

Aby przystąpić do procesu weryfikacji, dostawca musi przedstawić
dokumentację opisującą przebieg i

wyniki wewnętrznej oceny

zgłaszanego do testu systemu.

Dokumentacja dostarczona przez Microsoft została uznana za
wystarczającą.

Dokumentacja projektowa

Ostatnią częścią dokumentacji, którą należy dostarczyć zespołowi
prowadzącemu ocenę, jest opracowanie wyjaśniające, jak przyjęte
założenia projektowe przekładają się na architekturę systemu. Jeśli
system jest ze swej natury modularny, to dokumentacja musi tłumaczyć,
jak zabezpieczać interfejsy łączące elementy układu.

Dokumentacja projektowa dostarczona przez Microsoft spełniała kryteria
normy C2.

Implementacja systemu ochrony poziomu C2 w Windows NT

461

Inne uwagi

Oprócz tych cech, którym Windows NT zawdzięcza klasyfikację na
poziomie C2, kilka elementów systemu kwalifikuje go do oceny wyższej.
Następujące rozwiązania wyczerpują wymagania normy B2:

Bezpieczne rozwiązania administracyjne

Kilka spośród wielu wymagań, stawianych systemom aspirującym do
klasy B2, dotyczy rozwiązań umożliwiających oddzielenie funkcji
operacyjnych od zadań administracyjnych. Windows NT pozwala
administratorom przyznawać różne uprawnienia dla indywidualnych
użytkowników. Cechy systemu pozwalają sterować możliwościami
użytkowników, zgodnie z regułami obowiązującymi w każdej instytucji.
Powyższe czynniki, plus układ zarządzania grupami, spowodowały
wysoką ocenę rozwiązań administracyjnych Windows NT.

Chroniona ścieżka

Inna grupa wymagań normy C2 dotyczy bezpiecznej komunikacji
między systemem i jego użytkownikami, podczas procesu identyfikacji
i weryfikacji tożsamości. Ponadto bezpieczny kanał łączności powinien
być inicjowany przez użytkownika, a nigdy przez system.

Rozwiązania zawarte w

Windows NT, wraz z

inicjacją rejestracji

wymagającą wciśnięcia kombinacji klawiszowej CTRL+ALT+DEL,
zapewniają bezpieczną ścieżkę komunikacyjną. System daje gwarancję,
że informacje niezbędne do identyfikacji i

weryfikacji tożsamości

użytkownika są przesyłane wyłącznie do niego. W zakresie wymagań
dotyczących bezpiecznego kanału łączności, Windows NT spełnia
kryteria B2.

Jak widać Microsoft dołożył wiele wysiłku, by uczynić ze swego
produktu bezpieczny system operacyjny.

Jak skonfigurować Windows NT by spełniał kryteria
normy C2

Aby dostosować swój system do wymagań normy C2, najlepiej posłużyć
się specjalnym programem o nazwie menedżer konfiguracji C2, który jest
elementem pakietu narzędziowego Windows NT Resource Kit. Końcową
część książki poświęcimy wszystkiemu, co trzeba wiedzieć o tym
programie.

Część V Implementacja kryteriów ochrony Departamentu Obrony USA

w

środowisku Windows NT

462

Menedżer konfiguracji C2

Specjalny program z pakietu narzędziowego ułatwia zabezpieczenie
systemu, zgodnie z

kryteriami normy C2. Wizytówkę menedżera

konfiguracji C2 ilustruje rysunek 19.1.

Rysunek 19.1

Menedżer konfiguracji C2

Systemy plików

Od instalacji klasy C2 żąda się precyzyjnej kontroli dostępu. Chociaż
Windows NT współpracuje z kilkoma systemami plików, to tylko NTFS
umożliwia precyzyjną kontrolę dostępu. Jeśli nasz system zawiera
partycje sformatowane w innym systemie plików, to wciskając przycisk
C2, spowodujemy ich konwersję przy następnym uruchomieniu
komputera.

Systemy operacyjne

Windows NT musi być jedynym systemem operacyjnym, działającym na
komputerze. Chociaż program nie odinstalowuje innych systemów, może
spowodować, aby po uruchomieniu komputera były niedostępne.
Zdolność wyboru systemu operacyjnego możliwa jest dzięki zwłoce
przed uruchomieniem Windows NT. Jeśli dwukrotnie klikniemy na
pozycji Operating Systems, otworzy się okno przedstawione na rysunku
19.2.

Implementacja systemu ochrony poziomu C2 w Windows NT

463

Rysunek 19.2

Okno dialogowe C2 Con-
figuration - Operating Sys-
tems

Kliknąć na przycisku C2, a następnie OK. Okienko informacyjne powia-
domi nas, że uruchamiając komputer nie będziemy mogli wybrać innego
systemu operacyjnego. Kliknięcie OK zaktualizuje plik BOOT.INI.

Podsystem OS/2

Podsystem OS/2{xe "podsystem OS/2"}{xe "OS/2:podsystem"} umożli-
wia Windows NT uruchamianie aplikacji OS/2 w trybie znakowym.
Wymagania normy C2 nie zezwalają na działanie podsystemu, gdyż
OS/2 nie spełnia odpowiednich warunków (por. rysunek 19.3).

Rysunek 19.3

Odinstalowanie podsystemu
OS/2.

Podsystem POSIX

Portable Operating System Interface, bazujący na podsystemie UNIX
(POSIX), umożliwia Windows NT uruchamianie 32 bitowych aplikacji
POSIX. Takie programy działają na konsoli Windows w trybie znako-
wym. Ponieważ ochrona podsystemu oparta jest na rozwiązaniach POSIX
UNIX, nie można go instalować w systemach Windows NT, które mają
spełniać kryteria C2. Dwukrotnie kliknięcie na pozycji POSIX subsystem
otworzy okno zilustrowane na rysunku 19.4.

Część V Implementacja kryteriów ochrony Departamentu Obrony USA

w

środowisku Windows NT

464

Rysunek 19.4

Odinstalowanie podsystemu
POSIX.

Wciśnięcie przycisku OK wyświetli żądanie potwierdzenia. Ponowne
wciśnięcie

OK

spowoduje odinstalowanie podsystemu. Jeśli

w przyszłości zajdzie potrzeba reinstalacji POSIX, wystarczy skopiować
plik PSXSS.EXE z płyty instalacyjnej CD do katalogu %SystemRoot
%directory.

Dziennik ochrony

Wymagania dotyczące sterowania dostępem za pomocą kont określają
konieczność tworzenia, obsługi i zabezpieczenia przed nieupoważnio-
nym dostępem lub destrukcją zapisów w dziennikach, związanych
z dostępem do chronionych przez system obiektów. Przy domyślnych
ustawieniach, Windows NT przechowuje zapisy w dzienniku przez sie-
dem dni, po czym nadpisuje je aktualnie rejestrowanymi zdarzeniami.

Kliknąć dwukrotnie na pozycji Security Log, celem otwarcia okna przed-
stawionego na rysunku 19.5.

Rysunek 19.5

Ustawianie parametrów
dziennika systemu ochrony
zgodnie z normą C2.

Aby ustawić system nadzoru zgodnie z normą C2, należy wybrać opcję
Do Not Overwrite Events (Clear Log Manually)

(Nie nadpisywać zdarzeń,

czyścić dziennik ręcznie), następnie wcisnąć przycisk OK.

Zatrzymanie systemu w razie niemożności rejestracji zdarzeń

Przy normalnych ustawieniach Windows NT, zwłaszcza jeśli przeglądar-
ka zdarzeń jest skonfigurowana w sposób uniemożliwiający nadpisywa-

Implementacja systemu ochrony poziomu C2 w Windows NT

465

nie zarejestrowanych zdarzeń, może się zdarzyć, że objętość zapisów
w dziennikach przekroczy dopuszczalne przez administratora rozmiary.
Aby zapobiec sytuacji, że jakiekolwiek działania, niezgodne z regułami
ochrony, umkną układowi nadzoru, należy ustawić automatyczne wyłą-
czanie systemu po zapełnieniu dziennika.

Kliknąć dwukrotnie na pozycji Halt on Audit Failure (por. rysunek 19.6).

Rysunek 19.6

Okno umożliwiające skonfi-
gurowanie zatrzymania
systemu po zapełnieniu
dziennika ochrony.

Zaznaczyć pole wyboru Halt system when security log is full, następnie wci-
snąć przycisk OK. Tak skonfigurowany system nadzoru spełnia wyma-
gania normy C2.

Wyświetlanie komunikatu poprzedzającego rejestrację

Trudno oczekiwać, że komunikat ostrzegawczy odstraszy wszystkich
intruzów. Aby jednak skutecznie dochodzić roszczeń wobec osób próbu-
jących bez uprawnienia skorzystać z usług systemu informatycznego lub
naruszyć jego integralność, konieczne jest powiadomienie użytkowni-
ków, że rejestracja bez odpowiednich pełnomocnictw stanowi naruszenie
prawa.

Celem skonfigurowania odpowiedniego komunikatu, należy kliknąć
dwukrotnie na pozycji Display logon message, co otworzy okno przedsta-
wione na rysunku 19.7.

Część V Implementacja kryteriów ochrony Departamentu Obrony USA

w

środowisku Windows NT

466

Rysunek 19.7

Konfigurowanie komunikatu
ostrzegawczego, wyświetla-
nego podczas rejestracji
w systemie.

Wpisać treść komunikatu w oknie edycyjnym Massage Text, następnie
wcisnąć przycisk OK. Wyświetlanie ostrzeżenia nie jest warunkiem ko-
niecznym certyfikatu C2.

Wyświetlanie nazwy konta ostatniego użytkownika

Jak zapewne czytelnicy tej książki doskonale wiedzą, Windows NT wy-
świetla nazwę konta użytkownika, który ostatnio korzystał z komputera.
W instalacjach, od których wymaga się wysokiego bezpieczeństwa, dar-
mowe udostępnienie połowy informacji, koniecznej do rejestracji świad-
czy o nadmiarze życzliwości. Chociaż nie jest to wymagane przez normę
C2, wyłączenie opcji jest dobrym pomysłem (por. rysunek 19.8).

Rysunek 19.8

Wyłączenie opcji wyświetla-
nia nazwy ostatniego użyt-
kownika.

Dwukrotnie kliknąć na pozycji Last Username Display; zaznaczyć okienko
wyboru Hide the last username to log in, a następnie wcisnąć przycisk OK.

Przycisk wyłączający system

Kiedy użytkownik wprowadza nazwę konta i hasło, dostępny jest przy-
cisk umożliwiający wyłączenie systemu. Przynajmniej na niektórych

Implementacja systemu ochrony poziomu C2 w Windows NT

467

komputerach, decyzja o wyłączeniu systemu powinna należeć do admi-
nistratorów. Aby ukryć przycisk należy kliknąć dwukrotnie na pozycji
Shutdown Button

, co otworzy okno zilustrowane na rysunku 19.9.

Rysunek 19.9

Usuwanie z okna rejestracyj-
nego przycisku umożliwiają-
cego wyłączenie systemu.

Zaznaczyć okienko wyboru Don’t show the shutdown button in the logon
dialog

i wcisnąć przycisk OK.

Długość hasła

Domyślna konfiguracja Windows NT zezwala na posługiwanie się pu-
stym hasłem. Bezpieczeństwo wymaga, aby tożsamość użytkownika była
weryfikowana przez układ bezpieczeństwa. Celem dostosowania syste-
mu do wymagań normy C2, należy dwukrotnie kliknąć na pozycji
Password

Length (por. rysunek 19.10).

Rysunek 19.10

Ustawianie minimalnej
długości hasła.

Wcisnąć przycisk C2, a następnie OK.

Uwaga

Zmiana minimalnej długości hasła nie wpływa na operatywność haseł, które są
aktualnie używane w systemie.

Część V Implementacja kryteriów ochrony Departamentu Obrony USA

w

środowisku Windows NT

468

Konto gościa

Pierwszą czynnością, wrażliwych na bezpieczeństwo swoich systemów
administratorów, jest wyłączenie konta gościa. Jeśli chcemy, aby nasz
system spełniał wymagania normy C2, musimy postąpić tak samo.

Kliknąć dwukrotnie na pozycji Guest Account, co otworzy okno przedsta-
wione na rysunku 19.11.

Rysunek 19.11

Wyłączanie konta gościa.

Zaznaczyć okienko wyboru Disable Guest user account, po czym wcisnąć
przycisk OK.

Sieć

Jak już mówiliśmy, Windows NT został sklasyfikowany na poziomie C2,
jako system wolnostojący. Chcąc dostosować swój system do normy, na-
leży odinstalować od swojego komputera wszystkie elementy oprogra-
mowania i sprzętu sieciowego.

Kliknąć dwukrotnie na pozycji Networking (por. rysunek 19.12), co wy-
świetli odpowiednie okno dialogowe. Wcisnąć przycisk OK, przełączają-
cy do ustawień sieciowych, gdzie można odinstalować protokoły, adapte-
ry itp.

Rysunek 19.12

Kliknąć dwukrotnie na
pozycji Networking, aby
odinstalować oprogramowa-
nie i osprzęt sieciowy.

Implementacja systemu ochrony poziomu C2 w Windows NT

469

Litery odwzorowujące napędy oraz drukarki.

Nadzorowanie zasobów systemu jest centralnym zadaniem układu bez-
pieczeństwa. Oznacza nie tylko kontrolę dostępu, ale również działań
instalacyjnych.

Kliknąć dwukrotnie na pozycji Drive Letters & Printers, aby otworzyć
okienko dialogowe przedstawione na rysunku 19.13.

Rysunek 19.13

Napędy i drukarki.

Zaznaczyć opcję Only Administrators may assign Printers and Drive letters
i wcisnąć przycisk OK.

Napędy nośników przenośnych

Chociaż omawiane rozwiązanie nie wynika z ograniczeń normy C2, po-
zwala zapewnić wyższy stopień bezpieczeństwa. Menedżer zabezpieczeń
C2 umożliwia przyporządkowanie napędów nośników przenośnych (tj.
dysków elastycznych i CD-ROM) do rejestrowanego konta, co chroni je,
a co ważniejsze zawarte na nich dane, przed dostępem z poziomu aplika-
cji uruchomionych przez innych użytkowników.

Dwukrotnie kliknąć na pozycji Removable Media Drives, co otworzy okno
zilustrowane na rysunku 19.14.

Rysunek 19.14

Napędy nośników przeno-
śnych.

Część V Implementacja kryteriów ochrony Departamentu Obrony USA

w

środowisku Windows NT

470

Ochrona rejestró

Jak wiemy, rejestry Windows NT zawierają potencjalnie wszystkie infor-
macje o konfiguracji systemu. Zniszczenie zapisów rejestrów może ozna-
czać utratę wszystkiego, łącznie z pracą, żoną, dziećmi, psem itd.

Kliknąć dwukrotnie na pozycji Registry Security, celem otwarcia okna
przedstawionego na rysunku 19.15.

Rysunek 19.15

Ustawianie zabezpieczeń
rejestrów.

Wybranie przycisku OK powoduje konfigurację list kontroli dostępu do
rejestrów. Po ustawieniu uprawnień, odpowiednie okno potwierdzające
zasygnalizuje zakończenie operacji.

Poniższa lista zawiera spis pozycji rejestrów, do których zostaną zmody-
fikowane uprawnienia dostępu:

HKEY_LOCAL_MACHINE\SOFTWARE
HKEY_LOCAL_MACHINE\SOFTWARE\Classes
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\*
HKEY_LOCAL_MACHINE\SOFTWARE\Description
HKEY_LOCAL_MACHINE\SOFTWARE\Description\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\*
HKEY_LOCAL_MACHINE\SOFTWARE\Program Groups
HKEY_LOCAL_MACHINE\SOFTWARE\Secure
HKEY_LOCAL_MACHINE\SOFTWARE\Windows 3.1 Migration Status

Menedżer konfiguracji C2 ustawia zabezpieczenia każdej z wymie-
nionych pozycji, przyznając odpowiednie uprawnienia indywidualne
i grupowe. Plik C2REGACL.INF zawiera opis, umożliwiający podgląd
ustawień. Chociaż nic nie stoi na przeszkodzie, aby spróbować zmienić
układ uprawnień, nie zalecamy dokonywać żadnych modyfikacji. Każda
zmiana może spowodować zaburzenie pracy systemu lub otworzyć furt-
kę dla hakerów.

Implementacja systemu ochrony poziomu C2 w Windows NT

471

Ochrona systemu plików

Ochrona systemu plików jest bodaj najważniejszą pozycją listy menedże-
ra konfiguracji C2. Ochrony plików wymagają również systemy nie za-
wierające poufnych informacji. To właśnie konieczność zapewnienia bez-
pieczeństwa dla zbiorów jest powodem budowy układu ochrony całego
systemu.

Dwukrotnie kliknąć na pozycji File System Security, aby otworzyć okno
zilustrowane na rysunku 19.16.

Rysunek 19.16

Ustawianie zabezpieczeń
systemu plików.

Wciśnięcie przycisku OK rozpocznie wyznaczanie uprawnień dostępu
zgodnie z wymaganiami normy C2. Menedżer konfiguracji zasygnalizuje
zakończenie pracy odpowiednim oknem potwierdzającym. Wcisnąć
przycisk OK, by kontynuować pracę.

Listę wszystkich uprawnień, ustawionych przez menedżer konfiguracji
C2 zawiera plik C2NTFACL.INF. Oto lista zbiorów, które są objęte dzia-
łaniem procedury:

%SystemDrive%\
%SystemDrive%\*.*
%SystemDrive%\IO.SYS
%SystemDrive%\MSDOS.SYS
%SystemDrive%\BOOT.INI
%SystemDrive%\NTDETECT.COM
%SystemDrive%\NTLDR
%SystemDrive%\AUTOEXEC.BAT
%SystemDrive%\CONFIG.SYS
%SystemDrive%\TEMP\!
%SystemDrive%\USERS\!
%SystemDrive%\USERS\DEFAULT\!
%SystemDrive%\WIN32APP\!
%SystemRoot%\!
%SystemRoot%\*.*
%SystemRoot%\*.INI
%SystemRoot%\!LOCALMON.DLL
%SystemRoot%\PRINTMAN.HLP

Część V Implementacja kryteriów ochrony Departamentu Obrony USA

w

środowisku Windows NT

472

%SystemRoot%\REPAIR\!
%SystemRoot%\SYSTEM\*.*
%SystemRoot%\SYSTEM32\*.*
%SystemRoot%\SYSTEM32\AUTOEXEC.NT
%SystemRoot%\SYSTEM32\CMOS.RAM
%SystemRoot%\SYSTEM32\CONFIG.NT
%SystemRoot%\SYSTEM32\MIDIMAP.CFG
%SystemRoot%\SYSTEM32\PASSPORT.MID
%SystemRoot%\SYSTEM32\ CONFIG
%SystemRoot%\SYSTEM32\ CONFIG\*.*
%SystemRoot%\SYSTEM32\ CONFIG\DEFAULT.LOG
%SystemRoot%\SYSTEM32\ CONFIG\SAM
%SystemRoot%\SYSTEM32\ CONFIG\SAM.LOG
%SystemRoot%\SYSTEM32\ CONFIG\SECURITY
%SystemRoot%\SYSTEM32\ CONFIG\SECURITY.LOG
%SystemRoot%\SYSTEM32\ CONFIG\SYSTEM
%SystemRoot%\SYSTEM32\ CONFIG\SYSTEM.ALT
%SystemRoot%\SYSTEM32\ CONFIG\SYSTEM.LOG
%SystemRoot%\SYSTEM32\CONFIG\USER.DEF
%SystemRoot%\SYSTEM32\DHCP\!
%SystemRoot%\SYSTEM32\DRIVERS\!
%SystemRoot%\SYSTEM32\OS2\OSO0001.009
%SystemRoot%\SYSTEM32\OS2\DLL\DOSCALLS.DLL
%SystemRoot%\SYSTEM32\OS2\DLL\NETAPI.DLL
%SystemRoot%\SYSTEM32\RAS
%SystemRoot%\SYSTEM32\RAS\*.*
%SystemRoot%\SYSTEM32\REPL\!
%SystemRoot%\SYSTEM32\ REPL\EXPORT
%SystemRoot%\SYSTEM32\ REPL\EXPORT\*.*
%SystemRoot%\SYSTEM32\ REPL\EXPORT\SCRIPTS
%SystemRoot%\SYSTEM32\ REPL\EXPORT\SCRIPTS\*.*
%SystemRoot%\SYSTEM32\ REPL\IMPORT
%SystemRoot%\SYSTEM32\ REPL\IMPORT\*.*
%SystemRoot%\SYSTEM32\ REPL\IMPORT\SCRIPTS
%SystemRoot%\SYSTEM32\ REPL\IMPORT\SCRIPTS\*.*
%SystemRoot%\SYSTEM32\ SPOOL\!
%SystemRoot%\SYSTEM32\ SPOOL\DRIVERS\W32X86\1
%SystemRoot%\SYSTEM32\ SPOOL\DRIVERS\W32X86\WINPRINT.DLL
%SystemRoot%\SYSTEM32\ WINS\!

Implementacja systemu ochrony poziomu C2 w Windows NT

473

Wykrzyknik (!) wskazuje menedżerowi konfiguracji C2, aby objął usta-
wieniem katalog, łącznie z wszystkimi plikami i kartotekami znajdują-
cymi się poniżej. Podobnie jak w przypadku rejestrów, nie należy zmie-
niać ustawień dokonanych przez menedżer konfiguracji C2.

Pozostałe elementy konfiguracji

Niestety, nie wszystkie potrzebne zmiany można wykonać automatycz-
nie, posługując się menedżerem konfiguracji C2. Dwukrotne kliknięcie na
pozycji Other Security Items spowoduje wyświetlenie okno informujące
o konieczności skonfigurowania jeszcze czterech elementów. Ustawianie
hasła potrzebnego do włączania zależy od systemu i wymaga przejrzenia
instrukcji obsługi komputera. User Manager for Domains musi być za-
mieniony na standardowy menedżer użytkowników. Konta użytkowni-
ków muszą być skonfigurowane zgodnie z podręcznikiem administratora
Windows NT C2 Security System Guide.

Podsumowanie

Niniejszy rozdział zawiera wiadomości o szczegółowych wymaganiach
normy C2, zgodnych z

„pomarańczową książką” i

konfrontuje je

z odpowiednimi rozwiązaniami Windows NT. Analiza kryteriów normy
C2 oraz środków, którymi są realizowane przez Windows NT, pozwala
administratorowi zrozumieć lepiej mechanizmy ochrony. Dodatkowo
omówiliśmy zastosowanie menedżera konfiguracji C2 do odpowiedniego
ustawienia parametrów systemu. Nawet, jeśli administrowany przez nas
system nie wymaga ochrony klasy C2, narzędzie pozwoli domknąć
wszelkie luki w jego ochronie.