На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

Настройка сетевого доступа с помощью оснастки Security Policy

Иногда необходимо сохранить доступ к SMB-службам (например, для контроллера домена). Компания Microsoft сначала пыталась решить проблему нулевых сеансов с помощью параметра RestrictAnonymous, который обладает некоторыми опциями, влияющими на функциональ­ные возможности системы. Например, наиболее ограничивающее значение 2 этого параметра имеет негативный эффект для доступа клиентов и доверенных доменов (для устранения такого эффекта можно обновить клиенты Windows 95 с помощью утилиты dsclient, а более подроб­ную информацию можно получить в статье базы знаний Microsoft Q246261). Для более надеж­ного решения проблемы и более тонкого управления параметрами безопасности в системах Windows ХР и Windows Server 2003 был изменен интерфейс управления анонимным доступом.
Наиболее очевидное изменение затронуло элемент Security Options (Параметры безопас­ности) оснастки Security Policy (Политика безопасности), а именно — отсутствует параметр "Additional Restrictions for Anonymous Connections" ("Дополнительные ограничения для ано­нимных соединений"), в котором настраивалось значение RestrictAnonymous для систем Windows 2000. В системах Windows ХР и Windows Server 2003 все параметры Security Options (Параметры безопасности) распределены по категориям. Параметры, касающиеся ограниче­ния анонимного доступа, относятся к категории Network Access (Доступ по сети). В табл. 4.5 приведены новые параметры и рекомендуемые значения.
Таблица 4.5. Параметры безопасности для анонимного доступа в системах
Название параметра Рекомендуемое значение
Network access: Allow anonymous SID/Name Disabled (Отключен). Позволяет заблокировать работу про-
translation (Доступ по сети: Разрешить преобразова- граммы user2sid и подобных средств (включен на контролле-
ние и мен/идентификатор о в SID) pax домена)
Network Access: Do not allow Enabled (Включен). Блокирует работу средств, которые спо-
1 с л к собны обходить ограничение RestrictAnonymous=l anonymous enumeration of SAM ■       * 1
accounts (Доступ по сети: Запретить предоставле­ние сведений об учетных записях SAM анонимным пользователям)
Network Access: Do not allow anonymous enumeration Enabled (Включен). Блокирует работу средств, которые спо-
of SAM accounts and shares (Доступ no сети: Запре- собны обходить ограничение Re s trie tAnonymous=1
тить предоставление сведений об учетных записях (отключен на контроллерах домена) SAM и совместно используемых ресурсах анонимным пользователям)

 

 

 

 

 

 

 

 

 

 

 

 

т

абл.;4.5.

Название параметра

 

Рекомендуемое значение

 

anonymous users [Доступ по сети: Запрешь предос­тавление)
Network Access: Named Pipes that can be accessed anonymously (Доступ no сети: Доступные анонимно именованные каналы)
Network Access: Remotely accessible Registry paths and sobpaths (Доступ no сети: доступные удаленно пути реестра)
Network Access: Restrict anonymous access to named pipes and shares [Доступ no сети: ограничить аноним­ный доступ к именованным каналам и совместно ис­пользуемым ресурсам)
Network Access: Shares that can be accessed anonymously [Доступ по сети: доступные анонимно совместно используемые ресурсы
RestrictAnorLynraus=2, однако возможна установка ну­левых сеансов
Зависит ОТ предназначения системы. Удаление записей sqla query и epmapper позволяет заблокировать инвен­таризацию ресурсов с помощью SOL и RPC-служб, соответ­ственно


тавить значение этого параметра пустым

 

 

 

 

Enabled (Включен)

 

 

 

Зависит от предназначения системы. Наиболее безопасно ос­тавить значение этого параметра пустым. Значениями по умолчанию являются comcfc, DF3$
Достаточно беглого взгляда на табл. 4.5, чтобы понять, что главным преимуществом но­вых систем Windows ХР и Windows Server 2003 является более тонкое управление ресурсами, которые доступны при установленном нулевом сеансе. Добавление новых расширенных воз­можностей всегда радует, но нам нравилась элегантная простота RestrictAnonymous=2 в системах Windows 2000, когда просто запрещалась установка нулевых сеансов. Да, работать стало менее удобно, но разве мы не специалисты, чтобы разбираться с трудностями? В любом случае, мы не смогли обойти ограничения, установленные с помощью параметров из табл. 4.5, используя средства, описанные в этой главе.
Еще лучше, что параметры, описанные в табл. 4.5, могут применяться по отношению к орга­низационной единице или на уровне домена, а значит, могут быть унаследованы всеми дочер­ними объектами Active Directory при использовании контроллера домена Windows Server 2003. Для этого необходимо воспользоваться оснасткой Group Policy (Групповая политика).
Более подробную информацию о групповой политике можно найти в главе 16, "Возможности и средства защиты в системах Windows").
ВНИМАНИЕ
По умолчанию на доменах контроллеров под управлением Windows Server 2003 отключены некоторые из этих параметров, предотвращающих инвентаризацию с помощью SMB-служб.
НА ЗАМЕТКУ
Для обновления параметров Security Policy нужно щелкнуть правой кнопкой мыши на пункте Security Sellings (Параметры безопасности) в окне консоли управления и выбрать в контекстном меню пункт Reload (Перезагрузка) или


обновить Group Policy (Групповая политика) в домене.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Доступ к данным с помощью службы DNS
Как мы рассказали в главе 3„ "Предварительный сбор данных и сканирование", одним из первоисточников начальной информации являются сведения, предоставляемые службой имен доменов (DNS). Служба DNS представляет собой стандартный протокол Internet для преобразования IP-адресов в более удобные для человека названии, например amazon. coin. Поскольку пространство имен службы Windows 2000 Active Directory (AD) основано на DNS, фирма Microsoft полностью обновила реализацию сервера DNS, чтобы он соответствовал по­требностям службы Active Directory и наоборот.
Для поиска клиентами Windows 2000 таких сервисов домена, как AD и Kerberos, Windows 2000 предоставляет запись DNS SRV (RFC 2052), которая позволяет обнаруживать серверы по типу службы (например, Global Catalog, Kerberos или LDAP) и протоколу (например TCP). Таким образом, простой перенос зоны может дать много интересной информации о сети.
18g'
Перенос зоны в Windows 2000

 


Популярность S

 

 

Простота

9

 

 

 

Опасность

S& 2

 

Степень риска 5

 

Выполнять перенос зоны лучше всего с помощью встроенной утилита nsloofcup. В сле­дующем примере перенос зоны выполняется для домена labface.org под управлением Windows 2000 (для краткости и удобочитаемости текст примера отредактирован).
:тинг4.11. Перенос^
поме*
inslookup
С;\>nslookup
Default Server: corp-dc.labfarce.org Address:   192.16 В.234.110 > Is -d labfarce.org [1192.168.234.110]]
labfarce.org.    SOA corp-dc.labfarce.org admin.
labnarce.org. A 192.168.234.110
labfarce.org. NS     corp-dc.labEarce.org
_gc._top SRV priority=0, weight=10G, port^3268,  corp-dc.labfarce.org
_Xerberos._tcp SRV priority=0, weight=100, port=SS, corp-dc.labfarce.org
_kpasswd._tcp SRV priority=0, weigh.E=10Q, port=464, corp-dc.labfarce.org
_ldap._tcp SRV priority=0, weight=100, port=3 89, corp-dc.labfarce.org
В соответствии с документом RFC 2052, записи SRV должны иметь следующий формат.
Служба.Протокол.Имя TTL Класс SRV Приоритет Вес Порт Получатель
Из полученного файла злоумышленник может выяснить такие простые данные, как размещение сервиса глобального каталога домена (_gc . _tcp), контроллеров доменов, ис­пользующих аутентификацию по протоколу Kerberos (_kerberos._tcp), LDAP-серверов (__ldap. _tcp) и соответствующие номера портов (здесь показаны только примеры для протокола TCP).
О Запрет переноса зоны


Бюллетень BID

 

Нет Нет

 

Исправлено в SP

 

Нет

Фиксируется

Нет

Как можно догадаться, по умолчанию в системах Windows 2000 разрешается выполнять пе­ренос зоны для любого сервера. К счастью, в реализации DNS для систем Windows Server 2003 перенос зоны по умолчанию запрещен, как показано на 5. Показанное на рисунке окно появляется при выборе опции Properties (Свойства) для выбранной прямой зоны просмотра (в данном случае это labf асе. org) в консоли DNS Management (Управление DNS).
НА ЗАМЕТКУ
Хотя мы рекомендуем использовать запрет переноса зоны (см. 5), но вполне реально, что для вторичных DNS-серверов потребуется регулярное обновление информации о зоне. Нет ничего страшного в разрешении перено­са зоны для авторизованных серверов.
Слава Microsoft за отключение по умолчанию переноса зон в системах Windows Server 2003!
Хотя спедующая команда и не работает для реализации службы DNS под Windows, но она позволяет определить версию сервера, на котором запущена BIND DNS.
nslookup -q-txt -class=CHAOS version.bind.

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика