Warning: include(/home/sw/ziembor/public_html/include/headtmpl.php) [function.include]: failed to open stream: No such file or directory in /Windows_NT/integralnosc-systemu.php on line 1

Warning: include() [function.include]: Failed opening '/home/sw/ziembor/public_html/include/headtmpl.php' for inclusion (include_path='.:/:/usr/local/php/pear5') in /Windows_NT/integralnosc-systemu.php on line 1
Integralnosc systemu

Windows File Protection Service i kontrola integralności plików systemowych

Windows 2000

Streszczenie: opis mechanizmów kontroli integralności plików w Windows 2000 z użyciem mechanizmu Windows File Protection Service.

Ziemek Borowski http://ziembor.waw.pl/zmb/

Sprawdzanie integralności systemu: po co?

Często zdarza się, że musimy ustalić system nie został zmodyfikowany, np. przez intruzów, współpracownika tudzież nas samych, w pewnych nie do końca jasnych okolicznościach. Poniżej opisane zostaną narzędzia nadające się do sprawdzenia częsci ze zmian, i to tych wykonanych niezłośliwie. Do śledzenia innych zmian lepiej nadają się komercyjne narzędzia, sprawdzające nie tylko fakt podpisania danego pliku i zgodność zapisu w pliku katalogowym ale również wpisy w rejstrach, aplikacje nie korzystające z mechanizmów systemowych do weryfikacji plików, składowanie baz danych na innych niż główny system plików nośnikach itp. Przykładem takiego programu jest np. komercyjna wersja programu TripWire for Servers.

Windows Signature Verification (sigverif.exe)

Jedym z elementów strategii Windows IntelliMirror jest dbanie przez system operacyjny o kompletność i integralność instalacji. Obejmuje to m.in. przywracanie usuniętych przez użytkowników plików, kontrolę spójności całości systemu. Mechanizm ten sprawdza czy pliki wykonywalne (*.exe, *.dll) oraz sterowniki w zadanych katalogach (domyślnie %SYSTEMROOT%) posiadają podpis cyfrowy oraz weryfikuje podpisy/sygnatury pliku z posiadanymi bazami danych (na moim testowym Windows 2000 Server znajdują się one w katalogu %SYSTEMROOT%\system32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}). Wypadku zmian w popisanym pliku lub braku podpisu wyświetlana jest informacja. Pozwala to zapobiegać to ma złym praktykom prowadzącym do tak zwanego piekła DLL-i: czyli nadpisywaniu bibliotek przez kolejne instalacje programów uzależnionych od konkretnych bibliotek systemowych.

System File Checker (sfc.exe)

System File Checker (sfc.exe) jest, działającym w linii poleceń, narzędziem służącym do kontroli chronionych plików systemowych. Jeśli System File Checker odkryje zmiany w chronionych plikach zastępują ją wersją z katalogu %systemroot%\system32\dllcache folder.

Własność tę można wyłączyć (jest to bliżej opisane w artykule 206 -- patrz bibliografia).

Patrz też

$Date: 2002/07/03 17:33:58 $ $Revision: 1.7 $

Warning: include(/home/sw/ziembor/public_html/include/bottomtmpl.php) [function.include]: failed to open stream: No such file or directory in /Windows_NT/integralnosc-systemu.php on line 89

Warning: include() [function.include]: Failed opening '/home/sw/ziembor/public_html/include/bottomtmpl.php' for inclusion (include_path='.:/:/usr/local/php/pear5') in /Windows_NT/integralnosc-systemu.php on line 89