none
Síťové sdílené adresáře - možnosti zneužití oprávnění

    Obecná diskuse

  • Ahoj. Nevíte někdo jak funguje vnitřně nebo alespoň jak je zabezpečené "distribuování oprávnění" po síti? Např. na serveru nastavím sdílení na nějaký adresář, nastavím mu oprávnění pro sdílení pro everyone všechna oprávnění (doporučované nastavení) a poté mu nastavím nějaká ntfs oprávnění - řekněme práva pro čtení uživateli USER a plná práva syst. uživateli SYSTEM. Klient by si připojil síťový adresář buď tak, že by zadal své přihlašovací jméno a heslo nebo příp. pokud by byl v doméně, tak by už vlastně nic zadávat nemusel. Teď by mě zajímalo, zda je nějaká možnost, aby se klient po připojení představil třeba jako SYSTEM apod. a získal tak nějaká vyšší práva (kvůli nějakému viru například)? Totiž třeba uživatel SYSTEM bude mít asi všude stejné SID, tak aby se to nedalo zneužít, protože jak jsem pochopil, je možné přistupovat ke sdílenému adresáři nejen účtem, kterým jsem ho připojil, ale za jistých okolností i jinými. Hodně dlouho jsem takové informace googloval, ale jak jsem zjistil, tak lidi takovéhle věci vůbec neřeší, nicméně bylo by dobré vědět jak je to vnitřně zabezpečeno.
    25. srpna 2011 12:28

Všechny reakce

  • DD,

    systemový uživatel je systémový uživatel (není to skutečný uživatel). Nemůžete se jim přihlásit na dálku. Na jméně uživatele nezáleží. NTFS práva SYSTEM jsou použita pro místní instanci Windows.

    Viry ji mohou zneužít pokud se dostanou dovnitř do systému (pro vás to znamená pokud se dostanou na ten server) a ještě musí vystupovat jako vnitřní součást systému. Neříkám že to není možné, ale pokud se takovýto kod dostane do systému, bude pro vás možnost přebírání vlastnictví (nebo upravovat NTFS práva) ten nejmenší problém.

     


    JCH


    25. srpna 2011 12:36
  • Já to myslel tak, že si sdílení připojím pod svým uživatelským jménem, ale nějaký proces mi s ním začne pracovat pod právy syst. uživatele SYSTEM. Toto tedy není možné (tedy pokud se tomu tak nestane přímo na serveru)? Tzn. že mohu třeba uživatele SYSTEM udělat vlastníkem sdílených adresářů bez bezpečnostních rizik?
    25. srpna 2011 13:56
  • ANO. I když nechápu proč zrovna SYSTEM by měl být vlastníkem. Vlastníkem by mohl být kdokoliv.

    Pokud nemáte speciálně upravená práva pro skupinu CREATE OWNER.


    JCH
    25. srpna 2011 14:27
  • Já bych jen doplnil, že ve skutečnosti nechcete aby byl vlastníkem souborů/adresářů naprosto kdokoliv. Ve výchozím nastavení může vlastník objektů měnit jejich NTFS oprávnění (tedy i v případě kdy mu to explicitně zakážete pomocí NTFS). Vlastníkem se stanete, pokud vytvoříte daný objekt nebo vám je vlastnictví přiřazeno/převezmete si ho. 

    Co to pro vás znamená? Představte si, že sdílíte nějakou složku na serveru "\\fs\data" a uvnitř této složky si uživatel vasek vytvoří novou složku s názvem finance. Ve výchozím nastavení se stane vasek jejím vlastníkem. Po nějakém čase se rozhodnete, že uživatel vasek už nemá mít přístup do složky finance a tak mu ho odeberete (tedy, odeberete NTFS oprávnění uživateli vasek pro složku finance). Jenže vasek je vlastníkem dané složky a tak si přístup zase v klidu přidá - udělá co potřebuje - a pak si sám sebe zase odebere. Takže ačkoliv to vypadá, že tam přístup mít nemá, může si bez problémů přidat. Případně si stejnou situaci představte na jednotlivých souborech...

    Co se týče CREATOR OWNER nejedná se o skupinu, ale o zvláštní identitu, která vlastníkovi (který vytváří objekt) přidělí taková NTFS oprávnění, která nastavíte této identitě. To ale nijak neovlivní výchozí nastavení práv v systému - tedy, že vlastník objektu může měnit NTFS oprávnění. Pokud chcete omezit práva vlastníka můžete (od Vista+) s výhodou použít OWNER RIGHTS viz http://technet.microsoft.com/en-us/query/cc138011.

     

    29. srpna 2011 9:56