На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

Основные меры защиты сервера TS

Общеизвестно, что сервер TS — это мощное средстао удаленного управления, которое при недостаточной защите может быть использовано против его владельца. Защита сервера TS начинается на уровне сети: списки доступа маршрутизаторов и брандмауэров должны ограничивать доступ к службам Terminal Services настолько жестко, насколько это возможно.
Конечно, никогда сервер Terminal Server не будет защищен, если он работает на незащищенной системе Windows. Вся эта книга посвящена организации безопасности для систем под управлением Windows, поэтому повторить здесь даже основные моменты нет никакой возмож­ности. В приложении А, "Перечень мер по защите Windows Server 2003", представлен наш собственный список основных мер по организации защиты системы Windows Server 2003, в котором вкратце перечислены все советы, приведенные в книге.
Кроме всего прочего, некоторые настройки безопасности могут быть использованы для самой службы TS. В этой главе мы рассмотрели только базовые методы защиты, но рекомендуем также обратиться к более подобной информации о конкретных конфигурациях, приве­денных в разделе "Дополнительная литература и ссылки".
Переход на Windows Server 2003
Поскольку для службы TS в Windows Server 2003 внесено множество полезных изменений, включая и улучшения системы безопасности, то переход на новую операционную систему будет оправданным и правильным решением. Наши следующие рекомендации требуют ис­пользования Windows Server 2003. Как и для любого коммерческого продукта, если вы хотите быть максимально защишенным, лучше использовать последнюю версию программы.
Группа Remote Desktop Users
Новая группа RDU (Remote Desktop Users) для систем Windows Server 2003 позволяет использовать единый центр управления всеми пользователями, которые имеют доступ к системе с помощью службы TS. Это сильно отличается от Windows 2000, в которой управление пользователями TS осуществлялось с помощью программы TSCC (Terminal Services Connection Configuration), файл tscc .msc. Внесение пользователей в одну группу также означает, что доступ к службе TS можно контролировать с помощью Group Policy (групповой полити­ки) сразу на нескольких серверах, что намного удобнее при управлении доступом.
на заметку
Для использования прав доступа с помощью интерфейсных карт для одной сети (NIC) на серверах с несколькими NIC, администраторы по-прежнему должны использовать программу TSCC.
При работе в домене Windows 2000 или домене Windows Server 2003, желательно добавить все серверы TS в единую организационную единицу (OU) в целях более простого управления и применения групповых политик.
Политики Software Restriction
Использование политик безопасности Software Restriction в системах Windows Server 2003 позволяет администраторам использовать групповые политики для ограничения возможностей работы пользователей на любом компьютере Windows Server 2003. Эти ограничения заключаются в том, что пользователи получают права на запуск только конкретных программ. Более подробная информация содержится В главе 16, "Возможности и средства защиты в системах Windows", и в разделе "Дополнительная литература и ссылки" в конце этой главы.
на заметку
Эта встроенная возможность Windows заменяет программу appsec, применявшуюся в предыдущих версиях Terminal Services.
Параметры настройки Terminal Services
После установки службы Terminal Services для внесения изменений в глобальную конфигурацию этой службы используется программа Terminal Services Connection Configuration (файл tscc-msc). Эта программа позволяет сконфигурировать работу службы TS с помощью настроек Server Settings (Настройки Сервера) и Connections (Соединения). Ниже мы рассмотрим каждую из этих настроек. Кроме тога, мы обсудим установку параметров работы для каждого отдельного пользователя.
Настройки сервера
В системах Windows Server 2003 рекомендуется использовать параметры безопасности, установленные по умолчанию (табл. 12.1).
Таблица 12.it Рекомендуемые настройки TSCC
Настройки сервера
Атрибуты
Delete temporary folders on exit (Удалять временные каталоги при выходе)
Use Temporary Folders per Session (Использовать для сеансов работы временные каталоги}
Licensing (Лицензирование соединения с Internet)
Active Desktop
По умолчанию Yes (Включено) - повышает уровень безопасности; при выходе будет удалена вся информация, которая использовалась во время сеанса работы
По умолчанию Yes (Включено) — повышает уровень безопасное™; каталоги существуют только во время сеансов работы
По умолчанию Per Device (Для устройства) — поскольку возможность Per User (Для пользователя) недоступна, этот параметр позволяет выполнять аутентификацию устройств, которым предоставляется доступ к серверу TS (может оказаться неудобным в использовании)
По умолчанию Disable (Отключено) — предотвращает описанные "хитрое™" по расширению привилегий
Настройки сервера Атрибуты
Permission Compatibility По умолчанию Full Security (Полная безопасность)—пояснений не требует.
(Совместимость разрешений) При установке значения "Relaxed Security"- все пользователи получают доступ
к критически важным файлам и параметрам реестра, т.е. могут запустить
любые приложения
Restrict each user to one session (Один По умолчанию Yes (Включено) — пользователи могут обойти это ограничение сеанс для одного пользователя) с помощью установки программ, запускаемых во время сеанса, на это
позволяет более четко контролировать их действия
НА ЗАМЕТКУ
В системах Windows Server 2003 параметры Group Policy (Групповая политика) имеют приоритет над параметрами, установленными с помощью TSCC.
Соединения
Элемент управления Connections (Соединения) в программе TSCC позволяет установить свойства для соединений на сервере TS. По умолчанию в системах Windows Server 2003 используются RDP-Tcp-соединения, а точнее соединение по протоколу RDP 5.2 (можно использовать и другие соединения, организуемые через другие сетевые адаптеры или использовать протокол Windows-терминала, например Citrix-ICA).
Щелкнув правой кнопкой мыши на соединении RDP-Tcp и выбрав из контекстного меню пункт Properties (Свойства), можно настроить отдельные параметры для службы TS, связанные с безопасностью. Доступно большое количество разнообразных параметров, но мы рас­смотрим только наиболее важные для системы защиты (см. табл. 12.2), и мы рекомендуем, как всегда, использовать наиболее жесткие ограничения.
Таблица 12.2. Рекомендуемые значения параметров для за ж ШСР-соединений В системах Windows Server
Вкладка
Рекомендуемое значение параметра
General (Общие)
Logon Settings (Параметры входа)
Sessions (Сеансы)
Environment (Среда) Permissions (Разрешения)
Network Adapter (Сетевой ада тер)
Client Settings (Параметры клиента)
Remote Control (Удаленное управление)
Установите параметр Encryption Level (Уровень шифрования) в значение High [Высокий) — данные шифруются ключом длиной 128 битов
Выберите значение Always prompt (or password (Требовать пароль только для Входа), что позволяет задать необходимость ввода пароли при установлении сеанса, даже если клиентская программа настроена на автоматический ввод имени и пароля. Для хакера становится бесполезным перехват файла с аутектификационными данными пользователя
Данные параметры позволяют заменить соответствующие настройки, сделанные в свойствах пользователей, и установить наиболее жесткие ограничения
Позволяет заменить параметры пользователя и мастера клиентских подключений
Лучше оставить установленные по умолчанию значения. Соблюдайте осторожность относительна группы RDU, поскольку в нее по умолчанию добавляются все интерактивные пользователи
. ггтттч ■ . ■''^иир Позволяет настроить на использование терминальных служб определенные сетевые адаптеры сервера [предотвращает запуск службы TS в ненужных сетях)
Снимите флажок для пункта Use Connection Settings From User Settings (Использовать параметры подключения пользователя) и отключите все возможности, которые перечислены внизу вкладки
Мы рекомендуем глобально отключить возможность удаленного управления сеансами пользователей [если это не требуется администраторам)
Параметры пользовательских соединений
Эти параметры можно найти, выбрав свойства пользователя В элементе управления Active Directory (Пользователи и компьютеры) на вкладке Terminal Services Profile (Профиль службы терминалов). Лучшей мерой безопасности является отключение службы TS для пользователей, которые не нуждаются в ней.
Средства безопасности службы TS в Windows 2000
Если вы не последовали нашему совету и не обновили свои системы TS, установив операционную систему Windows Server 2003, то для повышения защищенности системы и предоставления дополнительной информации администратору в случае обнаружения атаки, можно использовать дополнительные средства. Для этого существуют утилиты других поставщиков программного обеспечения, но здесь будут описаны только бесплатные программы от Microsoft.
Terminal Services Client Version Monitor (tsver. exe)
Утилита tsver. exe (также известная как Terminal Services Version Limiter) входит в пакет Windows 2000 Resource Kit. Эта утилита позволяет администраторам дополнительно ограничить число клиентов, которые могут подключаться к серверу TS (исходя из версии клиента). Утилита tsver. ехе также позволяет отобразить специальное сообщение для пользователей, которые хотят подключиться к серверу TS, используя недопустимую версию клиента.
Второе достоинство рассматриваемой утилиты в том, что теперь в журнал заносится не только сообщение о неудавшемся подключении, но и имя узла с его IP-адресом! Записи в журнал ведутся по умолчанию, независимо от ведения других журналов системы. Таким образом, администраторы получают В журналах настоящий IP-адрес, с которого ведутся атаки!
Ну, почти всегда. На самом деле IP-адреса определяются стороной клиента и могут оказаться бессмысленными, если между клиентом и сервером TS расположено устройство преобразования сетевых адресов (Network Address Translation, NAT). Например, если сервер TS находится в Internet, а клиент, защищенный брандмауэром с функцией NAT, имеет адрес 10.1.1.10 по RFC 1918, то В журнал будет занесен адрес 10 .1.1.10, а не IP-адрес брандмауэра. Естественно, это не особо поможет в расследовании взлома.
Утилита appsec.exe
Утилита appsec (Application Security Registration) — это еще одна программа из пакета Windows 2000 Server Resource Kit, которая Позволяет администраторам явным образом разрешить обычным пользователям выполнение одних программ и запретить выполнение других во время сеанса работы через терминал. При этом создается список разрешенных для выполнения программ (при занесении программы в список указывается полное имя программы, что предотвращает использование подложных исполняемых файлов с тем же именем). По­пытки выполнить неразрешенные программы будут безуспешными. Поскольку эти ограничения применяются только для обычных пользователей (не администраторов), то утилита appsec используется только при запуске сервера TS в режиме сервера приложений. Окно утилиты appsec показано на 5.
Authorized Applications
; Psib
□ losd«.(M C\WtNDOWS\wslem32 gcmliH C:\WIN DOWS\ivHHrt32
□ :it»i.ew C:\WI NO0WS^sm32
Г^пЛеяе C:\WINO0WS\q4lsm32
r~ljeqmlEne C:\WI NDOWS4system32
□ OT"W«e C:\WIND0WS\OPslem32 ij aqjlua.nt C:\W1ND0WS Я«ИЬ.М C;\WM[IOWS\fi-slem32 QACHsgLM C:\WI N00 WSViKtoJion Слтм**у Scroll
-Awiunnutck.,..
■ Secu^r^;^---:—
А/е. /2.5. Утилита appsec.exe из пакета Windows2000 Server Resource Kit ограничивает число приложений, которые могут запускать пользователи сервера TS
Ift'i
НАЗАМЕТНУ
В системе Windows Server 2003 утилиту appsec заменили политики Software Restriction.
Однако утилита appsec имеет существенные ограничения. В списке разрешенных программ могут оказаться следующие приложения: %systemroot%\explorer. ехе и %sysCejTLzroot%\systera32\systray.exe. Компания Microsoft также рекомендует добавить в этот список %systemroot%\system32\cmcl. ехе, system32\net.exe, system32\ regini.exe, system32\subst.exe, И system32\xcopy.exe, НО разрешение на выполнение этих мощных и часто используемых хакерами средств слишком опасно. К тому же если пользователь может изменить приложение, он обойдет установленные ограничения. Для проверки целостности программ не существует эффективных алгоритмов. Более того, если разрешенные приложения обладают широкими возможностями, то теряется весь смысл использования appsec. Стандартным примером является разрешение выполнения приложений Microsoft Office, в которых возможно использование мощных макроязыков и интерпретатора. Опытные пользователи могут использовать макрос Microsoft Office для управления объектами, которые являются внешними по отношению к приложению или документу, с которым работает это приложение. Независимо от этого, нам все равно нравится возможность блокировать доступ к исполняемым программам и использовать принцип "запретить все, что не разрешено явно" (см. главу 1, "Основы безопасности сетей и систем").

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика