На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

РЕЕСТР   WINDOWS NT

Как уже говорилось, операционная система Windows NT хранит большинство своих установок в реестре. В основном правами на чтение и запись реестра обладают только участники групп Администраторы и Опытные пользователи. На самом же деле доступом к реестру должны обладать только те пользователи, которые будут устанавливать новое программное обеспечение или просматривать
журналы событий.
Если же вы предоставите права на изменение реестра обычным пользователям или даже гостям, то хакеры смогут редактировать его элементы. К сожалению, в реестре хранятся не только сведения об установленных в системе программах, но также и очень важная информация о самой системе. Благодаря реестру мож­но коренным образом изменить вид и установки сервера NT.
Если хакер доберется до записей реестра, то он легко сможет просмотреть спи­сок элементов управления доступом. Эта информация располагается в разделах
и Если же хакеру предоста-
вить права на изменение реестра, то он сможет контролировать любой его эле­мент (включая ассоциации, программы и Например, по умолчанию в Windows NT 3.51 (и более ранних версиях) участники группы Пользователи обла­дают правами на запись раздела HKEY_CLASSES_ROO Другими словами, лю­бой пользователь может изменить ассоциации файлов (например, *.Ш = notepad.exe на *.txt = hacker.exe). Изменив таким образом реестр, злоумышленник может установить троянского коня, который после перезагрузки системы будет переда­вать информацию хакеру.
Более того, если изменять реестр смогут участники группы Гости, то тут уж, по­жалуй, нельзя будет говорить ни о какой системе безопасности. Поэтому я на­стоятельно советую вам регулярно просматривать разрешения на файлы реестра. Кроме того, в Windows NT 4.0 можно вообще запретить доступ к реестру из сети.
WINDOWS NT и КОМПЬЮТЕРНЫЕ ВИРУСЫ
Как уже отмечалось в главе 14, некоторые виды вирусов (вроде макровирусов) могут выполняться и на машинах, работающих под управлением Windows NT. Определенные вирусы могут поражать эту операционную систему на машинах с двойной загрузкой (т. е. с двумя операционными системами). Дело в том, что загрузочные вирусы, поразившие вторую операционную систему (вроде DOS, OS/2 или Windows 95), могут испортить загрузочную запись Windows NT. Многие старые вирусы DOS прекрасно себя чувствуют в эмулируемом в Windows NT ре­жиме DOS. Большинство старых загрузочных вирусов могут заставить Windows NT выдать сообщение о невозможности доступа к загрузочной записи.
В настоящее время многие сети построены на использовании сервера Windows NT и рабочих станций под управлением других операционных систем (вроде MS-DOS или Windows 3.x). Поэтому многие компании распространяют антивирусные
программы, работающие под управлением Windows NT. С их помощью можно обезопасить сервер Windows NT от проникновения вирусов с других машин.
WINDOWS NT и АТАКА        OF DEATH
Ping of Death - это большой пакет ICMP, который рабочая В станция отправляет определенному компьютеру. Этот компьютер получает послание в виде отдельных фрагментов и начи­нает собирать из них весь пакет. Однако, в зависимости от' размеров пакета, он может переполнить буфер памяти. А это ■может повлечь за собой непредсказуемые результаты вроде перезагрузки ма­шины или прекращения работы («зависания») машины. Этот тип атак стал особенно популярен в последнее время и используется для нападения на се­тевые серверы Unix.
Как Windows 95, так и Windows NT могут посылать пакеты Ping of Death. Однако в отличие от большинства Unix-систем, пострадать от этой атаки может только Windows NT 3.51, на которой не установлены четвертый или пятый пакеты обновлений. Windows NT 4.0 попросту отбрасывает такие па­кеты, когда они переполняют выделенный для них буфер.
Для получения более подробной информации об этой атаке посетите Web-сайт Майка Бремфорда, расположенный по адресу http://www.sophist.demon.co.uk/ping.
WINDOWS NT и FTP
Большинство сетей Windows NT содержит как минимум один сервер, соединен­ный с Internet. Если же вы используете в присоединенном к Internet домене службу FTP, то вам нужно знать и о связанных с ней проблемах. IIS (Internet Information Server) FTP-сервер гораздо надежнее стандартного FTP-сервера Windows NT. Поэтому старайтесь по возможности использовать IIS FTP-сервер.
Одним из самых существенных недостатков стандартного FTP-сервера Windows NT является тот факт, что по умолчанию он не регистрирует доступ из сети. Чтобы исправить это недоразумение, нужно изменить несколько параметров ре­естра. Для этого запустите regedit. ext и найдите раздел
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\FtpSvc\Parameters.
Чтобы подключить средства аудита, присвойте параметрам LogAnonimous, LogFileAccess и LogNonAnonimoui значение 1.
УТИЛИТА    ROLLBACK. ЕМ:
Компакт-диск Windows NT 4.0 содержит утилиту rollback.exe, которая может уничтожить всю вашу систему. Она не предназначена для конечных пользовате­лей, однако компания Microsoft случайно включила это инструментальное сред­ство в состав пакета установки Windows NT. Если запустить эту утилиту, то она удалит все элементы реестра. После этого вы даже не сможете повторно загру­зить систему. Поэтому вам придется воспользоваться аварийной дискетой и восста­новить систему с помощью последней резервной копии.
Компания Microsoft разработала эту утилиту, чтобы администраторам
удалять элементы реестра. Однако rollback.exe не только не работает так, как
было обещано, но, более того, удаляет все элементы реестра. Поэтому вам
следует обязательно удалить ее с жестких дисков всех машин и (если это нужно) хранить в каком-либо надежном месте. Если же вам все-таки нужно оставить ее
на жестком диске, обязательно переименуйте файл, чтобы его не мог обнару­жить хакер.
СРЕДСТВА АУДИТА NetBIOS
Компания Secure Networks, Inc. создала новое инструмен­тальное средство NetBIOSAuditing Tool (NAT). С его помощью можно проверять совместно используемые ресурсы и целост­ность паролей, распаковывать информацию, а также проводить атаки, которые будут описаны в главе 18. NAT распростра­няется бесплатно. Кроме того, можно заполучить исходный текст програм­мы для Unix и скомпилировать его на своей машине. Secure Networks, Inc. распространяет NAT, руководствуясь публичной лицензией GNU.
Чтобы получить более подробную информацию о Net В/Oi Auditing Too! по­сетите Web-страницу компании Secure Networks, Inc., расположенную no f адресу загрузить файлы, со-
держащие программу NAT и ее исходный текст, посетите FTP-сайт, располо­женный по адресу ftp://ftp.secnet.com/pub/tools/natlO/natl0.tar.^epcTia про­граммы для Windows NT и Windows 95 расположена по адресу ftp://ftp.secnet.com/ pub/tools/natlO/nat 10bin.zip.
БЕЗОПАСНОСТЬ RAS
Одной из наиболее часто используемых служб Windows NT является служба уда­ленного доступа (RAS - Remote Access Service). Она управляет регистрацией удаленных пользователей в сети Windows NT, включая регистрации по телефону и через Internet. На самом деле служба RAS работает совместно с локальным ведомством безопасности (LSA — Local Security Authority), диспетчером безопас­ности учетных записей (SAM — Security Account Manager) и монитором ссылок безопасности (SRM — Security Reference Monitor). С их помощью к сети могут присоединяться и такие пользователи, которые не присоединены к сети физиче­ски. Рост популярности RAS связан с увеличением количества .пользователей, ' работающих в рамках корпоративных и глобальных сетей. показа­но, как пользователь может присоединиться к серверу с помощью службы RAS.
кпиек!
сервер,
поддерживающий службу RAS
удаленный клиент
клиент
Удаленный пользователь присоединяется к серверу с помощью службы RAS.
