На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

Рекомендации по защите сервера Terminal Server

"Хакинг программы Terminal Server".
▼ Номер порта, используемый программой TS по умолчанию, можно изменить с помощью параметра реестра.
\HKLM\Syscem\CurrentControlSet\Control\Termin3l Sen/er\WinStatious\RDP-Tcp Значение: PortNuirber REG_DWORD=3389
Создайте собственный документ Remote Desktop Connection (файл с расширением . rdp), чтобы клиенты при подключении к службе TS использовали новый номер порта (альтернативным вариантом является использование перенаправления портов). Клиент ActiveX службы TS не может подключаться к порту, номер которого отличается от заданного по умолчанию.
■ Включите функцию вывода предупреждения при входе в Windows. Для этого необходимо изменить значения параметров реестра.
\HKLM\SOFTWARE\Microso ft Windows ЫТЛCurrent Version\Winlogon Имя Тип Значение
LegalNoticeCaption REG_SZ [заголовок no выбору]
LegalNoticeCaption REG_SZ [сообщение no выбору]
Теперь (в системах Windows 2000 и более ранних версиях) после того, как пользователь нажмет комбинацию клавиш <CTRL+ALT+DEL> для входа в систему, и до появления диалога входа в систему Windows 2000, появляется окно с заданным заголовком и сообщением, даже если вход в систему происходит через службу Terminal Server (должно быть установлено "горячее исправление" Q274I90).
v Переименуйте учетную запись администратора и установите для нее надежный пароль (но помните, что для настоящей учетной записи администратора нельзя использовать блокировку при интерактивном подключении, даже если вход в систему происходит с помощью службы TS). Создайте ложную учетную запись для пользователя Administrator и отслеживайте события входа в систему (как минимум).
■ Порог блокировки должен быть установлен для всех учетных записей, а пользователи должны применять сложные пароли.
■ Не разрешайте непроверенным пользователям входить в систему с помощью службы TS (что эквивалентно интерактивному подключению к системе).
■ Требуйте использования клиентскими программами 128-битовой зашиты.
* Для установки более жестких значений параметров службы TS воспользуйтесь программами TSVer и Appsec из пакета Reskit.
Рекомендации по защите от атак отказа в обслуживании
Здесь приведены некоторые рекомендации, представленные в главе 15, "Атаки отказа вобслуживании".

V Постоянно проверяйте наличие
новы>
пакетов обновления программ.

*» настроите параметры протокола i utyit* так, чтооы снизить возможный ущероотатак отказа в обслуживании для серверов, доступных через Interact. В следующей таблице перечислены настройки, использованные командой сервера windows2000test.com в время "игры в царя горы" В Internet осенью 1999 года.
Параметр реестра (в ветви нкьм\Еуэ\ссз\
Services\Tcpip\Pararaeterа\)
Рекомендуемое значение
Ссылка
SупАСtackPrосесt
TcpMaxHalfOpen
TcpMaxHalfOpenRetried
Термах Ports Exhau s ted
TcpMfixC onnec t Re spo ns e Retransmissions
EnableDe adGWDe t eсt
ЕпаЫ e PMTUD i s с о ve ry
KeepAliveTirae
EnableICMPRediгeсts
Interfaces\PerformRouterDiscovery (NetBt\Parameters\} NoName 2
100 (500 Для версии Advanced Server) 80 [400 дин версии Advanced Server) 1
300,000 (5 мин) I 0 1
0142641
Regentry.chm Regentry.chm Regentry.chm 0142541
Regentry.chm Regentry.chm Regentry.chm Regentry.chm
Regentry. chm Regentry.chm
Re1easeOnDemand

Далее описаны некоторые дополнительные параметры, которые помогут
чт<11> г ,1 ПТ1ЛП В пА< mnVMDI 1 , г ж ■ ■
защититься от

(В eeiBMHELH\Syatein\ CurrConer1Set\ Services\)

Tcpip\Parameters EnablelCMP Redirects
reg _DWord=0, система Q225344 игнорирует переадресацию 1CMP-

AFD\Parameters
пакетов
EnableSecurity Filters
TJisablelPSource Routing
TcpMaxData Retransmissions
Enab 1 e Dynam i с Backlog
M in imumDyriam i с reg_dword=1 включает фильтрацию TCP/IP, ко не устанавливает порты и протоколы
reg_™qrd=i отключает возможность отправителя задать маршрут IP, по которому дейтаграмма передается в сети
reg_dword=3 количество повторных передач TCP неподтвержденных сегментов данных для существующего соединения
reg_dword=1 включает функцию Q142641 динамического выделения соединений
r5G_dwortj=20 минимальное количество свободных соединений, разрешенное для ожидающей подключения конечной точки
Regentry.chm
Regentry.chm
Regentry.chm
QU2641
Параметр реестра Значение Рекомендуемое значение Справка
(в ветвинкьи \ Sy sfcem\
CutEContrLSet\
Servioee\J
MaximumDynamic REG_DWQR D=2 0 0 0 0 0142641
Backlog устанавливает количество
свободных соединений плюс количество соединений, которые находятся в наполовину установленном [syn_received) состоянии

