Jumat, 28 Januari 2011

Registry Mania : Ownership

Salah satu komponen penting dari  sekuriti berbasis ACL milik Windows adalah : ownership.   Setiap obyek pasti mempunyai pemilik (owner). Owner mengendalikan bagaimana permission diberlakukan pada obyek  Dan kepada siapa permission tersebut diijinkan. Status owner diberikan saat suatu obyek dibuat. Secara  default, owner adalah orang yang membuat obyek tersebut.  Tidak peduli permission apa yang diberikan
kepada obyek tersebut, owner dari obyek tersebut dapat selalu mengubah permission dari obyek yang dibuatnya. 
Jadi, seandainya, saya membuat suatu obyek, maka saya adalah pemilik obyek tersebut, dan memiliki kemampuan membaca dan mengubah access control policy untuk obyek tersebut.
Sebagai analog, misalkan kita mempunyai rumah. Bisa dikatakan, rumah mempunyai policy access control sederhana.  Anggap saja policy access control-nya : Apakah ia terkunci ataukah tidak.  Jika rumah dikunci, maka ia akan menolak setiap akses dari siapapun untuk masuk kedalamnya.  Jika rumah tidak terkunci, maka ia mengijinkan akses oleh setiap orang. 
Sebagai pemilik rumah kita pasti memegang kuncinya. Dengan kunci inilah kita bisa mengubah policy access tersebut .  Sebagai pemilik, kita selalu bisa melakukan perubahan tersebut.  Tentu saja, jika kita mau,  kita dapat memberikan kunci tersebut kepada orang lain.  Tapi itu sama saja kita memindahkan ownership kita kepada dia.
Perlu dicatat, Windows secara teliti akan melakukan penjajakan dan pelacakan siapa pemilik (owner) dari  setiap kernel object, setiap file, setiap service, dll.
Setiap obyek yang mengimplementasi discretionary access control di Windows dapat dipastikan akan mempunyai security descriptor yang terhubung dengannya.  Dan dua bagian penting dari descriptor tersebut adalah owner SID  dan DACL.  Owner dan DACL amat terkait erat.
Owner SID dapat berupa seorang pemakai atau group.  Untuk group  hanya terjadi dengan local Administrators group. Sistem operasi secara standar mengatur default owner SID untuk administrators sebagai Administrators local group,.  Ini artinya jika KIKI salah seorang administrator di komputernya, saat ia membuat obyek, owner SID-nya tidaklah KIKI, tapi Administrators group.

Secara teknis, sebagai owner dari obyek, maka Windows memberikan kita dua permission yaitu :

•    READ_CONTROL ("Read Permissions"), yang dipakai untuk membaca data.
•    WRITE_DAC ("Change Permissions") yang dipakai untuk mengubah data.

Maka jika kita adalah owner dari obyek, maka kita selalu diijinkan untuk membuka permission ini,  TANPA memperdulikan dengan apa yang dikatakan (aturan yang dibuat) oleh DACL.
Analognya, seperti kita akan masuk ke rumah milik kita yang terkunci.  DACL pada rumah tersebut mempunyai aturan: Setiap orang dilarang mengakses (masuk).  Tapi, itu tidak dapat menghalangi kita sebagai owner.  Karena sebagai owner kita mempunyai kunci rumah tersebut, maka kita tetap dapat mengubah DACL yang mengijinkan setiap orang masuk.  Dan setelah kita masuk ke dalam rumah, kita dapat mengubah access control policy lagi, jika memang kita inginkan.
Ada permission yang sangat penting untuk diketahui,  karena amat berkaitan dengan ownership.   Nama kerennya adalah  Take ownership, dan nama programmaticnya  adalah WRITE_OWNER.   Oh iya…  hampir lupa, sekalian ah….. untuk masalah ACE.  Berikut ini adalah struktur logiknya. 


Gambar:  Struktur logik ACE

Struktur logik dari ACL dapat dilihat pada gambar. Access Control List:  disebut  Access Control Entry (ACE).  ACE terdiri dari SID user atau group, 32 bit access mask yang  mendefinisikan status permissions apakah diijinkan, ditolak, atau di audit.  Pada setiap masukan juga terdapat suatu set flags (penanda) yang dipakai untuk menentukan bagaimana ia terkait dengan masalah ACL inheritance.  Saya tidak akan terlalu jauh membahas ini.  Ini masalah registry, bukan isi dari sistem operasi Windows.  Jika mau cari buku yang membahasnya.  Saya hanya menerangkan apa yang saya anggap perlu untuk kaitannya dengan registry. 


Note : [Remake BDRW:MKWXP-16]
Tri Amperiyanto

Tidak ada komentar:

Posting Komentar