Программирование серверных приложений

Программирование контекста пользователя

admin — Thu, 02 Sep 2010 14:37:17 +0000

Мы изучим некоторые мощные и интересные операции, которые можно реализовать посредством управления маркерами в Windows 2000. Сначала нам потребуется получить описатель маркера. Начнем с получения описателя маркера процесса.
Функция OpenProcessToken возвращает описатель маркера процесса. Параметр hProcessHandle — это описатель процесса, для которого нам требуется открыть маркер. К сожалению, система не позволяет передать NULL и указать тем самым, что вам нужен описатель собственного процесса. И все же GetCur-rentProcess позволяет получить псевдоописатель, который можно передать в параметре hProcessHandle. Параметр dwDesiredAccess указывает, как использовать маркер. Вам следует запросить только необходимые коду права. Ниже перечислены имеющиеся в системе права доступа к маркеру . Большинство из упомянутых функций обсуждаются ниже.
Переменная, адрес которой передается как параметр phTokenHandle, получает описатель запрошенного маркера. Возвращенное функцией OpenProcessToken значение TRUE указывает, что вызов был успешным; FALSE сообщает, чтс произошла ошибка и следует вызвать GetLastError для получения подробной информации.
Наиболее вероятная причина сбоя при вызове OpenProcessToken — недостаточные права доступа; но если ваша служба выполняется в контексте пользователя LocalSystem, она скорее всего обладает нужными правами на маркер любого процесса .
Объекты «маркер» — это объекты ядра, и, как и в случае с большинством объектов ядра, по завершении использования ресурса вам следует передать описатель объекта «маркер» функции CloseHandle.

Приложение TokenMaster

admin — Wed, 25 Aug 2010 14:39:17 +0000

В приложении TokenMaster («11 TokenMaster.exe») используются системные функции для работы с маркерами, включая GetTokenlnformation и SetToken-Information. Исходный код и файлы ресурсов находятся в каталоге 11-TokenMaster прилагаемого к книге компакт-диска. TokenMaster позволяет получить маркер процесса, получить маркер потока, получить маркер, указав реквизиты пользователя или дублировать маркер. Кроме того, TokenMaster позволяет просматривать и изменять информацию маркера. При запуске TokenMaster открывается диалоговое окно.
Исходный код приложения поможет вам понять, как реализуются обсуждавшиеся выше концепции. Приложение TokenMaster позволит вам изучить многие функции пользовательского контекста в Windows 2000. Прежде чем обсудить некоторые методы программирования, я подробно опишу TokenMaster, чтобы с помощью этого приложения вы проверили некоторые из концепций данной главы.
При запуске TokenMaster сначала проверяет свой собственный контекст пользователя. Если приложение выполняется под учетной записью, отличной от LocalSystem, оно, чтобы модернизировать себя:
1. перебирает выполняющиеся в системе процессы и находит процесс System;
2. с помощью OpenProcessToken получает описатель маркера процесса System;
3. с помощью CreateProcessAsUser (подробности см. далее в этой главе) запускает себя в контексте пользователя LocalSystem;
4. при успешном выполнении трех предыдущих этапов TokenMaster завершает работу, зная, что запущен более мощный экземпляр этого приложения.
Функции приложения TokenMaster, запущенного с учетной записью Local-System, будут скорее обучающими. Чтобы увидеть все возможности TokenMaster:
1. зарегистрируйтесь в системе с учетной записью администратора.
2. с помощью созданного приложения TrusteeMan или модульного компонента Group Policy консоли ММС назначьте своей учетной записи привилегии «Increase Quotas» и «Replace a Process Level Token»;
3. завершите сеанс работы и затем повторно зарегистрируйтесь в системе, чтобы новые привилегии вступили в силу.
4. запустите TokenMaster.
Если все пройдет нормально, после запуска TokenMaster в окне Status появится сообщение «Token Master, Status — Token Master running as SYSTEM». В противном случае вам сообщат, что приложение TokenMaster выполняется с той учетной записью, с которой вы его запустили.
Основные функции TokenMaster — выводить сведения о маркере и изменять те сведения, которые можно изменять. Маркер можно получить следующими способами.
Открыть маркер существующего потока или процесса. В раскрывающихся списках Processes и Threads вы можете выбрать процесс и, если хотите, поток (если требуется открыть маркер перевоплощения). Чтобы получить маркер, щелкните кнопку OpenProcessToken или OpenThreadToken.
Запросить у системы процесс, указав реквизиты пользователя. Вы можете ввести имя пользователя и пароль, а также выбрать тип регистрации и систему доступа. Чтобы получить маркер от системы, TokenMaster вызывает функцию LogonUser (подробности см. далее в этой главе).
Дублировать существующий маркер. Вы можете дублировать маркер, уже полученный TokenMaster, щелкнув кнопку DuplicateTokenEx. При этом можно задать уровень перевоплощения и тип нового маркера. Если у Token-Master имеется маркер, который можно дублировать, в окне Token Information отобразится информация о нем.
В окне Token Information выводятся сведения о полученном маркере. GetTo-kenlnformation возвращает все сведения о маркере, которые можно получить.
TokenMaster позволяет изменять маркер следующими способами: изменять список групп и привилегий маркера, включая возможность активировать или отключать отдельные элементы;
изменять стандартный DACL маркера ; создавать ограниченный маркер;
запускать исполняемые файлы, используя нужный вам маркер; это одна из самых полезных функций TokenMaster: вы можете создать новый процесс, используя измененный при помощи TokenMaster маркер; таким образом, можно создавать или ограничивать маркер и затем запускать код, наблюдая, как это скажется на процессе.
Советую вам не пожалеть времени и ознакомиться с приложением Token-Master и изучить функции Windows для работы с контекстом пользователя.
TokenMaster значительно упрощает процесс отладки. Например, я часто запускаю приложение и «похищаю» маркер процесса LocalSystem. Затем, используя полученный маркер, я запускаю среду разработки Microsoft Visual Studio, в которой могу компилировать и тестировать код, выполняющийся с учетной записью LocalSystem. С точки зрения защиты, применение маркера LocalSystem при тестировании позволяет примерно оценить, как будет работать код в качестве службы.
Исходный код приложения иллюстрирует удобные приемы программирования. Так, он вызывает практически все упомянутые в этой главе системные функции. Кроме того, код содержит несколько решений, которые могут оказаться для вас полезными, если вы лишь недавно начали занимать вопросами защиты в Windows.
Функции защиты Windows зачастую требуют выделения и повторного распределения небольших буферов. Это требование рассматривается многими разработчиками, в том числе и мной, как не способствующее надежности системы. В результате возникает желание жестко задать размер буфера или пойти на другие уступки, приводящие к неполной защищенности кода. В Token-Master для решения этой проблемы используется простой шаблонный класс CAutoBuf. Вы увидите, что он заметно упрощает код, если системным функциям нужны буферы переменной длины.

Изменение информации маркера

admin — Wed, 11 Aug 2010 14:39:42 +0000

Большую часть информации маркера нельзя изменять. Например, для маркера нельзя установить SID пользователя, отличный от текущего, и нельзя назначить маркеру дополнительные привилегии или добавить SID групп. Допустимые же изменения делятся на две группы-.
сведения, которые можно изменить; сведения, которые можно задать.
Вы можете изменять лишь небольшую часть информации маркера, хотя можно создать новый, основанный на имеющемся маркер и добавить в него ограничения. Это называется созданием ограниченного маркера .
Задавать информацию несложно. Вы создаете структуру и передаете ее с описателем маркера системной функции. Затем система задает сведения в маркере.
Изменение информации осуществляется несколько иначе. Привилегии и группы в маркере имеют два состояния: включены и отключены. Например, «задать» список привилегий маркера нельзя, однако можно включить или отключить отдельные привилегии из этого списка.
Наиболее распространенные действия по изменению информации маркера — задание стандартного DACL маркера (подробнее см. главу 10) и изменение состояния привилегий маркера. Вы обнаружите, что задание владельца маркера по умолчанию и изменение списка групп маркера осуществляется почти так же, как задание DACL по умолчанию и изменение состояния привилегий маркера.

Задание стандартного DACL

admin — Fri, 06 Aug 2010 14:40:35 +0000

Задание стандартного DACL маркера — менее распространенная операция, осуществить ее гораздо проще, чем изменять состояния привилегий маркера. Стандартный DACL маркера определяет параметры доступа к защищенным объектам, созданным с атрибутами защиты по умолчанию. К защищенным объектам относятся такие конструкции, как файлы, мьютексы и потоки. Обычно защищенные объекты создаются с атрибутами защиты по умолчанию, для чего в качестве параметра LPSECURITY_ATTRIBUTES создающей функции передается значение NULL (подробнее см. главу 10). Возможность изменять стандартный DACL позволяет значительно упростить выполняющийся на сервере код, поскольку при этом вам не надо явно задавать атрибуты защиты для каждого создаваемого этим кодом объекта.
Задать DACL, владельца или основную группу маркера по умолчанию (не путайте их с атрибутами защиты маркированного пользователя, изменить которые нельзя) позволяет функция SetTokenlnformation.
Параметр hTokenHandle — это описатель маркера, который требуется изменить. Параметр TokenlnformatonClass указывает, какой именно элемент маркера нужно изменить .
Параметр dwTokenlnformationLength функции SetTokenlnformation определяет размер буфера, указатель на который содержится в параметре pTokenlnformation.
Чтобы увидеть SetTokenlnformation в действии, запустите TokenMaster.

Запрос маркера с помощью функции Logon User

admin — Sat, 31 Jul 2010 14:41:44 +0000

Теперь вы знаете, как получить маркер процесса и создать процесс с использованием произвольного маркера. Однако мы еще не обсудили, как получить описатель маркера, если у вас имеются лишь имя пользователя и пароль. Это позволяет сделать функция LogonUser.
Параметры pszUsername и pszDomain указывают имя и домен пользователя, для которого нужно получить маркер. В качестве параметра pszDomain можно передать символ «.», и тогда поиск будет вестись только в локальной БД учетных записей. Если вы передадите NULL в параметре pszDomain, поиск пользователя будет сначала осуществляться на локальном компьютере, а затем — в доверенных доменах системы. Параметр pszPassword — это пароль данной учетной записи.
Параметр dwLogonType функции LogonUser указывает системе, как будет использоваться маркер и маркер какого типа вам требуется получить. Возможные значения параметра dwLogonType перечислены ниже .
Как разработчик или сетевой администратор, вы можете повысить уровень безопасности и защищенности систем, создав учетные записи пользователей, для которых будут допустимы лишь типы регистрации LOGON32_LOGON_SER-VICE и LOGON32LOGONJNTERACTIVE. Так, учетной записи можно предоставить только привилегию SE_SERVICE_LOGON_NAME или только привилегию SE INTERACTIVE LOGON NAME соответственно.

Ограниченные маркеры

admin — Tue, 13 Jul 2010 14:43:19 +0000

Как я уже говорил, служба или любое приложение не может создавать маркер «с нуля» — это должна сделать система. Windows позволяет создавать новый, основанный на имеющемся маркер с дополнительными ограничениями. Этот новый маркер называется ограниченным (restricted token). Такие маркеры позволяют приложениям соответствовать сложным требованиям защиты.
При создании ограниченного маркера вы не накладываете ограничений на существующий маркер. Последний представляет своего рода шаблон, на основе которого создается новый маркер, на который налагаются дополнительные ограничения. Этих ограничений три типа, они необязательны, и при создании маркера их можно использовать в любой комбинации. Два ограничения связаны с контролем доступа (подробнее см. главу 10). Для создания нового маркера вы можете выполнить следующие действия в любой комбинации-.

Отключение SID

admin — Fri, 02 Jul 2010 14:43:43 +0000

При создании ограниченного маркера можно указать, какие из доверенных объектов, сведения о которых имеются в текущем маркере, будут отключены. Отключенные доверенные объекты могут представлять собой любую комбинацию маркированного пользователя и групп, членом которых он является.
Все доверенные объекты, SID которых вы отключаете, при проверках прав доступа будут применяться лишь для блокирования доступа к объекту.
Например, членство в группе TEMP USER предоставляет пользователю доступ к папке C:\Temp и блокирует доступ к папке C:\Permanent. Если отключить в ограниченном маркере SID группы TEMP USER, у пользователя больше не будет прав на доступ к папке C:\Temp. И все же при этом у него не появятся права на доступ к каталогу C:\Permanent.
Можно отключить лишь SID, уже имеющиеся в исходном маркере; на сущность маркера отключение доверенных объектов в нем не влияет. Например, отключение маркированного пользователя, влияет лишь на доступ к объектам. Маркер же будет по-прежнему идентифицировать данного конкретного пользователя.

