Sunday, February 19, 2012

Защита на .нет приставката

.НЕТ – основата на бъдещите мрежи и интернет технологии, или как да не станем жертва на разни нападатели в тази все още нова платформа, която тепърва ще се развива.

.НЕТ все още рядко се споменава, но ще дойде време, когато .нет ще е в устата на всички, така както в момента е НТ ядрото.  Като всяка нова технология, докато се развие, .нет има доста пропуски. Актуалната в момента версия е 1.1 сервиз пак 1. Статията  е съобразена с актуалната версия на .нет платформата.
Статията е разделена на 2 части, според това каква категория потребители ще я четат и използват.

Част 1 е адресирана към единични потребители, домашни потребители и компютърни клубове.

Част 2 е адресирана към многопотребителска настройка за фирми където няколко души работят на 1 компютър, и всеки е с различни привилегии и забрани според поста и задълженията си.

Забележка:
ВНИМАНИЕ, Моля не се опитвайте да настройвате .нет платформата според двете части едновременно. Невъзможно е. Всяка част пренастройва [ялата платформа и отменя настройките на другата част като налага своята. Използвайте тази от двете части която е адресирана за вас и вашият начин на ползване на платформата.

Част 1 – Настройка за единични потребители, домашни потребители и компютърни клубове.

В Тази част на, статията е адресирана основно към масовите и домашни потребители, които искат, да имат поддръжка на .нет, готови са да пожертват излишната функционалност, да оставят само реално нужната, и с това да увеличат своята безопасност.

Нивата на сигурност са разделени в 2 основни раздела, като първият се намира в:

My computer -> control panel -> administrative tools -> .net framework wizards

Там има 2 подраздела, Не се опитвайте да настройвате двата подраздела едновременно, невъзможно е. Всеки отменя настройките на другия и налага свойте. За това изберете този подраздел който реално покрива вашите нужди.

1 подраздел е да се укажат глобални настройки за цялата система. Добър избор за домашни РС, интернет зали и масовите потребители.

2 подраздел е да се укажат индивидуални промени, за всеки потребител, независимо от останалите. Това е подходяща възможност за фирма, където много хора работят на 1 компютър, всеки има различни привилегии според това колко е отговорен и съвестен, и според изискванията за работата му. Ако е .нет разработчик може да се даде по-голям достъп, с цел да не се пречи на работата му, като си изключи потребителя, другият да няма нужда от този достъп и да му е оставена някаква функционалност, колкото да поддържа платформата работеща.

От adjust .net security се наглdсят правилата за достъп и безопасност.

В тази статия ще се спра на подраздела за единични, домашни РС, РС в клубове, и масовите потребители, които искат да имат .нет като съвместимост, нямат нужда го висока функционалност, не са .нет разработчици, но искат да имат .нет за съвместимост
Отваряйки раздела, ще видят 5 групи за сигурност.

My computer -> това е зоната, която се използва за стартиране на .нет приложения от твърдия диск, локално на компютъра. Оптималната настройка е умерена сигурност – medium trust

Internet -> това е зоната за стартиране на .нет скриптове през интернет и уеб страници. Тъй като не се знае къде и какво има по сайтовете, оптималната настройка е висока сигурност – low trust.

Local Intranet -> това е зоната за поведение на .нет в локалната мрежа
Да, всички се дразним от опитите на разните идиотски комплексирани съседчета да ни хакват по лана. Оптималната настройка е no trust – въобще да се не стартират.

Trusted  -> тук можете да слагате доверени приложения или доверени сайтове на които имате доверие. Тук са нещата които ползвате. Имате им доверие, изпитали сте ги и сте видели че не са опасни а тяхна функционалност ви е от полза. Тук им давате пълна функционалност – full trust.

Untrusted -> тук можете да слагате приложения и сайтове на които нямате доверие. Тук слагате тези които силно ви съмняват, смятате за опасни, и вредни. Оптималната опция е no trust тоест няма им се доверие, .нет платформата няма да им позволи да се стартират.

От раздела trust an assembly можете да нагласите кой скрипт в коя група да попадне. Отношението на ОС, .нет платформата и браузера, ще бъде според зоната в която сте сложили конкретното приложение или сайт. Там отново има 2 подраздела, Не се опитвайте да настройвате двата подраздела едновременно, невъзможно е. Всеки отменя настройките на другия и налага свойте. За това изберете този подраздел който реално покрива вашите нужди.

1 подраздел е да се укажат глобални настройки за цялата система. Добър избор за домашни РС, интернет зали и масовите потребители.

2 подраздел е да се укажат индивидуални промени, за всеки потребител, независимо от останалите. Това е подходяща възможност за фирма, където много хора работят на 1 компютър, всеки има различни привилегии според това колко е отговорен и съвестен, и според изискванията за работата му. Ако е .нет разработчик може да се даде по-голям достъп, с цел да не се пречи на работата му, като си изключи потребителя, другият да няма нужда от този достъп и да му е оставена някаква функционалност, колкото да поддържа платформата работеща.

С това се изчерпват основните настройки на самата .нет платформа.

Втората част е по-скоро фина настройка, тя се намира в опциите на интернет експлорер, меню туулс –> интернет опции -> сигурност. Позволява да се определи, дали могат да се изпълняват .нет скриптове със или без подпис.

Настройките са четирите зони са както следва

Зона интернет
Забранено изпълнението без подпис
Позволено изпълнението с подпис

Зона локална интранет
Забранено изпълнението с подпис
Забранено изпълнението без подпис

Зона доверени сайтове (trusted sites) 
Разрешено изпълнението с подпис
Разрешено изпълнението без подпис

Зона забранени сайтове (restricted sites)
Забранено изпълнението с подпис
Забранено изпълнението без подпис

При настройката на двете части, уин и ИЕ ще изпълнят съответните приложения и скриптове, според съответните правила, в съответните зони. Крайният резултат е че чрез първата зона се опдеделят правата на достъп, при изпълнение на .нет скрипт, а с втората част допълваме тези права, като се следи за това дали скриптовете да се следят за подпис или не, и съответно как да се реагира при наличието и отсъствието на подпис.

Като част от общата интеграция между уиндоус, интернет експлорер и офис, тези настройки, пряко указват влияние върху Outlook и outlook експрес, и тяхното третиране на html писма, с вградени или прикачени .нет скриптове. При правилно настройване, на самите пощенски клиенти, на браузера и на самата .нет платформа, няма да има нужда да се притеснявате от нападения през outlook/outlook express. Нападенията ще са безсмислени, просто защото .нет нападките вградени или прикачени, няма да се стартират и няма да могат да ви навредят.

Част 2 – многопотребителска настройка за фирми където няколко души работят на 1 компютър, и всеки е с различни привилегии и забрани според поста и задълженията си.

В тази част на статия ще се спра на подраздела за управление на привилегиите когато на един компютър работят много потребители, и всеки трябва да има свои собствени настройки. В този раздел за да можете да настроите настройките за даден потребител, първо трябва да стартирате компютъра с акаунта който искате да настройвате. Тук има уловка. Според правилата на НТ ядрото, само потребител администратор или равноправен може да променя системни настройки. Настройките в тоя раздел са бавни и досадни, и са съпътствани с доста допълнителни промени. .НЕТ – основата на бъдещите мрежи и интернет технологии, или как да не станем жертва на разни нападатели в тази все още нова платформа, която тепърва ще се развива.

Нивата на сигурност са разделени в 2 основни раздела, като първият се намира в:

My computer -> control panel -> administrative tools -> .net framework wizards

Там има 2 подраздела, Не се опитвайте да настройвате двата подраздела едновременно, невъзможно е. Всеки отменя настройките на другия и налага свойте. За това изберете този подраздел който реално покрива вашите нужди.

1 подраздел е да се укажат глобални настройки за цялата система. Добър избор за домашни РС, интернет зали и масовите потребители.

2 подраздел е да се укажат индивидуални промени, за всеки потребител, независимо от останалите. Това е подходяща възможност за фирма, където много хора работят на 1 компютър, всеки има различни привилегии според изискванията за работата му.

От adjust .net security се нагласят правилата за достъп и безопасност.

В този раздел за да можете да настроите настройките за даден потребител, първо трябва да стартирате компютъра с акаунта който искате да настройвате. ВНИМАВАЙТЕ, тук има уловка. Според правилата на НТ ядрото, само потребител администратор или равноправен може да променя системни настройки. Направено е така за да може тези на които не им е работа да се ровят в настройките, да не могат да ровят там дето не им е работа.

1.          заредете уиндоус с администраторски акаунт, и на потребителя чиито привилегии за работа с .нет ще променяте, му дайте администраторски достъп. Тъй като потребителят до сега е бил с не администраторски акаунт, уин нт нямаше да разреши да му променяте настройките за .нет платформата.

2.          излезте от потребител администратор, и се включете с акаунта на потребителя, чиито .нет привилегии ще променяте. Вече потребителя е с администраторски акаунт – уин НТ ще разреши промените.

3.          задайте привилегиите които потребителя които трябва да има в петте зони за сигурност, за да може да работи свободно, без ограниченията да му пречат, тук верните настройки са според работата която има да се върши от потребителя. Всеки потребител си има свои собствени разрешения и забрани според работата си. Експериментирайте свободно, докато получите желаният ефект.

4.          излезте от потребителя чиито настройки току що нагласихте, и се върнете с акаунт администратор, и върнете предишните привилегии на потребителя като го върнете в потребителската група в която е бил.

Какви настройки ще сложите, зависи от това въпросният потребител какъв пост заема, какво прави и какво му е нужно за да работи, без да изпитва затруднения от ограниченията. Следва описание на всяка зона за сигурност, и забраните и разрешенията за всяко ниво. Можете да ги комбинирате свободно и да експериментирате, докато постигнете този ефект който търсите.

Отваряйки раздела, ще видят 5 групи за сигурност.

My computer ->  тази зона отговаря зя поведението на .нет платформата когато .нет скрипта е записан локално на твърдия диск

Internet -> тази зона отговаря зя поведението на .нет платформата когато .нет скрипта се достъпва през интернет

Local Intranet -> тази зона отговаря зя поведението на .нет платформата когато .нет скрипта се достъпва през локалната мрежа

Trusted  -> тази зона отговаря зя поведението на .нет платформата когато .нет скрипта е сложен в раздел доверени скриптове

Untrusted -> тази зона отговаря зя поведението на .нет платформата когато .нет скрипта е сложен в раздел не доверени скриптове

Степените на функционалност са 4:

Full trust -> пълен достъп до всичко, без ограничения.
все пак .нет скрипта е обект, подчинен на потребителя, така че ако на потребителя му е забранено нещо, .нет скрипта също няма да може да го достъпи, защото всеки стартиран обект ползва правата и забраните на потребителя на който е подчинен. ВНИМАНИЕ, когато потребителя е с администраторски акаунт, тогава .нет скрипта наистина има истински, пълен неограничен достъп до всичко в буквалният смисъл на думата. .нет скрипта ще може да прави каквото, където, както си поиска.

Medium trust -> умерен достъп, има достъп до локалната мрежа, интернет, само свойте файлове по диска, може да отваря и ресолва сайтове. Забранен е достъп до системните и защитените ресурси - регистри, стартови променливи, системни файлове, защитени файлове, папки и файлове на другите потребители. ВНИМАНИЕ, върху забраните на умереният достъп на .нет платформата, ще се натрупат отгоре забраните на конкретният потребител (ограниченията на акаунта с който се логва) за това внимателно премисляйте какви привилегии и забрани ще бъдат давани. Ако администраторският акаунт е с умерен достъп, то тогава, работата на .нет платформата ще се ограничава само и единствено от забраните на нивото, но администратора може да наложи каквото ниво си иска за себе си.

Low trust -> минимален достъп,  само до свойте файлове по диска. Забранен е достъпа до локалната мрежа, интернет, не може да отваря и ресолва сайтове. Забранен е достъпа до системните и защитените ресурси - регистри, стартови променливи, системни файлове, защитени файлове, папки и файлове на другите потребители. ВНИМАНИЕ, върху забраните на минималният достъп на .нет платформата, ще се натрупат отгоре забраните на конкретният потребител (ограниченията на акаунта с който се логва) за това внимателно премисляйте какви привилегии и забрани ще бъдат давани. Ако администраторският акаунт е с минимален достъп, то тогава, работата на .нет платформата ще се ограничава само и единствено от забраните на нивото, но администратора може да наложи каквото ниво си иска за себе си.

No trust -> никакъв достъп. Стартираният скрипт няма достъп до нищо и никъде. Няма да работи. Ще спира работата си, с грешка в работата - не може да достъпи ресурс, или със съобщение че няма право на достъп. Върху забраните на никакъв достъп, ще се натрупат отгоре забраните на конкретният потребител. В случая няма значение какви привилегии и забрани ще давате на потребителя, или в коя група и категория го слагате, .нет все няма да работи. администратора може да наложи каквото ниво си иска за себе си.

Когато потребителя се изключи (log off) настройките на този потребител потребител спират да са валидни. Когато друг потребител се включи .нет платформата зарежда неговите настройки.

От раздела trust an assembly можете да нагласите кой скрипт в категория да попадне.

Там отново има 2 подраздела, Не се опитвайте да настройвате двата подраздела едновременно, невъзможно е. Всеки отменя настройките на другия и налага свойте. За това изберете този подраздел който реално покрива вашите нужди. Когато скрипт попадне в съответната категория, забраните и разрешенията на категорията в която е поставен скрипта, се натрупват към тези които има потребителя. ВНИМАТЕЛНО обмисляйте и преценявайте какви настройки трябва да има потребителя.

1 подраздел е да се укажат глобални настройки за цялата система. Добър избор за домашни РС, интернет зали и масовите потребители.

2 подраздел е да се укажат индивидуални промени, за всеки потребител, независимо от останалите. Това е подходяща възможност за фирма, където много хора работят на 1 компютър, всеки има различни привилегии според изискванията за работата му.

При многопотребителското категоризиране, един скрипт, може да бъде категоризиран в няколко категории – различна категория за всеки потребител. Така, от една страна може да се ограничи, предизвикването на инцидент или неприятности ако някой рови из чуждите скриптове, и от друга когато потребителя работи със свойте скриптове, да няма пречки в работата си.

За многопотребителска настройка, трябва както в предният раздел да прекатегоризирате потребителя по същият начин за настройки и връщането им по категории/групи като свършите с настройките и категоризирането.

По подразбиране, всички .нет приложения записани на твърдият диск, се третират според ограниченията и разрешенията в раздел my computer. След прекатегоризирането на .нет скрипт, отношението на ОС, .нет платформата и браузера, към този скрипт, е такова, каквото е зададено в съответната категория към която е причислен въпросният скрипт.

Когато потребителя се изключи (log off) настройките на този потребител потребител спират да са валидни. Когато друг потребител се включи .нет платформата зарежда неговите настройки.

С това се изчерпват основните настройки на самата .нет платформата.

Втората част е по-скоро фина настройка, тя се намира в опциите на интернет експлорер, меню tools> internet options -> Security. Тези настройки указват дали да се разрешава или забранява изпълнението на .нет скриптове със или без подпис когато биват достъпвани през интернет или през локалната мрежа. Забраните и разрешенията от четирите раздела в интернет експлорер, се натрупват към настройките за общият достъп  на потребителя до системата, и към настройките за достъп до .нет на всеки потребител.

Съответно и тук важи правилото че всеки потребител си има свой собствени настройки, и че всеки сайт може да попадне в няколко категории – за всеки потребител. И тук важи правилото че при смяна на потребителя съответно настройките на спреният потребител спират да са валидни, и в сила влизат тези, които са на потребителя който се включва. И тук идеята е, да се избегнат неприятности и проблеми ако някой рови по чуждите скриптове.

Настройките в четирите зони за сигурност пак се нагласят индивидуално, и настройките са за отношението на .нет платформата и на интернет експлорер когато по интернет, или по мрежата. И тук важи правилото за натрупване на забраните, така че обмисляйте настройките на потребителският акаунт, самата .нет платформа, и за интернет експлорер, така че внимателно премисляйте къде какви забрани има и къде какви разрешения има, за да може настройките да са добре координирани, и човека да работи свободно без затруднения. Подобно на настройката на самата платформа, и категоризирането скриптовете, тук също свободно експериментирайте различни комбинации, докато постигнете желаният ефект. Не забравяйте че всяка от трите части, оказва своето влияние върху другите 2, заради правила на на НТ ядрото за натрупване на забрани.

Настройките за сигурност са:

позволено изпълнение с подпис

Забранено изпълнение с подпис

Позволено изпълнение без подпис

Забранено изпълнение без подпис

Зоните за сигурност са:

Internet -> тук по подразбиране се третират .нет скриптовете достъпвани през интернет. Чрез този раздел, вие установявате дали да се обръща внимание на това дали .нет скрипта е подписан или не и какво да бъде отношението към скрипта при наличие или отсъствие на подпис.

Local Intranet -> тук се тук по подразбиране се третират .нет скриптовете достъпвани през локалната мрежа. Чрез този раздел, вие установявате дали да се обръща внимание на това дали .нет скрипта е подписан или не и какво да бъде отношението към скрипта при наличие или отсъствие на подпис.

Trusted sites -> тук се тук по подразбиране се третират .нет скриптовете достъпвани през интернет от сайтовете на които сте гласували доверие. Чрез този раздел, вие установявате дали да се обръща внимание на това дали .нет скрипта е подписан или не и какво да бъде отношението към скрипта при наличие или остсъствие на подпис.

Restricted Sites -> тук се тук по подразбиране се третират .нет скриптовете достъпвани през интернет до сайтове, които сте ограничили, и на които нямате доверие.  Чрез този раздел, вие установявате дали да се обръща внимание на това дали .нет скрипта е подписан или не и какво да бъде отношението към скрипта при наличие или отсъствие на подпис.

Какви настройки ще сложите – зависи от това въпросният потребител какъв пост заема, какво прави и какво му е нужно за да работи, без да изпитва затруднения от ограниченията. Експериментирайте свободно, докато получите желаният ефект.

За многопотребителската настройка, трябва както в предните раздели да прекатегоризирате потребителите по същият начин както за настройки и прекатегоризиране на скриптовете, и после връщането им по категории/групи като свършите с настройките и категоризирането.

Тук отново важи правилото за това как един сайт или ресурс по мрежата може да е в няколко категории – индивидуално за всеки потребител, така че хем да се избегнат проблеми и неприятности, хем да не се пречи.

Когато потребителя се изключи (log off) настройките на този потребител потребител спират да са валидни. Когато друг потребител се включи Интернет Експлорер зарежда неговите настройки.

Един съвет, при първоначално конфигуриране на платформата, или конфигуриране на нов потребител, за да спестите време, преди да върнете потребителя в неговата категория/група, нагласете му всичко наведнъж - правата на достъп на скриптовете, категоризирайте му скриптовете, и следенето за подпис когато се достъпва скрипт през мрежата или интернет.

При настройката на двете части, уин и ИЕ ще изпълнят съответните приложения и скриптове, според съответните правила, в съответните зони. Крайният резултат е че чрез първата зона се определят правата на достъп, при изпълнение на .нет скрипт, а с втората част допълваме тези права, като се следи за това дали скриптовете да се следят за присъствието на подпис, при достъп на скриптове през локалната мрежа и интернет, и съответно как да се реагира при наличието и отсъствието на подпис.

Като част от общата интеграция между уиндоус, интернет експлорер и офис, тези настройки, пряко указват влияние върху Outlook и outlook експрес, и тяхното третиране на html писма, с вградени или прикачени .нет скриптове. При правилно настройване, на самите пощенски клиенти, на браузера и на самата .нет платформа, няма да има нужда да се притеснявате от нападения през outlook/outlook express. Нападенията ще са безсмислени, просто защото .нет нападките вградени или прикачени, няма да се стартират и няма да могат да ви навредят.

No comments:

Post a Comment

Note: Only a member of this blog may post a comment.