Когда-то считалось, что система локальной безопасности Windows похожа на кованые железные ворота с хитрым замком, стоящие посреди чистого поля: выглядят грозно, но вот эффективность весьма сомнительна. Времена меняются, и механизмы защиты винды понемногу эволюционируют. Сегодня мы поговорим о том, как устроена безопасность в современных версиях Windows. WARNING Вся информация предоставлена исключительно в ознакомительных целях. Ни редакция, ни автор не несут ответственности за любой возможный вред, причиненный информацией из этой статьи. В Windows все активные сущности, которые могут быть аутентифицированы операционной системой (пользователи или группы), называются участниками безопасности (security principals). Все участники безопасности имеют уникальный идентификатор переменной длины — Security ID (SID). Структура SID следующая — S-R-IA-SA-RID, например S-1-5-21-1687231434-1254558764-1544283289-1004, РіРґРµ: S — литеральный префикс, указывает на то, что идентификатор является SID (это просто конвенция наименования); R — однобайтное значение версии или ревизии (revision) SID. РџРѕРєР° существует только версия 1; IA — источник выдачи (issuing authority), шестибайтное значение. Указывает, в чьей области ответственности был выдан SID (буквально authority значит «орган власти»). Почти всегда имеет значение 5 (SECURITY_NT_AUTHORITY), Р·Р° исключением well-known SID, Рѕ которых РјС‹ РїРѕРіРѕРІРѕСЂРёРј чуть позже. Например, 1 означает SECURITY_WORLD_SID_AUTHORITY Рё относится Рє well-known-РіСЂСѓРїРїРµ Everybody; SA — уполномоченный центр (sub-authority). Уникальное (в рамках IA) значение, состоит из четырех частей: 4-байтного числа, указывающего, кем был выдан идентификатор (контроллером домена или локальным компьютером), и 12-байтного значения, которое делится на три части и идентифицирует конкретный объект, выдавший идентификатор. Смысл этого поля в том, что при наличии нескольких доменов в лесу объекты в разных доменах будут иметь уникальный SA; RID — относительный идентификатор (Relative-ID), 4-байтное значение, служит для разделения объектов внутри домена. Для встроенных учетных записей RID всегда будет РѕРґРёРЅ Рё тот же (например, для учетной записи администратора RID = 500). Если быть более точным, то существует SID машины (machine SID) Рё SID домена (domain SID). Рђ сам SID представляет СЃРѕР±РѕР№ базовый идентификатор (S, R, IA, SA) RID. Также есть стандартные так называемые well-known SID для пользователей Рё РіСЂСѓРїРї. РћРЅРё имеют РѕРґРёРЅ Рё тот же SID РЅР° любых системах (например, РіСЂСѓРїРїР° Everyone или пользователь System). WWW Поизучать SID можно СЃ помощью утилиты PsGetsid.exe РёР· пакета Sysinternals. Рђ почитать Рѕ структуре SID более РїРѕРґСЂРѕР±РЅРѕ можно, например, РІ этих публикациях: Процесс управления RID РІ Active Directory The structure of a SID Microsoft Security Descriptor (SID) Attributes Также РїСЂРё администрировании можно допустить небольшой недочет, связанный СЃ дубликацией СЃРёРґРѕРІ. Р?РЅРѕРіРґР° РѕРЅ влияет РЅР° безопасность или функциональность (например, РєРѕРіРґР° РћРЎ развертывают, просто РєРѕРїРёСЂСѓСЏ РґРёСЃРє). РћР± этом можно почитать подробнее РІ статье Марка Руссиновича, еще РѕРґРЅРѕР№ статье Рё РІ VMware knowledge base. SID, РІ СЃРІРѕСЋ очередь, РІС…РѕРґРёС‚ РІ так называемый маркер доступа — программный объект (структура РІ СЏРґСЂРµ Windows), который закрепляется Р·Р° сессией (logon session) участников безопасности после авторизации. Р—Р° выдачу маркера, как Рё Р·Р° аутентификацию, отвечает LSASS (local security authority subsystem). РџРѕРјРёРјРѕ всего прочего, РІ маркер включены SID пользователя Рё его РіСЂСѓРїРї, Р° также механизм привилегий РЅР° совершение каких-либо действий (например, привилегия РЅР° отладку debug, которая, кстати, используется РІ mimikatz для получения доступа Рє системным процессам). После того как удаляется последний ассоциированный СЃ сессией токен, LSASS удаляет Рё саму сессию — таким образом завершается сеанс пользователя. Можно поподробнее изучить структуру маркера доступа РІ отладчике СЏРґСЂР° (kernel debugger) СЃ помощью команды dt_TOKEN. Вообще, если не получается нагуглить подробности о внутреннем устройстве Windows, можно изучить структуру самому с помощью средств отладки. Подробности представлены в документации Microsoft. С привилегиями может быть, например, связана такая вещь, как bypass traverse checking. WWW Маркеры доступа тоже могут иметь проблемы с безопасностью. Вот несколько ссылок для более подробного изучения: Интересная исследовательская работа Брайана Александера Блог по пентесту и редтиму ired.team Выступление Андреа Пьерини с конференции Hack in Paris Статья Windows Privilege Abuse: Auditing, Detection, and Defense (Palantir Security) В свою очередь, для «пассивных» объектов, которые предназначены для предоставления к ним доступа извне (их называют securable objects), используется SD — security descriptor. Это дескриптор для управления доступом к данным объектам (например, процесс может иметь SD или SD может быть привязан к файлу в NTFS). У SD тоже, кстати, бывают проблемы с безопасностью.