3.2.1.2 Lƣu trữ dữ liệu mật khẩu
Các giá trị băm của các mật khẩu và các thông tin ngƣời dùng đƣợc lƣu tại CSDL SAM (Security Account Manager) trong registry của hệ thống và chỉ những ngƣời có quyền của ngƣời quản trị hệ thống (administrator) mới đƣợc truy nhập tới CSDL này. SAM không chỉ đơn thuần là CSDL, nó là một hệ thống riêng cung cấp cho các hệ thống con khác các công cụ truy xuất thông tin một cách an toàn. SAM bao gồm các LSA (Local SAM) phân tán trên các máy chủ truy nhập và máy trạm tham gia vào hệ thống. Sau đây em sẽ phân tích kỹ hơn về SAM trên máy chủ quản lý truy nhập mạng mà chƣa đề cập tới các thành phần khác.
3.2.1.3 Truy cập CSDL mật khẩu SAM
Nếu có quyền truy nhập của ngƣời quản trị hệ thống, hoặc ít nhất là có đƣợc quyền siêu ngƣời dùng, khi đó có rất nhiều công cụ cho phép xem xét và lấy thông tin từ các thiết bị (devices), các thành phần cấu thành hệ điều hành mạng và đặc biệt là SAM. Sau đây, em xin nêu một số công cụ loại này.
1. Sử dụng các tiện ích quản trị mạng. Chẳng hạn chƣơng trình pwdump.exe
có thể tải về từ nhiều địa chỉ địa chỉ internet khác nhau, chẳng hạn nhƣ tại
http://www.nmnrc.org/files/nt. Chƣơng trình này dùng các hàm đăng ký chuẩn của NT để truy nhập SAM và ghi lại các userid cùng mã mật khẩu tƣơng ứng ra một file. Để chạy đƣợc chƣơng trình này phải có quyền của ngƣời quản trị hệ thống.
2. Sử dụng các tiện ích lƣu trữ vì mục đích an toàn mà hệ thống cung cấp. Có thể thử một cách khác để lấy dữ liệu ngƣời dùng, đó là đọc bản copy của SAM là SAM.SAV đƣợc tạo thành khi ngƣời quản trị hệ thống tiến hành khởi tạo đĩa khởi động khẩn cấp (thƣờng đƣợc gọi là Emergency Disk hoặc Emergency Repair Disk).
Điền 0 nếu <14 kí tự; Chia 2 nhóm 7
kí tự ASCII
128 bits (Giá trị băm DES)
MD4 (Giá trị băm MD4) 128 bits
Giá tr ị b ăm củ a m ật kh ẩu ( 32 k ý tự) MK K1 K2 Magic Number DES 64 DES 64
Ngoài ra, quá trình cài đặt Windows NT có thể để lại một bản copy của CSDL mật khẩu trong thƣ mục \WINNT\REPAIR. Với bản copy này, SAM chỉ chứa các account của ngƣời quản trị hệ thống và account khách (guest). Bản copy dự phòng này cũng đƣợc tạo ra khi sủ dụng tiện ích Repair Disk Utility (rdisk) với tham số /s để lƣu dự phòng thông tin cấu hình hệ thống chính. Bản sao của SAM, có tên Sam._, đƣợc tạo trong thƣ mục WINNT\REPAIR. Hầu hết các điều hành viên hệ thống thƣờng không xoá tập tin này sau khi dùng rdisk chép nó ra một đĩa mềm dự phòng. Sam._ cần đƣợc giải nén.
3. Khởi động bằng một hệ điều hành khác: Khởi động bằng một hệ điều hành khác cũng giống nhƣ tạo một đĩa mềm hệ thống DOS bằng trình tiện ích sao chép trên nó. Đối với phân hoạch đƣợc định dạng theo NTFS của Windows NT, trình điều khiển hệ tập tin NTFS có tên NTFSDOS của Systems Internals (http://www.sysinternals.com) sẽ ghép nối mọi phân hoạch NTFS dƣới dạng một ổ đĩa DOS logic, ở đó có thể khai thác tập tin SAM.
3.2.2. An toàn mật khẩu
An toàn mật khẩu đƣợc mã hóa bởi DES không phải không an toàn do không phân biệt chữ hoa hay chữ thƣờng mà là ở vấn đề khóa mã. Trong mật mã DES việc biết trƣớc bản rõ và biết trƣớc khóa mã là tƣơng đƣơng nhau. Do đó thay vì lƣu mật khẩu rõ, ngƣời ta lại lƣu cả bản mã và khóa. Điều này không có lợi gì. Đây chính là một lỗ hổng bảo mật. Lỗ hổng này phụ thuộc nhiều vào kỹ thuật mã hóa nào (AES, IDEA hay 3DES ). Do đó, để “bịt” lỗ hổng này sang Windows NT ngƣời ta không dùng các thuật toán mã có khóa để bảo vệ mật khẩu mà bằng công nghệ hàm băm (Fash function) .So với việc dùng công nghệ hàm băm thay vì mật mã đã có một bƣớc tiến hơn. Dùng hàm hash MD4 thì vẫn còn nhƣợc điểm có va chạm (collision). Nên dùng MD5 hoặc SHA thì tốt hơn.
3.2.3. Thẩm định quyền
Hệ điều hành Windows NT quản lý truy cập mạng thông qua cơ chế xác thực ngƣời sử dụng gồm tên ngƣời sử dụng và mật khẩu tƣơng ứng. Với Windows NT và các hệ điều hành sau này, khi tài khoản ngƣời sử dụng cần đƣợc hợp thức hoá, nhƣng máy tính cục bộ không thể tự hợp thức đƣợc thì mật khẩu luôn đƣợc mật mã hoá và truyền trên một kênh mật đƣợc thiết lập trƣớc.
Thẩm định quyền ngƣời sử dụng hai yếu tố.Có thể dùng các thiết bị bảo mật bên thứ ba để cải thiện hệ bảo mật cho ngƣời sử dụng quay số vƣợt trên mức bảo mật sẵn có của các dịch vụ Windows NT RAS (Remote Access Service - Dịch vụ truy cập từ xa). Các thiết bị bảo mật thƣờng là các thẻ khoá [keycards]: đó là các thiết bị bảo mật có kích cỡ bằng thẻ tín dụng hiển thị một mã số khác nhau theo từng phút. Thẻ
khoá đƣợc đồng bộ hoá với một thiết bị tƣơng tự tại hệ phát sinh cùng mã số. Khi ngƣời sử dụng đăng nhập, mã số trên thẻ khoá của ngƣời sử dụng đƣợc gửi đến hệ phục vụ quay số dƣới dạng một biện pháp bổ trợ cho thủ tục đăng nhập bình thƣờng. Kỹ thuật này bảo đảm chỉ ngƣời sử dụng hợp pháp có các mật khẩu và các mã số thẻ khoá hợp lệ mới có thể đăng nhập hệ thống. Hai yếu tố trong lƣợc đồ này là mật khẩu mà ngƣời sử dụng biết và giá trị thẻ khoá mà họ có vào lúc đăng nhập. Các thiết bị bảo mật tồn tại theo cả dạng phần cứng và phần mềm. Các thiết bị phần cứng thƣờng có kích cỡ nhƣ các thẻ tín dụng và có một màn hình LCD nhỏ để nêu mã số truy cập. Các thiết bị phần mềm là các chƣơng trình chạy trên máy tính ngƣời sử dụng và thực hiện cùng chức năng nhƣ các thiết bị phần cứng. Nói chung, các thiết bị phần mềm tiện dụng hơn bởi vì chúng tự động hoá tiến trình và không yêu cầu khoá của ngƣời sử dụng trong mã số truy cập. Tuy nhiên, các thiết bị phần mềm thƣờng ít an ninh hơn, bởi các Hacker có cơ hội để bẻ khoá thông tin có thể nằm trong bộ nhớ hoặc trên đĩa. Việc bổ trợ đăng nhập từ xa theo cách này sẽ cho ta một cấp bảo mật cao.
3.3. Phân quyền đối với thƣ mục, tệp
Phần trên đã đề cập đến giai đoạn đầu, giai đoạn “quyền” của tính năng thẩm định quyền “hai chiều” trong hệ thống mạng an toàn. Phần này sẽ trình bày giai đoạn hai, giai đoạn cho phép “permission” của một đối tƣợng cụ thể.
Nhƣ em đã trình bày ở trên, các đối tƣợng trong các hệ điều hành của Microsoft bao gồm mọi thứ từ các tệp, các cổng truyền thông, đến các xâu thi hành. Mỗi đối tƣợng đều có thể đƣợc phân quyền riêng lẻ hoặc dƣới dạng một nhóm tuỳ thuộc vào hệ điều hành. Các đối tƣợng có các kiểu permission khác nhau đƣợc dùng để giao hoặc khƣớc từ quyền truy cập chính chúng. Ta đã đề cập đến đối tƣợng cần phân quyền là thƣ mục và tệp. Đối với đối tƣợng này có thể có permission Read, Write, và Execute. Các thƣ mục là các đối tƣợng “thùng chứa” lƣu giữ các tệp, do đó permission gán cho “thùng chứa” đều đƣợc thừa kế bởi các đối tƣợng tệp chứa trong nó. Để xem xét tính năng phân quyền thƣ mục và tệp, chúng ta cần tìm hiểu các hệ thống tệp đƣợc các hệ điều hành Microsoft hỗ trợ, và sau đó là các permission của chúng.
Nên lƣu ý rằng, các điều khiển truy cập và các quyền tài khoản ngƣời sử dụng là hai khía cạnh khác nhau của hệ bảo mật Windows NT. Hệ bảo mật tài khoản ngƣời sử dụng định danh và hợp lệ hoá ngƣời sử dụng, trong khi các điều khiển truy cập lại hạn chế những ngƣời sử dụng nào, mới có thể làm việc với các đối tƣợng.
Cũng nhƣ mọi đối tƣợng khác, đối tƣợng thƣ mục và tệp có một dấu mô tả bảo mật (security descriptor) để mô tả các thuộc tính bảo mật. Dấu mô tả bảo mật bao gồm:
ID bảo mật của ngƣời sử dụng sở hữu đối tƣợng, thƣờng là những ngƣời tạo ra đối tƣợng và đƣợc gọi là chủ nhân (owner).
ACL (Access Control List - danh sách điều khiển truy cập), lƣu giữ thông tin về những ngƣời sử dụng và nhóm nào có thể truy cập đối tƣợng.
ACL hệ thống, có liên quan đến hệ kiểm toán.
ID bảo mật nhóm.
Các ACL là điểm then chốt của phần thảo luận này. Về cơ bản, ACL là một danh sách ngƣời sử dụng và nhóm có permission truy cập vào đối tƣợng. Đối tƣợng thƣ mục và tệp có ACL riêng của nó. Các chủ nhân có thể tạo các mục trong ACL thông qua các công cụ nhƣ File Manager hoặc bằng cách ấn định các tính chất cho các tệp và thƣ mục (trong Windows NT 4.0). Network và Services trong Control panel cũng là những trình tiện ích khác dùng để ấn định permission.
Ngƣời sử dụng có thể có nhiều mục trong ACL của một đối tƣợng, cung cấp các mức truy cập khác nhau cho chúng. Ví dụ, một ngƣời sử dụng có thể có giấy phép Read đối với một tệp dựa trên tài khoản ngƣời sử dụng của họ và giấy phép Read/Write dựa trên tƣ cách là thành viên của một nhóm. Mỗi giấy phép này đƣợc nêu trong một mục riêng biệt trong ACL.
Khi ngƣời sử dụng truy cập một đối tƣợng, họ thƣờng có một quyền truy cập thoả đáng nhất định, nhƣ Read hay Read/Write. Để giao (hay khƣớc từ) truy cập, SRM sẽ đối chiếu thông tin trong thẻ bài truy cập của ngƣời sử dụng với các mục trong ACL. Thẻ bài truy cập chứa các ID bảo mật và danh sách các nhóm mà ngƣời sử dụng đó thuộc về. SRM sẽ đối chiếu thông tin này với một hay nhiều mục trong ACL cho đến khi tìm thấy đủ giấy phép để trao quyền truy cập thoả đáng. Nếu không thấy đủ giấy phép, việc truy cập bị khƣớc từ.
Nếu SRM tìm thấy vài mục dành cho ngƣời sử dụng, nó sẽ xem xét từng mục để xem (tổ hợp các) mục đó có thể giao cho ngƣời sử dụng giấy phép thoả đáng để dùng đối tƣợng đó hay không.
3.3.1. Các hệ thống tệp đƣợc các hệ điều hành Microsoft hỗ trợ
Một trong những yêu cầu của hệ điều hành là công tác quản lý dữ liệu: có thể dùng loại đĩa nào với hệ điều hành đó, cách thức hệ điều hành chia đĩa thành nhiều phần nhỏ, dữ liệu và tệp đƣợc lƣu giữ theo cách thức nào và nhiều vấn đề khác. Mục này sẽ cung cấp tổng quan về khả năng hỗ trợ các hệ thống tệp của họ các hệ điều hành của Microsoft (đƣợc liệt kê trong bảng 3.1). Các hệ thống tệp này có những tính năng khác nhau nhƣ độ dài tên tệp, tính năng bảo mật, dung lƣợng tối đa của tệp và phân hoạch
Bảng 3.1 Hệ thống tệp đƣợc hệ điều hành Windows hỗ trợ
Các hệ điều hành Hỗ trợ các hệ thống tệp
Windows NT, Microsoft Windows 95/98, MS-DOS, IBM OS/2
File Allocation Table (FAT)
Windows NT/2000, Windows XP, Windows Server 2003, Windows 2008, Windows vista, Windows 7; 8
Windows NT File System (NTFS), New Technology File System
Windows NT, Microsoft Windows CD-ROM File System (CDFS)
OS/2, Windows NT High Perfomance File System (HPFS)
CDFS đƣợc sử dụng để đọc dữ liệu từ các ổ CD-ROM. Vì CDFS là hệ thống
tệp đặc biệt chỉ đọc (read-only) nên phạm vi ứng dụng của nó bị hạn chế.
FAT nó có 3 phiên bản: FAT 12, FAT16, FAT32. Chúng ta quen gọi là bảng
định vị File trên đĩa. FAT hỗ trợ qui ƣớc tên tệp 8.3 (số ký tự phần bên trái dấu chấm không quá 8 và số ký tự phần bên phải dấu chấm không quá 3) cho các phiên bản của các hệ điều hành này. FAT còn hỗ trợ thêm qui ƣớc đặt tên dài cho tệp/thƣ mục.
Trong hệ thống tệp này, mỗi tệp và thƣ mục tồn tại ở cấp gốc (root) trong phân chia FAT chỉ đến một mục nhập FAT nhận diện con số bắt đầu cho tệp/thƣ mục đó. Nếu tệp lớn hơn một cụm (cluster) sector đơn lẻ (có kích thƣớc phụ thuộc vào kích thƣớc phân chia), cụm sector này chỉ đến cụm kế tiếp. FAT không hề cố gắng tối ƣu hoá tệp: cụm sector kế tiếp của tệp sẽ là cụm kế tiếp khả dụng trên đĩa, bất chấp vị trí của cụm trƣớc đó. Cụm sector cuối cùng mà tệp chiếm dụng có dấu hiệu End of File.
Thƣ mục gốc của FAT bị giới hạn ở 512 mục nhập (có thể là tệp hoặc thƣ mục con). Thƣ mục con (subdirectory) là tệp liệt kê các tệp và thƣ mục con khác chứa trong nó, với một dấu hiệu cho biết đây là thƣ mục con. Thƣ mục con có thể chứa thƣ mục con và tệp trực thuộc với số lƣợng bất kỳ.
Hệ thống tệp FAT bị giới hạn ở số lƣợng nhập nhất định: chúng ta thấy MS- DOS ban đầu hỗ trợ tối đa 4096 mục nhập, nhƣng Windows 95/98/NT lại hỗ trợ đến 65536 mục nhập trong FAT. Vì FAT bị giới hạn ở số lƣợng cluster cố định, nên một cluster sẽ không có kích thƣớc nhƣ nhau trên hai volume không cùng kích thƣớc. Chỉ duy nhất một tệp đƣợc chỉ định cho mỗi cluster và bất kỳ không gian thừa nào ở cluster cuối cùng đƣợc gán cho tệp đều bị bỏ phí.
Không thể bảo vệ đƣợc các phân hoạch FAT bằng tính năng bảo mật thƣ mục hoặc tệp cục bộ (local file) trên các hệ điều hành này. Duy nhất có một chế độ bảo mật cho các phân hoạch FAT trên mạng: chế độ này đƣợc cung cấp thông qua các nguyên tắc chia sẻ của các hệ điều hành. Điều đó có nghĩa rằng trên một phân hoạch FAT, các
hệ điều hành không hỗ trợ các tính năng bảo mật đến mức tệp; nếu muốn thiết đặt để không thể truy cập đƣợc một tệp nào đó, ta phải khởi tạo thƣ mục, thiết đặt trạng thái không chia sẻ (không dùng chung) cho thƣ mục đó và đặt tệp nói trên trong thƣ mục đó. Một trong những nhƣợc điểm của việc chia sẻ là rất khó quản lý vì nếu giả sử có hàng trăm ngƣời sử dụng trên một máy chủ và mỗi ngƣời lại có một thƣ mục riêng, chúng ta phải thiết lập hàng trăm chia sẻ và đôi khi những chia sẻ này lại chồng chéo nhau nên gây thêm những phiền toái.
Hệ thống tệp công nghệ mới (New Technology File System - NTFS - bảng phân hoạch tập tin công nghệ mới). Đƣợc giới thiệu cùng phiên bản Windows NT đầu tiên, Microsoft đã thay thế hệ thống FAT MS-DOS bằng một hệ thống file mới 32-bit nhanh hơn, bảo mật hơn. Khác với FAT, NTFS không bị giới hạn ở một số lƣợng sector nhất định trong mỗi cluster. Ở hệ thống tệp này, cluster là đơn vị cơ sở. Thừa số cluster đƣợc định nghĩa là một số lƣợng byte và việc định dạng một volume theo NTFS sẽ bảo đảm rằng thừa số cluster là bội số của kích thƣớc sector trên ổ đĩa. Vì NTFS nhận diện mọi thứ theo số hiệu cluster, nên hệ thống tệp không tính đến kích thƣớc sector. Do vậy, số lƣợng sector trong mỗi cluster là một giá trị có tính đề nghị thay vì giá trị cố định. NTFS cho phép điều chỉnh số lƣợng sector mặc định trong mỗi cluster sao cho thích hợp nhất với mức độ sử dụng thực tế của volume. NTFS còn tìm kiếm không gian đĩa liền nhau trƣớc khi ghi hoặc sao chép tệp vào đĩa.
Chúng ta nên dùng phân hoạch NTFS khi có yêu cầu bảo mật cho các máy chủ hoặc các máy cá nhân. NTFS hỗ trợ điều khiển truy cập và các đặc quyền riêng rất quan trọng để đảm bảo tính thống nhất của dữ liệu. Mặc dù các thƣ mục trên các máy chạy Windows NT/2000 có thể đƣợc gán thêm permission chia sẻ không phụ thuộc vào hệ thống tệp đang dùng với các tệp và các thƣ mục NTFS, ta vẫn có thể gán permission để chúng đƣợc dùng chung hay không. NTFS là hệ thống tệp duy nhất trên Windows NT/2000 cho phép ta khả năng thiết đặt permission tới các tệp và các thƣ mục riêng.
3.3.2. Phân quyền đối với thƣ mục và tệp