Dynamic Backlog REG_DWORD=10 устанавливает 0142641
GrowthDelta количество свободных соединений,
которые необходимо создать при потребности в дополнительньк свободных соединениях

Безопасность Internet-клиентов
Здесь приведены некоторые рекомендации из главы И, "Хакинг Internet-клиентов Microsoft".
У Не читайте электронную почту и не работайте в Web на серверах, ответственных за решение критически важных задач,
■ Расскажите пользователям о риске, связанном с просмотром страниц в Internet и чтением электронной почты.
■ Следите за обновлением клиентских программ (загляните в меню Tool's (Сервис)1*Windows Update программы IE).
■ Максимально жестко настройте зоны безопасности Internet Explorer (подробности см. в главе П, "Хакинг Internet-клиентов Microsoft"). Прочтите документацию по технологии Internet Explorer Enhanced Security Configuration) и скачайте программы no адресу www.microsoft. com <зги сведения касаются только Windows' Server2003, но в более ранних версиях Windows многие подобные настройки можно сделать вручную или с помощью сценариев).
■ Настройте на серверах и шлюзах антивирусную фильтрацию передаваемых данных.
* Остерегайтесь писем по электронной почте в формате HTML и страниц Web, которые требуют подключения к ресурсам SMB посредством строки вида file: / /URL (хотя такие ссылки могут быть и не видны пользователю).
■ .
Проверяйте себя!
Никогда нельзя быть полностью уверенным в безопасности своей системы, не проводя самопроверки, — вот основная идея этой книги. В сегодняшних условиях непрерывной, круглосуточной работы особенно важно постоянно следить за поддержанием безопасности систем. Не позволяйте защите ослабнуть!
▼ Следуйте методикам, описанным в книге, и регулярно проверяйте свои системы на соответствие приведенным рекомендациям.
■ Если самостоятельное проведение проверок слишком обременительно, обратитесь к профессионалам, таким как компания Foundstone.
■ Чтобы выявить "троянские" программы или созданные в системе потайные ходы, воспользуйтесь программами наподобие Vision или fport для отслеживания используемых портов и использующих эти порты процессов.
■ Проверяйте целостность файловой системы с помошью таких программ, как программа Tripwire, чтобы вовремя обнаружить загруженные и спрятанные в системе файлы злоумышленников.
■ Найти файлы, спрятанные в потоки, можно с помощью утилиты sf ind из пакета Forensic Toolkit от компании Foundstone.
А В списке запущенных процессов следите за появлением файлов, перечисленных ниже. Если такой файл обнаружится, значит, кто-то использует вашу систему не по назначению.
azpt.exe, Communities.txt, CONN.ВАТ, cut.ехе, CYGWIN.DLL, CYGWIN1.DLL, datview.exe, DUMPACL.EXE, DUHPACL.HLP, Dumpacl.key, DupRipper.exe, enum.exe, epdump.exe, findscr.exe, FINGER.EXE, FINGER.TXT, Getmac.exe, GLOBAL.EXE, iks.reg, iks.sys, Ikslnstall.bat, IKSNT.zip, Local.exe, lsadump.dll, lsadump2.exe, mdac„both.pi, NAT.EXE, NAT_BOC.TXT, NBTSTAT.EXE, nc.exe, nete.exe, NET.EXE, NETDOM.EXE, NETNAME.EXE, NLTEST- EXE, NOW.EXE, NTSCAN.EXE, NTUSER.EXE, omnithreadert.dl, pass.txt, perl.exe, perlcore.dll, PerlCRT.dll, PKUNZIP.EXE, PKZIP.EXE, ports.txt, PULTST-EXE, PWDUMP.EXE, pwdump2.exe, pwdump3e.exe, PWLVIEW.EXE, RASUSERS.EXE, README. TXT, REG.EXE, REGDMP.EXE, REG IN I. EXE, REMOTE.EXE, RMTEXE.EXE, sarodump.dll, SAMDUMP.EXE, scan.exe, SCLIST.EXE, sid2user.exe, SMBGRIND.EXE. snmpmib.exe, SNMPUTIL.EXE, sort.exe, SRVCHECK.EXE, SRVINFO.EXE, STARTUP.BAT, STOP.BAT, strings.exe, tcpdump.exe, tee.exe, touch.exe, tr.exe, trace.bat, uniq.exe, UNIX2DOS.EXE, UNZIP.EXE, user2sid.exe, userlist.pl, VNCHOOKS.DLL,
winvhc.exe

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика