На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

СТАНДАРТНЫЕ ПРАВА ДОСТУПА к КАТАЛОГАМ

Во время своей установки Windows NT предоставляет пользователям всех стан­дартных групп некоторые права доступа к каталогам. Администраторы обладают полным доступом ко всем каталогам и файлам сервера и домена. Далее приво­дится список прав, предоставляемых остальным группам.
Каталог
_Группы_
winnt, \system32, \win32app
\system32\config
\system 32 \drivers, \system \repl
Операторы сервера и Пользователи могут и выполнять файлы, отображать их разрешения
безопасности и изменять некоторые атрибуты файла. Все участники группы Пользователи могут
просматривать список расположенных в этом каталоге файлов.
Операторы сервера обладают полным доступом
(чтение, запись, удаление, выполнение и создание). _Пользователям предоставляются права чтения._
Стандартные права доступа (продолжение таблицы на следующей странице).
к каталогам
Windows NT
Каталог Группы
\svstem32\spoo Операторы сервера и Операторы печати обладают
полным доступом. Пользователи обладают правами на чтение.
\system32\repI\expoi Операторы сервера могут читать и выполнять файлы, отображать разрешения безопасности и изменять некоторые атрибуты файла. Репликаторы обладают правами чтения.
Операторы сервера и Репликаторы могут считывать,
выполнять файлы, а также отображать разрешения
безопасности и изменять некоторые атрибуты файла.
Пользователям предоставляются права чтения.
\users Операторы учет а могут читать, записывать, удалять
и выполнять файлы из этого каталога. Пользователи могут только просматривать список расположенных
в каталоге файлов.
\users\default Все Пользователи могут читать, записывать _и выполнять файлы из этого каталога._
Стандартные права доступа к каталогам Windows NT (окончание).
При создании разрешений для каждой из групп вам может потребоваться изме­нить их права доступа к каталогам, перечисленным в таблице 15.4. Однако вам следует помнить, что нельзя полностью запрещать доступ к системным катало­гам. Например, пользователи должны обладать правами чтения каталогов winnt и потому что именно в них большинство программ хранит необходи-
мые для своей работы файлы.
АДМИНИСТРАТОРЫ  и ЭКВИВАЛЕНТЫ
Участники группы Администраторы обладают полным доступом ко всем ресур­сам. Например, они могут получить доступ к файлу или каталогу даже в том случае, если разрешения файла запрещают это. Поэтому нужно тщательно вы­бирать пользователей, которым можно предоставить права администратора. Кроме того, следует периодически проверять учетные записи этой группы, чтобы во­время выявить злоумышленника. К счастью, в Windows NT с помощью средств аудита можно просматривать использование идентификаторов участников груп­пы Администраторы. Операционная система позволяет идентифицировать ката­логи и файлы каждого пользователя.
Необходимо назначить всем пользователям, которые должны обладать наивыс­шими правами доступа, второй идентификатор, принадлежащий группе Адми­нистраторы. Благодаря ему вы сможете отслеживать все регистрации в системе и работу с файлами каждого такого пользователя.
Как уже говорилось, необходимо очень тщательно выбирать пользователей, ко­торым нужно предоставить права администратора. Кроме того, попросите адми­нистраторов использовать свой идентификатор только в тех случаях, когда это действительно необходимо. Например, это может понадобиться в том случае,
если какой-либо пользователь не может зарегистрироваться в системе. Другими словами, в своей обычной работе администраторы должны регистрироваться в
качестве пользователей.
Итак, подведем итоги всему сказанному. Во-первых, не следует предоставлять права администратора слишком многим людям. Во-вторых, вы должны объяс­нить всем администраторам, что пользоваться своими «сверхвозможностями» они должны только в экстренных случаях, а в обычной работе им следует регистри­роваться в качестве пользователей. Отметим, что в Windows NT не существует средства аудита администраторов. Поэтому политика безопасности
должна включать в себя просмотр журнала событий. С помощью таких просмот­ров можно определить пользователя, использующего идентификатор админист­ратора. Кроме того, должны существовать некоторые средства регулирования регистрации администраторов в системе.
ИСПОЛЬЗОВАНИЕ ИДЕНТИФИКАТОРОВ
Бывает необходимо, чтобы некоторые пользователи системы могли изменять права доступа других пользователей. Например, управляющему проектом может пона­добиться подключить к работе новых сотрудников. Вместо того чтобы предо­ставлять ему права администратора, можно зарегистрировать управляющего как участника группы Операторы учета. После этого администратор должен предо­ставить участникам этой группы полные права в необходимой для создания про­екта области сети.
Если назначить различных операторов учета во всех отделах компании, то это значительно уменьшит нагрузку на системных администраторов. Кроме того, если кто-то из операторов учета предоставит пользователям права, то администратор легко сможет определить это и наказать виновного. Заметим, что эта операция отняла бы гораздо больше сил и времени, если бы ее совершил
участник группы Администраторы.
ГРУППА   ПРОГРАММ АДМИНИСТРИРОВАНИЯ
^pfMpv   Во время своей установки Windows NT создает специальную Щ группу программ Администрирование (общее). Несмотря на то что просматривать эту группу могут      пользователи, для за­пуска ее программ необходимо специальное разрешение. В таблице 15.5 приводится список программ администрирова­ния и необходимый уровень доступа для их запуска.
Средство
Условия
Администрирование дисков Журнал событий
Создание резервных копий
Диспетчер пользователей
Диспетчер пользователей для доменов
Диспетчер сервера
Работать с этой программой могут только участники  группы Администраторы.
Просматривать Журнал событий могут все пользователи системы. Однако только участники группы Администраторы могут удалять записи
или просматривать Журнал безопасности
с помощью программы Просмотр событий.
С помощью этого средства любой пользователь может создать резервную своего файла.
Однако только участники групп Администрато­ры и Операторы резервного копирования могут получить привилегии доступа к файлам.
могут создавать участники
групп Пользователи и Опытные пользователи.
Участники групп Пользователи и Опытные пользователи могут создавать локальные группы и управлять ими с помощью консоли сервера. Во всех иных ситуациях это средство могут использовать только участники
Администраторы или Операторы учета.
Это средство могут использовать только участники групп* Администраторы и Операторы сервера (только в тех доменах, где зарегистри­рованы их учетные записи). Операторы учета
могут лишь создавать новые учетные записи домена. Остальными средствами диспетчера могут пользоваться           участники групп Администраторы._
Требования для доступа к программам администрирования.
БЕЗОПАСНОСТЬ    ГРУППЫ администраторов
Из всего вышесказанного становится понятно, почему хакеры первым делом пытаются заполучить привилегии администратора. Только тщательная политика
безопасности может предотвратить подобные явления. Однако и в этом случае у
хакера остаются пути для проведения атаки. Например, он может зарегистриро­ваться в системе в качестве пользователя и уже во время сеанса работы попытать­ся получить права администратора. Переход из группы с меньшими правами в другую группу называется атакой обхода безопасности (security step-up attack).
Одним из наилучших методов защиты от атак обхода безопасности является уда­ление группы Администраторы или изменение ее прав. Например, можно со­здать новую группу (назовем ее Сетевые администраторы) и предоставить ее участникам полный доступ к системе. После этого можно спокойно изменить права группы Администраторы. Теперь хакеру будет достаточно трудно опреде­лить, кто же на самом деле является администратором системы.
ХРАНЕНИЕ ПАРОЛЕЙ
Каждая операционная система содержит специальную базу данных, в которой хранятся пароли всех пользователей системы. В Windows NT она располагается на сервере в каталоге \winnt\sy.stem32\config\san Однако там нет никаких паролей. Наоборот, в этом каталоге хранятся их однонаправленные смешанные значения.
Как уже говорилось в главе 4, однонаправленные функции смешанных значений преобразуют исходные данные в некоторое значение. В Windows NT пароль пользователя преобразуется к кодировке Unicode, а затем с помощью алгоритма MD4 — в однонаправленное смешанное значение.
Операционная система преобразует пароли в смешанное значение.
Когда кто-либо из пользователей пытается зарегистрироваться на сервере, рабо­чая станция Windows NT проделывает те же шаги, что и при первоначальной
регистрации пользователя в системе. Другими словами, введенный пользовате­лем пароль преобразуется в смешанное значение MD4. После этого рабочая стан­ция передает результат вычислений серверу. Тот, в свою очередь, сверяет полу­ченное значение с элементами своей базы данных. Если какой-либо элемент совпадает с полученным значением, то сервер зарегистрирует пользователя в системе. NT
Преобразование и передача смешанного значения.
Таким образом, хранящиеся в базе данных значения не являются зашифрован­ным текстом (как это сделано в Unix-системах). Кроме того, благодаря этому
рабочая станция должна пересылать серверу не зашифрованный пароль, а его смешанное значение, что существенно усложняет взлом перехваченных данных.
Безопасност, СЕРВЕРА WINDOWS
В этой главе я ознакомлю читателя с несколькими методами обеспечения безопасности сервера Windows NT. Однако можно существенно облегчить свою задачу прямо сейчас. Далее при­водится список элементарнейших правил безопасности, сле­дуя которым можно избежать многих неприятностей:
1. Используйте наиболее новые версии Windows NT.
2. Защищайте свои серверы на физическом уровне. Невозможно говорить о безопасности того сервера, к которому имеют доступ обычные пользо­ватели.
3. Запретите удаленную регистрацию на рабочих станциях.
4. Не держите несколько операционных систем на одной машине. На жес­тких дисках всех машин должна стоять только одна операционная систе­ма -Windows NT с файловой системой NTFS.
Удалите расширенные права использования реестра группы Все.
6. Обязательно используйте средства аудита (12). Если же ваша сеть соединена с Internet, то средства аудита должны быть использованы максимально.
7. Загрузите новый пакет дополнений. Однако не используйте самые све­жие версии — в Них могут быть ошибки.
8. Удостоверьтесь в том, чтобы каталоги исполняемыми файлами были открыты только для чтения и выполнения. Старайтесь хранить частные файлы отдельно от общих.
9. Проверьте «хозяев» каталогов. Даже если у пользователя нет прав адми­нистратора, он в некоторых ситуациях может изменить права доступа к своему каталогу и расположенным в нем файлам.
10. Запустите программу Диспетчер пользователей и создайте строгую поли­тику паролей.
11. Отмените отображение имени пользователя, последним входившего в систему (Last Login).
Добавьте к локальным группам администраторов всех рабочих станций глобальную группу администраторов домена.
13. На контроллерах запретите группе администраторов произво­дить регистрацию из сети.
14. Если можно, удалите службу расписания.
15. Запретите доступ к потенциально опасным на ваш взгляд приложениям
(вроде cmd.exe или ntbackup.exe).
16. Используйте брандмауэр. Как минимум запретите внешний доступ к портам с помощью протоколов TCP и UDP. Поместите Web-,
FTP- и другие открытые серверы за пределами брандмауэра или в экра­нирующей подсети между двумя брандмауэрами (3). Чтобы оградить серверы от действий определенных групп пользовате­лей, применяйте «внутренние» брандмауэры.
18. Для наблюдения за ключами PWDumpвоспользуйтесь программой Дже­реми Эллисона PWAudit. С ее помощью вы сможете зарегистрировать все попытки захвата паролей.
19. Ежедневно просматривайте записи аудита. Однако не стоит слепо верить, что средства аудита операционной системы могут зарегистриро­вать все события в системе. Исследуйте все странные записи; выясните причину появления каждой такой записи. Возможно, одна из них наве­дет вас на хакера.
20. Запустите утилиту C2Conjlg. С ее помощью можно определить, обладает ли сервер уровнщм безопасности класса С2.
Регулярно запускайте антивирусные программы и утилиту
22. Подпишитесь на рассылку и знакомьтесь со всеми новыми статьями о Windows NT, распространяемыми в группах новостей.
23. Будьте предельно внимательны. Не упускайте ни одной, даже самой малой детали. Каждое непредвиденное событие или неадекватное пове-
рассматривайте как последствие попытки взлома.

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика