На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

Защита от переполнения буфера в интерфейсе MSRPC

 


Бюллетень

 

MS03-026, MS03-039

BID

8205

Исправлено в SP

Windows 2000 SP 5, ХР SP 2,

и Server 2003 SP 1

Фиксируется

Нет

Компания Microsoft представила двухэтапный метод по устранению атак, использующих это уязвимое место.
1. Заблокировать сетевые порты, используемые программами атаки. Это UDP-порты 135, 137, 138, 445 и ТСР-порты 135, 139, 445, 593. Также следует отключить службы COM Internet Services (CIS) и RPC over HTTP, которые ожидают запросов на порты 80 и 443.
2. Получить заплату.
Тем, кто хочет принести удобство в жертву безопасности, советуем отключить службу DCOM (как описано в статье 825750 базы знаний Microsoft), что, безусловно, защитит от на­стоящих и будущих проблем. Однако это вызовет серьезные затруднения при удаленном взаимодействии с компьютером, защищенным таким образом. Поэтому стоит проверить со­вместимость такого исправления с работой своей организации.
В этой главе были рассмотрены атаки на службы систем семейства Windows NT, начиная от самых простых (подбор пароля) и заканчивая самыми изощренными (атаки посредника) и максимально опасными (червь Blast). Хотя у вас может голова пойти кругом от такого коли­чества возможных атак против протоколов аутентификации Microsoft, помните о наиболее важных шагах в создании надежной защиты.
▼ Заблокируйте доступ к Windows-службам с помощью сетевых и локальных брандмауэров.
■ Отключите неиспользуемые службы SMB. Самый безопасный метод для этой цели в Windows Server 2003 — убрать привязку службы совместного использования файлов и принтеров (File and Printer Sharing for Microsoft Networks) к соответствующему сетевому адаптеру (за более подробной информацией обращайтесь к главе 4, "Инвентаризация").
■ Если службы SMB должны быть запушены, установите значения параметров "Network access" ("Сетевой доступ"), которые бы предотвращали получение информации об именах учетных записей пользователей (см. главу 4, "Инвентаризация").
■ Задайте принудительное использование надежных паролей, используя параметр Security Policy (Локальная политика безопасности) ^Account Policies (Политики учетных записей)•=>Passwords Must Meet Complexity Requirements (Пароль должен отвечать требованиям сложности), лля настройки требований относительно сложно­сти пароля.
■ Включите блокировку учетных записей.
■ Заблокируйте настоящую учетную запись администратора с помощью программы passprop.
■ Переименуйте настоящую учетную запись администратора и создайте подложную учет­ную запись Administrator, которая не должна входить ни в одну из групп.
■ Включите аудит событий входа в систему с помощью параметров, доступных в Security Policy (Локальная политика безопасности)^ Audit Policy (Политика аудита) и часто про­сматривайте журналы (как было сказано, для этого можно использовать автоматизирован­ный анализ записей в журналах и утилиты создания отчетов).
■ Внимательно относитесь к подбору работников, которые получают привилегии адми­нистратора.
■ Установите уровень аутентификации LAN Manager Authentication Level, по меньшей мере, соответствующим значению "Send NTLM Response Only" на всех системах ло­кальной сети, особенно на устаревших системах, например в Windows 9х, которые мо­гут реализовать уровень 3 аутентификации с помощью обновления DSCIient из пакета Windows 2000 Support Tools.
■ Остерегайтесь писем электронной почты в формате HTML, которые требуют подклю­чения к ресурсам сервера SMB е использованием адреса file://URL (хотя такие ссылки могут быть и невидимыми для пользователя).
* Используйте все доступные заплаты.

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика