A felhasználók hitelesítése és jogosultságaik kezelése. A felhasználói csoportok és a csoportjogok. Az engedélyek.

Question 1

Hitelesítés

Answer 1

Az a folyamat, amelynek során a rendszer ellenőrzi, hogy egy adott felhasználó vagy objektum valóban az-e, akinek v. aminek vallja magát, pl. digitális aláírás ellenőrzése, a felhasználók és a számítógépek azonosítása.
A Windows Server család hitelesítő mechanizmusai lehetővé teszik a teljes hálózat összes erőforrásának egyszeri bejelentkezéssel való elérését. A felhasználó – miután jelszóval vagy intelligens kártyával bejelentkezett a tartományba – hitelesítve lesz a tartományhoz tartozó összes gépen.
kép1

Question 2

Hitelesítés típusok

Answer 2

LM – Win95-98, Veszélyes már
NTLMv1 – WinNT4, Gyenge
NTLMv2 – NT4 sp4 óta, Megfelelő
Kerberos – XP, Vista, Legbiztonságosabb
Kerberos V5 – jelszó/intelligens kártya, szolgáltatások esetén
SSL/TLS – webkiszolgálóhoz való hozzáféréseknél használt protokoll
NTLM – windows korábbi verzió esetén
Kivonatoló hitelesítő - A kivonatoló hitelesítés MD5 kivonat v. üzenetkivonat formájában továbbítja a hitelesítési adatokat a hálózaton keresztül.
Passport-hitelesítés - Olyan felhasználókat hitelesítő szolgáltatás, amely csak egyetlen bejelentkezést tesz szükségessé.

Question 3

Kerberos

Answer 3

Nyílt hálózat esetén: csak a szokásos jelszavas hitelesítés, a felhasználónak minden, a hálózaton elérhető szolgáltatáshoz külön hitelesítenie kell magát, jelszó használatával.
Kerberos: a felhasználónak csak egyszer kell regisztrálnia magát és a hálózati munkamenet teljes ideje alatt megbízhatóvá válik.
‒ Alapvetően szimmetrikus v. titkos kulcsú kriptográfián alapul. Megosztott titkokon alapuló hitelesítést használ, azaz a titkos kulcsot csak a két kommunikáló fél ismeri.
‒ A titkos kulcsú kommunikáció lényege, hogy létezik egy “közös” kulcs, amit a kommunikáló felek használnak, ezzel titkosítják egymásnak az üzeneteiket

Question 4

Kerberos jegy igazolvány

Answer 4

Igazolvány: A Kerberos két típusú igazolványt ismer: jegyet és hitelesítőt.
Jegy tartalmazza:
• a kiszolgáló és a kliens nevét,
• a kliens internetes címét,
• egy időbélyeget,
• az életciklust,
• egy véletlenszerűen generált kulcsot.
titkosítva a kiszolgáló kapcsolati kulcsával (session key).

Question 5

Kerberos hitelesítő igazolvány

Answer 5

Hitelesítő: A kliens készíti. A jeggyel együtt használva biztosítja, hogy a kliens valóban az, akinek mondja magát.
Tartalma:
• A kliens neve,
• IP-címe,
• a munka-állomás aktuális ideje
titkosítva a kapcsolati kulccsal!
A kapcsolati kulcsot csak a munkaállomás és a szolgáltatást nyújtó kiszolgáló ismeri. Egy hitelesítő csak egyszer használható - szemben a jeggyel.

Question 6

Kerberosnál az alany (principal)

Answer 6

Egy egyedi azonosító (felhasználó vagy szolgáltatás), amelyhez jegy rendelhető.
Az alany komponensei:
28. primary – az alany első része, amely felhasználó esetén megegyezhet a felhasználónévvel.
29. instance – elhagyható, a “primary” mezőt jellemző adatok. / karakterrel kerül elválasztásra a “primary” mezőtől.
30. realm – általában a domain neve, nagybetűs karakterekkel.

Question 7

Kölcsönös hitelesítés

Answer 7

A kliens és a kiszolgáló egyaránt megbizonyosodhat a másik azonosságáról. Közös kapcsolati kulcson osztoznak, és ezt használják a titkosított kommunikációra.

Question 8

Kapcsolati kulcs

Answer 8

A Kerberos által előállított ideiglenes privát kulcsok. Ezeket a kliens ismeri és ezekkel titkosítja a kiszolgáló és a munkaállomás közötti kommunikációt a jegy kérésének és megérkezésének folyamata alatt.

Question 9

Ismétlés

Answer 9

Szinte az összes hálózati csomag lehallgatható és újraküldhető. A Kerberos esetén ez különösen veszélyes lehet, mert a támadó megszerezheti a szolgáltatáskérést, amely tartalmazza a jegyet és a hitelesítőt, melyet megszemélyesítés céljából újra küldhet. A Kerberos képes a probléma kezelésére.

Question 10

Kerberos működése

Answer 10

Külső, bizalom alapú hitelesítő szolgáltatás, minden kliens megbízik a Kerberos ítéletében, hogy a többi kliens személyazonossága érvényes-e.
31. Egy adatbázisban tárolja a felhasználóit és a privát kulcsokat.
32. Kerberos megbízhatósága: a hitelesítő és a jegykiadó kiszolgáló külön gépen, kizárólag az adminisztrátor érheti el.
33. Probléma a kulcsmenedzsment.
34. Bevezettek egy ún. harmadik félt, azaz a kulcselosztó központot (Key Distribution Center - KDC), amely segítségével az ügyfél és a kívánt szolgáltatás egymásra találhat. A KDC egy megbízható, biztonságos kiszolgálón fut, ő kezeli az egész tartomány biztonsági adatbázisát.
1. A felhasználó – jelszó v. intelligens kártya használatával – hitelesíti magát a kulcsszolgáltató számára.
2. A kulcsszolgáltató speciális jegymegadó jegyet biztosít az ügyfélnek, a jegymegadási szolgáltatás (TGS) elérésére.
3. A jegymegadási szolgáltatás szolgáltatásjegyet biztosít az ügyfélnek.
4. Az ügyfél ezt a szolgáltatásjegyet - ami az ügyfelet is hitelesíti a szolgáltatás számára, és a szolgáltatást is az ügyfél számára - mutatja be a kért hálózati szolgáltatásnak.
- A Kerberos V5 szolgáltatásai minden tartományvezérlőn telepítve vannak, a Kerberos-ügyfél minden munkaállomásra, ill. kiszolgálóra telepítve van.
- Minden tartományvezérlő kulcsszolgáltatóként működik.
- Az ügyfél DNS-lekérdezéssel keresi meg a legközelebbi tartományvezérlőt, amely kulcsszolgáltató a felhasználó számára a bejelentkezés alatt.
- Ha az elsődleges kulcsszolgáltató elérhetetlenné válik, a rendszer új kulcsszolgáltatót keres a hitelesítés végrehajtásához.
Balázs: üzenet Péternek: saját neve + az előre megosztott titkos kulccsal kódolt hitelesítő (itt Balázs neve és a Balázs gépén mért pontos idő). Péter: fogadja, mert olyantól származik, aki Balázsnak állítja magát. A megosztott kulccsal dekódolja a hitelesítőt, összehasonlítja a hitelesítőből nyert időt saját órájával, és ha az eltérés kevesebb, mint 5 perc, akkor elfogadja az üzenetet. A kapott hitelesítőből kiveszi a Balázs gépén mért időt, és újra kódolja a megosztott titkos kulccsal. Így Balázs is megnyugodhat, hogy tényleg Péterrel kommunikál, hiszen csak ő módosíthatta a hitelesítőt. Az eredeti hitelesítőt bárki visszaküldhette volna, de módosítani csak a kulcstulajdonos tudja.
‒ Balázs bejelentkezik: küldi saját adatait, igényelt szolgáltatást, a hosszú távú kulccsal titkosított (KBalázs) hitelesítőt a KDC-nek.
‒ A KDC fogadja. A biztonsági adatbázisból (AD) kikeresi Balázs hosszú távú kulcsát és megpróbálja dekódolni a hitelesítőt, ha sikerül, akkor valóban Balázzsal áll szemben. A válaszhoz generál egy szakaszkulcsot (SBalázs), amit Balázs hosszú távú kulcsával titkosít és hozzácsatolja a TGT-t (Ticket-Granting Ticket: a Kerberos szervertől kapott speciális jegy), ami a további jegyek igényléséhez szükséges.
‒ A választ Balázs dekódolja saját hosszú távú kulcsával, így hozzájut a szakaszkulcshoz (SBalázs), amit a további kapcsolatfelvétel során használnia kell, illetve a TGT-hez, amelyet szintén elment a gépére.
Balázs egy TGS kéréssel fordul a KDC-hez, amelyben megnevezi az igényelt szolgáltatást. Az előzőekben kapott szakaszkulcs segítségével elkészít egy hitelesítőt, melyhez mellékeli a TGT-t.
‒ A KDC saját mesterkulcsával (KTGS) dekódolja a TGT-t, amelyből megkapja Balázs szakaszkulcsát (SBalázs), ezzel tudja leellenőrizni a hitelesítőt, azaz a kérés hitelességét. Ha mindent rendben talált, akkor kikeresi a biztonsági adatbázisból az igényelt szolgáltatás hosszú távú kulcsát és generál egy új szakaszkulcsot (SBalázs; Péter), amit majd Balázs és Péter fog használni a későbbiekben. Az új szakaszkulcsot (SBalázs; Péter) titkosítja Balázs által küldött szakaszkulccsal (SBalázs), ill. még kiegészíti Péter számára szánt információkkal, amit Péter hosszú távú kulcsával (SPéter) titkosít.
‒ Balázs szakaszkulcsával (SBalázs) dekódolja a választ, ami tartalmazza az új szakaszkulcsot (SBalázs; Péter), ill. a szakaszjegyet és a rá vonatkozó adatokat.
Balázs most már közvetlenül felveheti a kapcsolatot Péterrel, hiszen rendelkezik a szakaszkulccsal (SBalázs; Péter), mely Péter szolgáltatásához szükséges. Balázs generál egy újabb hitelesítőt az új szakaszkulccsal (SBalázs; Péter), majd ehhez hozzácsatolja a szakaszjegyet és a hozzá tartozó információkat.
‒ Péter fogadja, hosszú távú kulcsával (KPéter) dekódolja és megkapja a szakaszkulcsot (SBalázs; Péter), valamint a Balázsról szóló információkat. A kapott szakaszjegy segítségével ellenőrizni tudja a Balázstól kapott hitelesítőt, amit Balázs az (SBalázs; Péter) szakaszkulccsal titkosított.
‒ Kölcsönös hitelesítés: Péternek meg kell változtatni a hitelesítőt, amit majd a szakaszjeggyel (SBalázs; Péter) kódolva visszaküld Balázsnak. Így mindkét fél meggyőződhet a másik fél kilétéről és biztos lehet abban, hogy azzal áll szemben, akivel szeretne.

Question 11

SSL/TLS hitelesítés

Answer 11

• Segítségével szabályozható, hogy mely titkosítási eljárások és kriptográfiai algoritmusok legyenek engedélyezve. Alapértelmezés szerint minden titkosítási eljárás használható.
• Kliens és a szerver hitelesítésére, a kommunikáció bizalmassága.
• A TCP/IP-re épülő alkalmazások felé teremti meg a hálózat két pontja között a biztonságos kapcsolat lehetőségét.

Question 12

SSL/TLS gyenge pontjai

Answer 12

• Gyenge pontjai:
  • A kommunikáció monitorozása a végpontok kilétét felfedi.
  • Csak az átvitel folyamán védi az adatokat, a végpontokon már nem. Megoldás: állomány-szintű hitelesítés, titkosítás (digitális aláírás).
  • Webszerver tanúsítványának nem megfelelő ellenőrzése (lehetőség man-in-the-middle támadás lehetősége)

Question 13

NTLM hitelesítés

Answer 13

Hálózati környezetben a két számítógép közötti tranzakciók hitelesítési protokollja, ha az egyik, vagy mindkét számítógép Windows NT 4.0 vagy korábbi rendszert futtat (vegyes üzemmódú hálózatok).
Az NTLM ezenkívül olyan számítógépek hitelesítési protokollja is, amelyek nem tagjai egy tartománynak (pl. egyedülálló kiszolgálók és munkacsoportok).
A jelszavak tárolása un. Hash értékek formájában történik.

