CƠ CHẾ AN TOÀN TRÊN WINDOWS NT - PHẦN I GIỚI THIỆU ĐÔI NÉT VỀ HỆ ĐIỀU HÀNH MẠNG VÀ WINDOWS NT Trong ngày đầu lịch sử máy tính, hệ thống máy tính hoạt động độc lập với thực công việc xác định Khi đó, việc chia xẻ tài nguyên hệ thống thơng tin khác diễn khó khăn Những tổ chức xa khó trao đổi thông tin trực tiếp với nhau, đặc biệt lĩnh vực đòi hỏi nhịp độ hoạt động ln mức độ cao như: thương mại, trị quốc phịng… Càng sau, xã hội có phát triển lớn nhiều lĩnh vực nhu cầu liên lạc chia xẻ thông tin trở nên cấp thiết Tại thời điểm đó, thuật ngữ mạng máy tính (Network Computer) hệ điều hành mạng (Network Operating System) đời đánh dấu bước tiến lớn người lĩnh vực khoa học máy tính viễn thơng Mạng máy tính bao gồm tài nguyên mạng (như trạm, máy in mạng…) thiết bị viễn thông dùng để liên kết tài nguyên (như cầu nối, router, cổng gateway, dây dẫn…) Tất tài nguyên quản lý hệ điều hành mạng Như vậy, công việc hệ điều hành mạng bao gồm việc quản lý tài nguyên nội hệ điều hành bình thường (như quản lý hệ thống file nội bộ, nhớ máy tính, thực thi trình ứng dụng, quản lý thiết bị nhập xuất điều phối xử lý cho trình ứng dụng…) quản lý tài nguyên mạng (như hệ thống file máy trạm, nhớ chia xẻ, thực thi trình ứng dụng chia xẻ mạng, thiết bị nhập xuất mạng…) Tuy nhiên việc chia xẻ thông tin tài nguyên chung cho lúc nhiều trạm, nhiều người dùng nảy sinh va chạm, yêu cầu an toàn bảo mật bị vi phạm Từ yêu cầu đó, tiêu chuẩn tính an tồn, độ tin cậy hệ thống đề xuất xem yêu cầu cần có hệ điều hành mạng Có tiêu chuẩn đánh giá cao khắt khe đưa Trung tâm an tồn điện tốn quốc gia Bộ quốc phòng Mỹ tiêu chuẩn C2 Tiêu chuẩn đòi hỏi hệ điều hành phải có đặc tính bảo mật tiên tiến, bao gồm khả định danh, kiểm tra tách rời hạt nhân, người dùng cấp tên mật để kiểm soát việc truy cập vào tài nguyên hệ thống… Và Windows NT số hệ điều hành mạng thỏa mãn yêu cầu nêu Windows NT hệ điều hành mạng đa nhiệm 32 bit có nhiều tính ưu việt so với nhiều hệ điều hành khác Kiến trúc Windows NT phân thành đơn thể mang nhiệm vụ xác định, tạo nên tính uyển chuyển khả tương thích với nhiều hệ điều hành khác Bên cạnh đó, Windows NT cịn bao gồm nhiều tính an toàn dịch vụ mạng đối đẳng (peer - to - peer, gọi mạng ngang hàng), xem thành phần sở hệ điều hành Một số mục tiêu việc thiết kế hệ điều hành mạng Windows NT đáp ứng yêu cầu hệ điều hành đại, bao gồm: Khả tương thích (Compatibility): Windows NT có khả tạo mơi trường cho trình ứng dụng viết cho hệ điều hành khác (như MS-DOS, OS/2, Windows 3.x, POSIX), hỗ trợ số hệ thống file thông dụng (như FAT, NTFS, HPFS) khả nối kết với môi trường mạng khác có Tính thuận tiện (Portability): Windows NT chạy với vi xử lý hỗ trợ CISC (Complex Instruction Set Computer) : Intel® 8038680486, RISC (Reduced Instruction Set Computer) : MIPS® R4000, DEC Alpha Tính đa xử lý (Scalability): Windows NT chạy máy tính có từ đến 16 vi xử lý, mở rộng lên hệ máy lớn đáp ứng yêu cầu cao mơi trường kinh doanh Tính an tồn (Security): Windows NT cung cấp tính an tồn đáng tin cậy bao gồm việc kiểm soát việc truy cập đến tài nguyên, bảo vệ nhớ, kiểm sốt tồn q trình thâm nhập người dùng, tính an tồn khả khắc phục sau cố… Khả xử lý chia sẻ phân phối (Distributed Processing): Windows NT có khả nối kết với nhiều mơi trường mạng khác mà có hỗ trợ nhiều loại giao thức truyền thông khác nhau, hỗ trợ tính Client/Server cao cấp NamePipe (Liên lạc máy Client thông qua Server việc thiết lập luồng thông tin theo kiểu đường ống) RPCs (Remote Procedure Call: hỗ trợ việc tạo nên ứng dụng chia xẻ mạng, có khả truy cập đến tài nguyên chung…) Độ tin cậy (Reliability & Robustness): Windows NT cung cấp chế đảm bảo ứng dụng thi hành cách an tồn, khơng vi phạm đến hệ thống ứng dụng khác Windows NT cịn cung cấp hệ thống file khơi phục (Recoverable) HTFS tiên tiến, tính an toàn cài đặt sẵn kĩ thuật quản lý nhớ cao cấp Tính đại chúng (Internationalization): Windows NT đề mục tiêu thiết kế để ứng dụng nhiều quốc gia, nhiều ngôn ngữ Dễ nâng cấp, mở rộng (Extensibility): Kiến trúc Windows NT tiếp cận theo lối phân chia thành đơn thể có nhiệm vụ xác định, cung cấp khả nâng cấp, mở rộng tương lai Phần sau đề cập đến tính ưu việt hệ điều hành mạng Windows NT, tính an tồn bao gồm an tồn người dùng hệ thống, an toàn file thư mục CƠ CHẾ AN TOÀN TRÊN WINDOWS NT Như đề cập trên, kiến trúc hệ điều hành Windows NT phân thành đơn thể (còn gọi thành phần), đơn thể phân thành hai nhóm hoạt động hai chế độ: User mode Kernel mode Ở chế độ Kernel mode, đơn thể có tồn quyền truy cập đến phần cứng bao gồm khả sử dụng không hạn chế thị CPU tài nguyên hệ thống…; đơn thể Windows NT thi hành chế độ bao gồm Executive Services, Kernel, Hardware Abstraction Layer (HAL) Những hệ thống (Subsystem) chịu trách nhiệm làm môi trường ảo hỗ trợ cho ứng dụng DOS/Win16, OS/2, POSIX… hoạt động chế độ User mode, chế độ chương trình khơng trực tiếp truy cập đến phần cứng mà phải thông qua đơn thể Kernel mode Việc đặt hệ thống chế độ User mode giúp cho nhà thiết kế dễ dàng việc thay đổi, bổ sung thành phần mà không làm ảnh hưởng đến thành phần khác Kernel mode Trong môi trường Windows NT, ứng dụng chia sẻ với tài nguyên hệ thống bao gồm nhớ, thiết bị nhập xuất, file, xử lí… giám sát chặt chẽ hệ điều hành thông qua chế an toàn đáng tin cậy, đảm bảo ứng dụng truy cập đến tài nguyên không phép Về mặt nội bộ, Windows NT xem tất tài nguyên hệ thống, bao gồm tập tin (file) đối tượng Việc tạo, đặt tên hủy đối tượng thông qua thành phần thực thi thuộc Kernel mode gọi Object Manager - trình quản lý đối tượng Ngồi Object Manager cịn có nhiệm vụ bảo vệ đối tượng khỏi xự xâm phạm đối tượng khác, giám sát sử dụng đối tượng đối tượng dùng tài ngun Như vậy, đối tượng tạo gán tên kèm theo thơng tin an tồn áp đặt đối tượng đó, thơng tin lưu trữ cấu trúc xác định gắn kèm với đối tượng Một cách tổng quát, tất đối tượng bảo vệ (các tài nguyên hệ thống, người dùng ) Windows NT dùng chung phương thức thiết lập xác nhận việc truy cập Điều đảm bảo có người cố truy cập đến file đĩa hay đến tiến trình nhớ phận hệ thống thực việc kiểm tra tính hợp lệ phân định kiểu đối tượng truy cập đến, việc kiểm tra dựa thơng tin an tồn đối tượng thân người truy cập Một đặc điểm bật Windows NT mà không nhắc đến chế an tồn hệ thống file NTFS NTFS (New Technology File System) hệ thống file tiên tiến, mang nhiều đặc tính bật so với nhiều hệ thống file khác như: tốc độ thao tác file nhanh, độ tin cậy an tồn cao Ngồi NTFS cịn cung cấp chế điều khiển việc truy cập liệu, phân định quyền truy cập… đặc biệt khả Recoverable tức khả khơi phục liệu có cố bất ngờ xảy Những đặc điểm giúp tăng độ tin cậy hệ thống, thích hợp với môi trường cộng tác nhiều người dùng Sơ đồ mô tả cách tổng quát chế an tồn Windows NT biểu diễn sơ đồ Windows NT Security Components Dựa sơ đồ ta nhận thấy chế an toàn Windows NT bao gồm số thành phần sau: Tiến trình đăng nhập (Logon Proccess): hoạt động chế độ User mode, chịu trách nhiệm nhận yêu cầu đăng nhập từ người dùng, bao gồm việc thể hộp thoại thơng báo đăng nhập có tên người dùng mật người Local Security Authority (LSA): đảm bảo người dùng có quyền đăng nhập vào hệ thống hay không LSA thành phần trung tâm Hệ thống an tồn Windows NT (Security Subsystem), tạo nên Thẻ truy xuất bảo mật (Security Access Token) (giống giấy chứng nhận xuất nhập cảnh trình bày phần sau), điều khiển hành vi an toàn cục bộ, cung cấp dịch vụ xác nhận tính hợp lệ người dùng tương tác LSA cịn xác nhận thơng báo kiểm tra Bộ phận giám sát an toàn (Security Reference Monitor) tạo Bộ phận giám sát an toàn (The Security Reference Monitor - SRM) phận chịu trách nhiệm giám sát hành vi truy cập thông qua chế an tồn nội Nói cách khác, yêu cầu tạo hay truy cập đến đối tượng phải thơng qua SRM Nó cung cấp dịch vụ phục vụ cho việc thiết lập truy cập đến đối tượng, phân quyền phát sinh thông báo cần thiết Bộ phận quản lý tài khoản người dùng (Security Account Manager - SAM): lưu trữ sở liệu chứa thông tin tài khoản tất người dùng nhóm người dùng SAM cung cấp dịch vụ cho LSA sử dụng việc xác lập tính hợp lệ người dùng Tất thành phần hoạt động phối hợp với nhau, hình thành Hệ thống an tồn (Security Subsystem) Hệ thống an tồn có trách nhiệm thực thao tác an toàn toàn hệ điều hành Windows NT Windows NT Security Components Như vậy, chế an toàn hệ thống Windows NT áp dụng chủ yếu việc quản lý người dùng quản lý đối tượng (các đối tượng xem tài nguyên hệ thống) Cụ thể gồm phần chính: Kiểm sốt đối tượng truy cập Kiểm soát việc truy cập liệu Kiểm soát đối tượng truy cập quản lý người dùng truy cập vào hệ thống thông qua chế kiểm sốt q trình đăng nhập như: kiểm tra mật khẩu, định danh người dùng, chế xác lập mật khẩu, thời gian tồn mật khẩu, chế phát số lần nhập mật sai (Audit), hạn chế thời gian truy cập vào hệ thống… Sau người dùng vào hệ thống cách hợp lệ, phần lại chế an tồn Kiểm sốt việc truy cập liệu, tài nguyên người cách dùng chế quyền áp dụng đối tượng truy cập, phân loại tài nguyên truy cập, giám sát truy cập… NHỮNG THƠNG TIN VỀ AN TỒN Một số cấu trúc chung : Trên Windows NT, tất đối tượng có tên chịu giám sát hệ thống thơng qua chế an tồn, kể số đối tượng khơng có tên Nói cách khác, đối tượng Windows NT bảo vệ Những thơng tin (cịn gọi thuộc tính) an toàn đối tượng lưu trữ cấu trúc mô tả bảo mật (Security Descriptor) kèm theo đối tượng, cấu trúc bao gồm thuộc tính chuẩn áp dụng cho hầu hết đối tượng Windows NT (bao gồm đối tượng có tên, tiến trình có tên khơng có tên, tiểu trình, đối tượng thẻ bài, đối tượng semaphore, đối tượng event…), thuộc tính mô tả sau: Owner security ID: số bảo mật người dùng hay nhóm sở hữu đối tượng Người chủ sở hữu đối tượng thay đổi quyền gán đối tượng Group security ID: số bảo mật nhóm, số áp dụng hệ thống POSIX Discretionary ACL (Access Control List - ACL): gọi Danh sách điều khiển truy cập chủ sở hữu Người chủ sở hữu đối tượng có quyền thay đổi nội dung danh sách này, phân định có hay khơng có quyền truy cập đến đối tượng System ACL: ACL dùng để điều khiển việc phát sinh thông báo xác nhận hệ thống Người quản trị mạng sửa đổi danh sách Ví dụ: Security Descriptor ACL file xác định: Security Descriptor cho đối tượng Windows NT biểu diễn phương pháp: phương pháp tuyệt đối (Absolute) phương pháp tương đối (Self-Relative) Phương pháp tuyệt đối : Các thành phần Security Descriptor trỏ đến thành phần thực chứa thông tin Phương pháp giúp cho thành phần định vị riêng biệt, thích hợp có vài phần có sẵn Phương pháp tương đối : Các thành phần Security Descriptor nằm cấu trúc liệu xếp theo khối liên tục, thành phần khối truy xuất dựa độ lệch (offset) so với phần đầu khối Phương pháp thích hợp để lưu trữ Security Descriptor thiết bị nhớ thứ cấp băng từ…hoặc truyền Security Descriptor đến vùng mà không dùng kiểu lưu trữ trỏ phương pháp tuyệt đối Security Descriptor biểu diễn phương pháp: Số bảo mật (SID) số phát sinh kĩ thuật băm (hash) dùng để phân biệt người dùng (hoặc nhóm người dùng) với người dùng khác đồng thời dùng để định danh người với hệ thống Nội dung SID phát sinh dựa thông tin như: tên máy tính, thơng tin người dùng, thơng tin vùng (domain), ngày, hệ thống… Cấu trúc SID nhìn thấy dạng sau: S - R - X - Y1 - – Yn Trong đó: S kí hiệu (Series of digits) phân định SID; R cấp độ tham khảo đến (Revision level); X giá trị Identifier Authority, Y1 Yn giá trị SubAuthority Giá trị Identifier Authority thông tin quan trọng SID, thường định danh tổ chức phát hành SID Ví dụ: SID có dạng S-1-4138-86 mức độ tham khảo lần 1, giá trị Identifier Authority 4138, SubAuthority 86 Access Control List danh sách liên kết mà phần tử danh sách Access Control Entry (ACE), ACE có chứa Số bảo mật (SID) phân biệt người dùng hay nhóm người dùng danh sách quy định người dùng hay không phép truy cập đến đối tượng (còn gọi mặt nạ truy cập – Access Mask) ACE có loại, hai loại dành cho Discretionary access control (điều khiển truy cập tùy nghi) dành cho System security Discretionary ACE gồm AccessAllowed and AccessDenied, ám việc cho phép hay không truy cập người dùng hay nhóm người dùng đến đối tượng System ACE (SystemAudit) dùng để mô tả kiện an toàn (chẳng hạn truy cập vào đối tượng gì) để phát sinh thơng báo xác nhận an toàn Cấu trúc liệu ACE: Mặt nạ truy cập (Access Mask) ACE tập hợp quyền mà người dùng phép hay không phép áp dụng đối tượng Access Mask chứa loại thông tin truy cập: kiểu truy cập xác định (Specific), kiểu truy cập chuẩn (Standard – kiểu áp dụng cho đối tượng) kiểu chung (Generic – ánh xạ đến kiểu trên) Mỗi đối tượng có đến 16 kiểu truy cập xác định, có định nghĩa kiểu đối tượng Ví dụ: Một đối tượng file có kiểu truy cập sau: ReadData – Đọc liệu WriteData – Viết AppendData – Bổ sung ReadEA (Extended Attribute) – Đọc với thuộc tính mở rộng WriteEA (Extended Attribute) – Viết với thuộc tính mở rộng Execute – Thi hành ReadAttributes – Đọc thuộc tính WriteAttributes – Gán thuộc tính Ngồi kiểu truy cập trên, đối tượng cịn có kiểu truy cập chuẩn (standard types) bao gồm: SYNCHRONIZE: dùng để đồng việc truy cập cho phép tiến trình chờ đối tượng để đưa vào trạng thái báo hiệu đánh thức (Signal) Kiểu áp dụng có nhiều tiến trình người dùng truy cập đến đối tượng mà thời điểm cho phép tiến trình sử dụng WRITE_OWNER: dùng để gán cho người viết liệu WRITE_DACL: dùng để phân phối ngăn cấm quyền Viết lên Danh sách điều khiển truy cập ACL READ_CONTROL: dùng để phân phối ngăn cấm quyền Đọc lên bảng mô tả an toàn (security descriptor) hay chủ sở hữu DELETE: dùng để phân phối ngăn cấm việc xóa đối tượng Quản lý tài khoản người dùng: Tài khoản nơi chứa thông tin nhằm giúp xác nhận người dùng vào hệ thống quản lý việc truy cập người dùng đến đối tượng hệ thống Tài khoản người dùng thường lưu sở liệu Security Account Manager (SAM) Trong Windows NT, tài khoản chia làm loại: cục (local account) toàn cục (global/domain account) mà khác loại khả quyền hạn đối tượng, tài nguyên Đối với local account, phạm vi hoạt động nội trạm Windows NT thích hợp cần truy cập đến tài nguyên nội trạm (trên Windows NT Server, kiểu tài khoản local account, người dùng đăng nhập cách cục mà phải đăng nhập từ mạng), cịn domain account khả mở rộng phạm vi định (vùng- domain) ảnh hưởng đến nhiều trạm phạm vi Domain account lại nhìn góc độ Groups Accounts (Tài khoản nhóm) User Accounts (Tài khoản người dùng) Groups Accounts dùng để đơn giản hóa cơng việc điều hành hệ thống phân phối quyền hạn (permissions) truy cập đến tài nguyên Do đó, người dùng thành viên nhóm tài khoản người thừa hưởng quyền hạn mà tài khoản nhóm có Một số ưu điểm việc dùng tài khoản nhóm: Quyền hạn phân phối cho lúc tất thành viên nhóm Quyền hạn thu hồi từ tất thành viên nhóm Quyền hạn người dùng tự động bị thu hồi người khơng cịn thành viên nhóm Khi có nhiều người gia nhập nhóm quyền hạn cần thiết phân phối cho người mà khơng cần phải phân quyền cho cá nhân với loại quyền hạn Một số nhóm cài sẵn (built-in) mang tính cục Windows NT Domain controller: Administrators, Backup Operators, Account Operators, Guests, Print Operators, Replicator, Server Operators, Users Và số nhóm tồn cục domain như: Domain Admins, Domain Guests, Domain Users Ngồi ra, có số nhóm Windows NT Workstation Server không thuộc domain như: Administrators, Backup Operators, Power Users, Guests, Replicators, Users Và có nhóm ngầm định tồn máy tính NT (domain controller, server, workstation): INTERACTIVE: ám người dùng tham gia cách cục NETWORK: người dùng tham gia thông qua mạng EVERYONE: INTERACTIVE + NETWORK SYSTEM: hệ điều hành CREATOR OWNER: tạo đối tượng Những Users Accounts ngầm định tạo trình cài đặt Windows NT Server Administrator Guest Administrator tài khoản dùng cho việc quản trị máy Server, tài khoản cung cấp cho người dùng khả như: Tạo quản lí tài khoản người dùng Tạo quản lí nhóm tồn cục Tạo quản lí nhóm cục Gán quyền cho người dùng (user right) Khóa máy Server Định dạng đĩa cứng Server Tạo nhóm chung Lưu giữ bảng tóm tắt tiểu sử (profile) Quản lí việc chia sẻ thư mục 10 Quản lí việc chia sẻ máy in mạng Khi người dùng đăng nhập vào hệ thống tên khơng tồn Windows NT cố gắng đăng nhập người tài khoản Guest Do tài khoản Guest khơng gán mật sau vào hệ thống, người dùng đăng nhập tài khoản Guest thực số thao tác có nguy vi phạm tính an tồn hệ thống (như việc chia sẻ tên đối tượng ) Ngầm định, tài khoản Guest bị vơ hiệu hóa máy NT Server cài đặt Có số thuộc tính liên quan đến tài khoản người dùng cần thiết thiết lập tài khoản: User name : tên người dùng, dài khơng q 20 kí tự, domain Initial Password (tùy chọn): mật khởi tạo, dài khơng q 14 kí tự Full Name: tên đầy đủ người dùng Change Password at Next Logon (Yes/No) User Cannot Change Password (Yes/No) Password Never Expires (Yes/No): mật không bị vô hiệu hóa Account Disabled (Yes/No): vơ hiệu hóa tài khoản Home Directory: thư mục làm việc tài khoản Logon Script 10 Profile 11 Account Type: kiểu tài khoản (local/global) 12 Logon Hours: thời gian ngày mà tài khoản có hiệu lực 13 Dialin 14 Logon Workstation: danh sách máy trạm mà người dùng đăng nhập 15 Expiration date: ngày mà tài khoản bị vơ hiệu hóa (ngày hết hạn) 16 Groups: danh sách nhóm mà người dùng tham gia  ... ưu việt hệ ? ?i? ??u hành mạng Windows NT, tính an tồn bao gồm an tồn ngư? ?i dùng hệ thống, an toàn file thư mục CƠ CHẾ AN TOÀN TRÊN WINDOWS NT Như đề cập trên, kiến trúc hệ ? ?i? ??u hành Windows NT phân... (Revision level); X giá trị Identifier Authority, Y1 Yn giá trị SubAuthority Giá trị Identifier Authority thông tin quan trọng SID, thường định danh tổ chức phát hành SID Ví dụ: SID có dạng S- 1-4 13 8-8 6... sở liệu Security Account Manager (SAM) Trong Windows NT, t? ?i khoản chia làm lo? ?i: cục (local account) toàn cục (global/domain account) mà khác lo? ?i khả quyền hạn đ? ?i tượng, t? ?i nguyên Đ? ?i với