Шифрование

admin — Wed, 16 Jun 2010 14:44:59 +0000

Шифрование — основа защищенного обмена информацией. Это громадная тема, которую полностью нельзя раскрыть не только в главе, но и в книге. Поэтому здесь я хочу лишь рассказать о некоторых важнейших концепциях и дать истолкование основных терминов.
Два или более взаимодействующих субъекта могут применять шифрование для безопасного совместного использования информации. Вообще это достигается благодаря тому, что один из субъектов изменяет данные так, что их практически нельзя привести в первоначальное состояние без применения ключа. Ключ — это числовое значение, используемое в специальных алгоритмах для шифрования данных. Ключ также является числовым значением, применяемым для дешифрации данных. Изменение данных называется шифрованием. Субъект, получивший данные, может их восстановить (а значит, понять) с помощью ключа в результате дешифрации. Шифрование и дешифрация данных изучается в криптографии.
Обычно криптографию применяют, чтобы при взаимодействии в незащищенной среде обеспечить выполнение минимум одной из трех задач:
конфиденциальность информации: данные не должны быть поняты
никем, кроме субъекта, которому они предназначены; аутентификация: вы должны выяснить, с кем вы обмениваетесь данными; целостность: полученные вами сведения не должны быть изменены при
передаче.

Шифрование с асимметричным (открытым) ключом

admin — Tue, 01 Jun 2010 14:45:33 +0000

В Интернете обмен данными иногда должен быть защищенным, даже когда взаимодействующие стороны раньше не знали друг друга. Точнее, в таких средах, как Интернет, совместно использовать секретный ключ бессмысленно. В этом случае с успехом могут применяться асимметричные (открытые) ключи.
При шифровании с открытым ключом используются два ключа: открытый ключ, используемый совместно, и закрытый (личный) ключ, который держится в секрете. Данные, зашифрованные открытым ключом, могут быть расшифрованы только с помощью закрытого ключа. С другой стороны, открытый ключ позволяет расшифровать только данные, зашифрованные соответствующим закрытым ключом.
Получить закрытый ключ из открытого ключа нельзя. Но действуя «в лоб», можно перебирать все возможные закрытые ключи, пока не обнаружится соответствие открытому ключу. Однако этот подход по сути безнадежен, и сложность его реализации возрастает экспоненциально по мерс увеличения разрядности ключей.
Как видите, подобная система имеет огромный потенциал. Теперь у вас есть возможность «опубликовать» свой открытый ключ, так что желающий с вами связаться корреспондент может зашифровать свои данные вашим открытым ключом, зная, что только вы их сможете прочитать, поскольку только у вас есть соответствующий закрытый ключ.
К сожалению, алгоритмы шифрования и дешифрации данных с помощью асимметричных пар ключей (открытый/закрытый) очень медленны в сравнении с алгоритмами, использующими шифрование с симметричными ключами. Так что шифровать большие объемы данных асимметричными ключами обычно бессмысленно.
Поэтому во многих протоколах применяется шифрование с открытыми ключами для передачи симметричного ключа. Этот симметричный ключ затем используется до конца диалога (сеанса). Таким образом, можно использовать преимущества шифрования с открытым ключом, одновременно наслаждаясь эффективностью шифрования с симметричным ключом

Протоколы защиты

admin — Wed, 19 May 2010 14:46:39 +0000

Вы, вероятно, не удивитесь, что для реализации защищенного обмена данными были определены и приняты некоторые протоколы. В разных случаях применяются разные протоколы, и в этой главе мы рассмотрим три из них: Kerberos, NTLM и SSL. Windows 2000 обеспечивает их исключительную поддержку, и они весьма значимы в среде Интернета.
Протоколы защиты изначально проектировались с применением методов шифрования и в расчете на использование в сетях. В определенной степени целью их реализации было решение тех задач, о которых я говорил: конфиденциальность информации, аутентификация и целостность данных. Все три протокола, которые мы рассмотрим, решают эти задачи в разной степени. Дополнительными функциями некоторых протоколов являются делегирование и взаимная аутентификация.
Протоколы Kerberos и NTLM — составная часть системы безопасности Windows 2000. Раз так, они могут применяться для непосредственной аутентификации пользователей в домене. Иными словами, сервер может получить маркер доступа клиента с помощью протоколов Kerberos и NTLM. (О маркерах см. главу 11).
Протокол защиты SSL не так тесно интегрирован с моделью безопасности Windows, как другие протоколы. Этот протокол основан на применении сертификатов, и Windows приходится устанавливать соответствие сертификата, прежде чем позаимствовать права серверу.