Question 14

Kerberos vs. NTLM

Answer 14

NTLM esetén a felhasználói jelszavakból előállított kivonat többször megjelenik a hálózaton, ami bizonyítottan nem biztonságos.
A tartományok közti hitelesítés kettőnél több tartománynál meglehetősen bonyolulttá és kezelhetetlenné teszi a rendszert.
Kölcsönös hitelesítés: A Kerberos az NTLM-mel ellentétben nem tesz különbséget kiszolgáló és ügyfél között. Így mindenki, aki szolgáltatást biztosít mások számára az kiszolgálónak számít és aki a rendszerben valamilyen szolgáltatást szeretne igénybe venni az ügyfélnek számít.
Gyorsabb kapcsolat: A Kerberos esetén a kiszolgáló hitelesítheti az ügyfelet, így nincs szükség a tartományvezérlő (Domain Controller) közreműködésére. Kisebb hálózati terhelést és gyorsabb kapcsolatot tudunk reprodukálni, valamint az NTLM-mel ellentétben, ha az ügyfél már egyszer megszerezte a kapcsolati jegyet (session ticket) az adott kiszolgálóhoz, azt többször is felhasználhatja.
Átruházható hitelesítés: Vannak elosztott rendszerek, ahol a megszemélyesítést egy köztes programelem végzi, az ügyfél kéréseit kiszolgáló egyéb elemeket ő hívja meg az ügyfél nevében. A Kerberos protokoll biztosítja, hogy egy szolgáltatás megszemélyesítse az ügyfelet, amely hozzá fordult, míg ez az NTLM-ből hiányzik.
Együttműködési képesség más platformokkal: képes együttműködni a Kerberos v5. protokollt használó rendszerekkel.
Egyszerűbb bizalmi rendszer-kezelés: A Windows tartományok közti bizalmi viszonyok kezelését a Kerberos által nyújtott kétirányú és tranzitív kapcsolatok leegyszerűsítik.
Tranzitivitás: ha egy A tartomány kapcsolatban áll egy B-vel, a B pedig egy C-vel, akkor az A tartomány automatikusan megbízotti viszonyba kerül C-vel is.

Question 15

Kerberos hátrányai

Answer 15

Ha a Kerberos szerver leáll, senki nem tud bejelentkezni. Több Kerberos szerver és egyéb hitelesítési mechanizmusok használata szükséges.
Szigorú időkövetelmények, az érintett állomások óráinak szinkronizálása és értékhatáron belül tartása. Ha a fogadó fél órája nincs szinkronban a szerver órájával a hitelesítés sikertelen lesz (eltérési határ max. 5 perc lehet).
Minden hitelesítést egy központi szerver KDC irányít, egy betörés során bármelyik felhasználó megszemélyesíthetővé válik.
Hozzáférés-vezérlés
1. Rendszergazdai lehetőségek:
A felhasználói hitelesítés mellett szabályozhatja az erőforrásokhoz v. objektumokhoz (felhasználó, számítógép v. szervezeti egység) történő hálózati hozzáférést is.
Biztonsági leírókat (security descriptor) kell hozzárendelnie az objektumokhoz – melyek tárolását az AD végzi. Biztonsági leíró: az objektumhoz hozzáférési engedéllyel rendelkező felhasználók és csoportok, a hozzájuk rendelt tényleges engedélyek listája. Az objektumhoz történő hozzáféréssel kapcsolatos különböző naplózandó események is.
Beállíthatja az engedélyeket, elvégezheti a tulajdonos hozzárendelését és figyelheti a felhasználói hozzáférést.
Nem csak egy adott objektum elérését, hanem az objektum egyes attribútumainak elérését is szabályozhatja.

Question 16

Engedélyek

Answer 16

Az adott felhasználó v. csoport milyen típusú hozzáféréssel rendelkezik az adott objektumhoz v. objektumtulajdonsághoz. Célszerű csoportokhoz rendelni.
Objektumengedélyeket a következőkhöz lehet rendelni:
- Csoportok, felhasználók, a tartomány különleges identitásai.
- A tartományban v. a megbízható tartományok valamelyikében lévő csoportok és felhasználók.
- Azon számítógép helyi csoportjai és felhasználói, amelyen az objektum található.

Question 17

Általános engedélyek

Answer 17

Általános engedélyek: Az objektumok túlnyomó részéhez hozzárendelhetők.

35. Olvasás engedélyek
36. Módosítás engedélyek
37. Új tulajdonos beállításának engedélye
38. Törlés

Question 18

Az engedélyek beállítása

Answer 18

Megadható a csoportok és a felhasználók hozzáférési szintje. Pl. beállítható, hogy az egyik felhasználó olvashassa a fájl tartalmát, egy másik módosíthassa, míg az összes többi felhasználó ne érhesse el a fájlt.

Question 19

Az engedélyek módosítása

Answer 19

Ha pl. adott fájlhoz tartozó engedélyeket szeretnénk megváltoztatni, akkor j.g. a fájl nevére, Tulajdonságok (Properties) parancs, Biztonság (Security) lap.

Question 20

Objektumok tulajdonjoga

Answer 20

Alapértelmezés szerint az objektum tulajdonosa a létrehozója. A tulajdonos bármikor megváltoztathatja az objektumhoz rendelt engedélyeket.

Question 21

Engedélyek öröklődése

Answer 21

A tárolóban lévő objektumok automatikusan öröklik a tároló örökölhető engedélyeit. Pl. egy mappában fájlokat hozunk létre, azok öröklik a mappa engedélyeit. Csak az öröklésre kijelölt engedélyek fognak öröklődni.
prop» sec»advanced

Question 22

Jogosultságok általában

Answer 22

Definiálják a hozzáférés típusát egy erőforráshoz a felhasználó, csoport v. számítógép számára
A jogosultságokat objektumokon érvényesítjük (fájlok, könyvtárak, printerek, stb.)
A jogosultságokat felhasználók és csoportok számára adjuk ki (lokálisan <> címtárban)

Question 23

Felhasználói jogok (1)

Answer 23

A számítógépes környezet felhasználói és csoportjai számára bizonyos bejelentkezési és egyéb engedélyek.

Question 24

Címtárobjektumokhoz tartozó hozzáférési jogok

Answer 24

‒ Hasonló, mint állományrendszer esetében.
‒ Elvben minden címtárobjektum esetében szabályozható, de általában a szervezeti egységeken és a csoportházirendobjektumokon szokás beállítani.
‒ Beállítás: j.g» Properties » Security (csak akkor jelenik meg, ha be van kapcsolva View » Advanced Features (Speciális lehetőségek)).

Question 25

Összetett hozzáférési szintek

Answer 25

Több elemi jogra bonthatók.
Full Control – Teljes hozzáférés: a felhasználó minden lehetséges műveletet elvégezhet az adott objektumon.
Read – Olvasás: a felhasználó olvashatja az objektum attributumait (adatait), és a hozzá tartozó hozzáférési jogokat.
Write – Írás: a felhasználó megváltoztathatja az objektum adatait.
Create All Child Objects – Az összes gyermekobjektum létrehozása: tartományban v. szervezeti egységben a felhasználó létrehozhat alárendelt objektumokat.
Delete All Child Objects – Az összes gyermekobjektum törlése:
tartományban v. szervezeti egységben a felhasználó törölhet alárendelt objektumokat.

Ha nem akarjuk, hogy egy objektum örökölje az őt tartalmazó tároló jogait, ki kell kapcsolni az öröklést. A felhasználói jogok összeadódnak.