Служба RAS устанавливает соединение почти так же, как это делает сетевая служба. Удаленный компьютер передает полученное с помощью MD4 смешан­ное значение пароля и имя пользователя серверу Windows NT. Сервер, в свою очередь, сверяет смешанное значение с элементами базы данных паролей. Од­нако по умолчанию служба RAS зашифровывает только пароль. Чаще всего ком­пьютеры пересылают данные RAS «открытым текстом».
Очевидно, что служба RAS создает огромное количество проблем, связанных с
безопасностью сети. Пользователи с правами надежного доступа могут считы­вать и записывать файлы на машину, выполняющую службу удаленного досту­па. Благодаря этому хакер может получить доступ ко всей сети в целом.
Для обеспечения большей безопасности сервера, использующего службу RAS, проделайте следующие операции:
1. Защитите сервер с помощью брандмауэра экранирующей подсети. С од­ной стороны подсети поместите экранирующий маршрутизатор, блокиру­ющий каналы доступа между сервером RAS и компьютерами за брандмау­эром. С другой стороны подсети поместите экранирующий маршрутиза­тор, блокирующий некоторые определенные действия (например, доступ с помощью протокола FTP). За более подробной информацией о брандмауэрах обратитесь к главе 3. показана общая схема рас­положения брандмауэра экранирующей подсети и сервера RAS.
Брандмауэр экранирующей подсети и сервер MS.
2. Подключите средства аудита службы Для этого откройте меню Пуск и выберите пункт Программы. В появившемся списке выберите группу программ Администрирование (общее), а в ней - программу Диспетчер пользователей для доменов. В появившемся окне программы откройте меню Политика и выберите в нем пункт Аудит. После подключения стандартных средств аудита нужно подключить средства аудита службы RAS. Для этого вам придется отредактировать некоторые элементы реестра.
Чтобы подключить средства аудита удаленного доступа, запустите про­грамму regedit.exe и присвойте параметру HKlW_IiC)CAL_MACHINE\Sys ttim\CXirrentControlSet\Servi ces\RasMan\Paxametex3 \ Logging значение 1.
После этого нужно выключить службу и перезагрузить сервер. Это необходимо для того, чтобы вступили в силу новые установки реестра. Теперь все попытки использования удаленного доступа будут зарегистри­рованы в журнале событий.
3. Установите средства идентификации службы RAS. После этого служба будет требовать от пользователя создания цифровых подписей для каждого пере­сылаемого пакета. Благодаря этому можно избежать атак наблюдения (9). Кроме того, с помощью цифровых подписей сервер всегда сможет обнаружить нарушение целостности данных пакета.
4. Установите средства шифрования службы RAS. После этого сервер RAS будет пересылать удаленному пользователю одноразовый ключ (после удач­ной регистрации в системе). Заметим, что одноразовый ключ зашифро­вывается службой RAS с помощью симметричного ключа, а сервер RAS генерирует новый одноразовый ключ при каждой регистрации удаленного клиента. Благодаря этому хакер не может повторно использовать чей-либо перехваченный ключ. Как уже говорилось в главе 4, большинство однора­зовых ключей являются симметричными, и многие из них обладают своим сроком существования.
Одной из наиболее сложных проблем, связанных с шифрованием в Windows NT 3.51 и 4.0 является тот факт, что сервер передает одноразо­вый ключ «открытым текстом». Благодаря этому хакер может взломать ключ и воспользоваться им в течение одного сеанса. Однако эта проблема будет устранена в Windows NT 5.0. Там будет использована встроенная реализация системы Kerberos. Как уже отмечалось в главе 10, система Kerberos обладает достаточно мощными средствами защиты распределен­ных
5. Подключите функции обратного дозвона («dial-back»). После этого сервер RAS будет проверять имя и пароль удаленного пользователя, а затем разъ­единять связь («вешать трубку»). После этого сервер наберет заранее за­программированный номер пользователя и соединится с ним повторно.
Благодаря этому можно зафиксировать телефон и месторасположение
пользователя.
Если у вас есть пользователи, которым нельзя дозвониться (например, агенты по продажам, расположившиеся в отеле), то создайте для них спе­циальную учетную запись, которая не будет использовать функцию обрат­ного дозвона.
6. Наложите ограничения по времени на использование службы удаленного доступа. Например, можно разрешить удаленным пользователям регист­рироваться в системе только с 6 утра и до 10 вечера.
Проделав эти операции, вы существенно повысите уровень безопасности своего сервера RAS. Однако еще раз напомню: если вам не нужна служба RAS, то лучше отключите ее.
СРЕДСТВА АУДИТА   WINDOWS NT
По умолчанию операционная система Windows NT не использует средства ауди­та. В этой главе я уже говорил о том, что аудит — это наилучшее средство для борьбы с хакерами. О том, как подключить средства аудита, подробно расска­зывалось в главе 12. Кроме того, вам необходимо создать политику аудита для каждого сервера. В частности, она должна включать следующие сведения:
1. Какие события нужно регистрировать (поведение пользователей, измене­ния файлов или процессов и т. д.).
2. Как долго нужно хранить записи аудита. Как долго нужно хранить резерв­ные копии записей аудита.
3. Нужно ли подключать средства аудита на всех машинах или только на сер­верах.
Завершив разработку политики, сконфигурируйте соответственно средства аудита. Вы наверняка заметите, что достаточно трудно вести записи аудита без специ­альных средств просмотра информации, расположенной в журнале событий, а
также без набора политик обработки самих журналов событий. Кроме того, сред­ства аудита могут существенно снизить производительность системы в целом.
Поэтому прежде, чем подключить средства аудита, дважды подумайте о том, как их настроить. Определите, сколько событий могут регистрировать средства аудита без существенного снижения трафика сети. Так как Windows NT хранит журналы регистрации на локальных дисках, то подумайте о том, как оградить журналы событий от посягательств со стороны хакеров. Возможно, вам понадо­бится создание копий журналов на одной или нескольких защищенных маши­нах — серверах журналов регистрации.
ТТАИНСТВЕННЫЙ АНОНИМЩИК
1SS (Internet Security Systems) бесплатно распространяет ути­литу everyone2user.exe, с помощью которой можно устранить одно из слабых мест Windows NT. Воспользовавшись этим недостатком операционной системы, хакер может получить доступ к совместно используемым файлам вашей
В апреле 1997 года 1SS впервые сообщила сетевым специалистам о существо­вании в Windows NT потенциальной «дыры». С ее помощью хакер может считать файл реестра удаленного компьютера и получить доступ к ценной и конфиденциальной информации, совместно используемым файлам и реест­ру Windows NT.
Источником неприятностей является встроенный в Windows NT, но нигде не задокументированный пользователь, которому присвоено имя «arionimous» (анонимный). С помощью этого «анонимного система произ-
водит передачу данных между машинами. предыдущих версиях Windows NT этот пользователь не обладал доступом к системным ресурсам. Для умень­шения Потенциального риска один из сетевых специалистов посоветовал пользователям Windows NT проделать следующие операции:
Немедленно устанавливать все дополнения компании Microsoft.
2. Тщательно устанавливать разрешения всех файлов.
Яз. Регулярно производить проверку защищенности системы.
разработала и предоставила в пользование программу, которая
изменяет слово «everyone» на «users» во всех элементах реестра. Программа называется everyone2users.exe Чтобы загрузить это приложение, посетите : FTP-сайт ISS, расположенный по адресу ftp://ftp.iss.net/everyone2users.exe.
СПЕЦИФИЧЕСКИЕ типы АТАК
Выполнив все рекомендации этой главы, вы существенно повысите уровень без­опасности вашего сервера Windows NT. Однако даже после всего этого у хакеров останутся еще некоторые способы проведения атак на вашу систему. Далее подроб­но описываются типы таких атак и методы борьбы с ними.
АТАКА НАБЛЮДЕНИЯ
Как уже отмечалось в главе 9, прежде, чем начать атаку, хакеры «вынюхивают» проходящую по сети информацию. При этом они попросту перехватывают паке­ты и копируют их к себе на машину для дальнейшего исследования. Таким обра­зом хакеры пытаются получить ценную информацию о предстоящей «жертве».
Одной из самых больших опасностей для вашей сети является использование старой версии Windows NT LANMANLAN Manager. Старые версии LANMAN пересылают пароли по сети «открытым текстом». Благодаря этому хакеру даже не придется атаковать систему — достаточно перехватить пакет с паролем! Одна­ко если вы используете Windows NT 3.51 или выше, то LANMAN будет пересылать
пароли в зашифрованном виде.
Но у хакера остается еще одна возможность. Ведь он может попытаться просмат­ривать пакеты обычных сетевых протоколов (вроде FTP или Telnet). Эти прото­колы не используют средств шифрования передаваемой информации. Если администратор не проведет соответствующей беседы с пользователями системы, то вполне возможно, что кто-либо из них будет использовать одни и те же имена и пароли для входа в систему и работы с протоколом FTP. Чтобы избежать подобных явлений, воспользуйтесь одной из описанных ранее утилит. С их по­мощью вы сможете заставить всех пользователей использовать разные пароли.
АТАКИ ОТКАЗА СЛУЖБ
Отказом службы называется такая ситуация, когда сервер (или рабочая стан­ция) делает одну из своих служб недоступной для других. Это наиболее распро­страненный вид атак на системы. Однако Windows NT достаточно устойчива к
подобным атакам. Далее приводится список причин, исходя из которых хакер может все-таки попытаться провести атаку отказа служб на вашу систему:
• Хакер установил на машине троянского коня. Но для своей активизации вирус требует перезагрузки системы.
• Хакер хочет скрыть свои следы или добиться сбоя процессора и тем самым заставить администратора поверить в то, что это была лишь «случайность»
(или очередной «глюк» операционной системы).
• Хакер попросту хочет вывести сервер из строя.
Однако и системный администратор может захотеть провести атаку отказа служб на своем сервере. Например, он хочет удостовериться в устойчивости сервера к этому типу атак. Или представим следующую ситуацию: некоторый процесс на сервере вышел из-под контроля и угрожает расположенным на диске данным и пользователям, подключенным к серверу. Очевидно, что нужно остановить сер­вер. А что, если администратор находится на порядочном расстоянии от него? Тогда поможет только атака отказа служб.
TCP-атаки
В главе 9 рассказывалось о том, как хакеры могут перехватывать передаваемую информацию с помощью атак предсказания последовательности пакетов, штор-
ма АСК-пакетов и т. д. Однако, благодаря своему методу обработки TCP-пакетов, Windows NT достаточно устойчива по отношению ко всем этим атакам.
Но     здесь у хакеров не все потеряно. Например, они могут воспользоваться
атакой «внедрения» (9). Благодаря улучшенным методам обработки
TCP-пакетов, Windows NT более устойчива к этому типу атак, чем Unix.
Как правило, сервер Windows NT достаточно защищен от нападений, основан­ных на использовании протокола TCP, за исключением атак, напрямую исполь­зующих порты TCP и UDP.
у
О    РЕКУРСИВНЫХ ОЧЕРЕДЯХ
ЛЯЬь.  Можно загрузить достаточно полезное дополнение для Win-Щ dowsNT Domain Name Server (DNS). Дело в том, что при щ обработке рекурсивных очередей (очередей, ссылающихся на самих себя), DNS использует последовательность идентифи­каторов, которую, как оказывается, достаточно просто пред­сказать, Благодаря этому хакер может попытаться предсказать номер теку­щего и последующего пакетов. Используя эти знания, он сможет подменить . ответы к рекурсивным очередям. Этот тип атак называется атаками заполнения кэша (cache pollution attack); Для устранения этой проблемы компания Microsoft создала дополнение, которое можно загрузить по адресу ftp://ftp.tnicmsoft.com/bussys/winnt/winnt-public/flxes/usa/nt40/1-

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика