На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

Общие меры противодействия

Прочитав в этой главе об огромном количестве разных программ атаки, читатель может почувствовать себя несколько неуютно. Мы обсудили множество всяких подлых хитростей, большинство из них сводится к принуждению пользователя обманом запустить вирус, "червя" или другой вредоносный код. Было такжо описано и много конкретных решений для таких проблем, но до сих пор авторы избегали обсуждения полного спектра защиты от этих атак. Ниже приведен список основных рекомендаций и настроек, которые помогут защитить систему.
Настройте внешний шлюз сети таким образом, чтобы блокировались все соединения, кроме явно разрешенных политиками организации. Вероятно, наиболее опасный аспект хакинга клиентского Программного обеспечения — возможность установить исходящее соединение с сервером хакера по незащищенному протоколу, например, по протоколу telnet или SMB.
Не читайте электронную почту и не просматривайте Web-страницы с серверов, ответственных за решение критически важных задач.
Не устанавливайте программы Microsoft Office на серверы, ответственные за решение Критически важных задач.
■ ■ Работайте в Web и читайте электронную почту от имени непривилегированного пользователя и ни в коем случае не с правами учетной записи администратора.
■ Будьте параноиком — не щелкайте на непроверенных ссылках и не открывайте непонятные вложения из писем электронной почты. Просто нажмите кнопку Delete (Удалить).
■ С максимальной скрупулезностью относитесь к обновлению клиентских программ для
Internet. Используйте автоматические средства для обновления программ, описанные в главах 16, "Возможности и средства защиты в системах Windows", и 17, ''Будущее безопасности Windows".
Не забывайте и об обновлении программ Office через Web-узел Office Update. В частности, проверьте, было ли установлено обновление Outlook Email Security Update.
Максимально жестко настройте зоны безопасности IE (см. раздел "Зоны безопасности программы IE"), в том числе отключите все функции для зоны ограниченных узлов, затем настройте программы Out look/Out loo k Express на использование этой зоны для чтения электронной почты.
Прочтите ссылку на Internet Explorer Enhanced Security Configuration в раздепе "Дополнитепьная литература и ссылки" в конце этой глаеы. В системах Windows Server2003 настройки IEESC устанавливаются по умолчанию.
■ Установите уровень аутентификации службы LAN Manager для политики безопасности в значение "Send NTLMv2 Response only" (Отправлять только NTLM-ответ). Это снизит риск перехвата аутентификационных данных, которые передаются в сеансе SMB (однако остается возможным проведение атак с использованием подложного сервера или атак посредника).
■ Отключите аутентификацию NTLM в клиенте telnet для Windows (в командной строке введите команды telnet, затем unset ntlm и ejuit). Такая настройка предотвратит нежелательную передачу данных NTLM-аутентификации по сети в ответ на получение ссылок вида telnet://.
■ Во всех программах Office установите уровень безопасности-для макросов в значение High (Высокий) с помощью команды Tools=>Macro<*Security (Сервис^Макросы^Защита). Такие настройки защитят от атак через макросценарии в документах Office.
■ Установите в программе Access пароль для администратора, чтобы предотвратить запуск кода VBA из сценариев, которые автоматически запускаются при открытии базы данных.
1. Запустите программу Access 2000, но не открывайте базы данных.
2. Выберите команду Tools ^Security (Сераис^Защита).
3. Выберите пункт User and Group Accounts (Пользоватепи и группы). Выберите пользователя admin, который должен быть определен по умолчанию.
4. Перейдите на вкладку Change Logon Password (Изменение пароля). Если пароль пользователя Admin никогда не меняли, то он должен быть пустым.
5. Задайте пароль для пользователя Admin.
■ Постоянно обновляйте базы данных антивирусных программ и для клиентов, и для почтовых серверов.
■ Установите сетевые шлюзы и системы фильтрации для сервера электронной почты, чтобы удалять опасное содержимое из Web-страниц и писем (см. раздел "Фильтрация содержимого на шлюзе").
* Если все приведенные рекомендации вас не успокоили, не пользуйтесь Internet-клиентами от компании Microsoft (хотя это может оказаться практически невозможным, если вы работаете под ОС Windows — см. причины в следующем разделе).
■ ■ '
Перед тем как завершить эту главу, обсудим несколько последних пунктов приведенного списка более подробно.
Почему бы не отказаться от использования Internet-клиентов от компании Microsoft?
Любой, кто прочитал все сказанное выше, вполне может решить, что было бы правильно совсем отказаться от использования встроенных Internet-клиентов от компании Microsoft, поскольку многие, если не все описанные уязвимые места возникают из-за ошибок в этих программах. В самом деле, для многих проблем с безопасностью лучшим решением было бы использование клиентов производства других компаний, в частности это касается Web-браузера Internet Explorer. Настоящим параноикам стоит серьезно подумать над этой идеей. Однако для всех остальных можно привести несколько веских аргументов против.
Во-первых, другие программы также имеют недостатки в защите. Браузер Netscape не остался невредимым в войне с пользователями Internet — относительно недавно в нем были обнаружены ошибки реализации поддержки Java (BrownOrifice) и некоторые другие проблемы. К тому же, исходя из соглашения AOL и Microsoft, дни браузера Netscape сочтены (хотя появились и другие альтернативы, например Opera). То же касается и программы Eudora, одной из наиболее популярных конкурентов программы Outlook, в которой в марте 2001 года обнаружилась уязвимое место при работе с самоактивирующимися сценариями. Кто-то возразит, что изъянов в других программах намного меньше, но опять-таки необходимо учитывать и их малую распространенность по сравнению с клиентами от Microsoft, Невеселая реальность в том, что в любом Internet-клиенте, занявшем одно из ведущих мест на рынке, хакеры будут пытаться найти как можно больше уязвимых мест.
Во-вторых, клиенты с меньшим количеством функций имеют меньший риск возникновения проблем с безопасностью, но они затрудняют работу в Web. Сторонники безопасности обычно склонны использовать браузер Opera, в котором до недавнего времени вообще не были реализованы технологии динамического содержимого, такие как поддержка языка Java. Однако, сейчас браузер Opera поддерживает аплеты Java и сценарии — это демонстрирует, насколько тяжело в современном мире стало строго придерживаться только стандартов ста­тического HTML. Пользователи требуют более полной отдачи от Web, а попытка удовлетворить Требования безопасности намеренно ограниченными программными средствами обязательно приведет к поражению. Мы видим, что новые технологии, такие как XML/XSL, продолжают развиваться, стирая четкую границу между содержимым и кодом, как показал Георгий Гунински (Georgi Guninski) в своей статье №43, упомянутой в данной главе ранее.
В-третьих, механизм Internet Explorer вы получаете вместе с Windows 2000, хотите вы того или нет. Затянувшаяся антимонопольная борьба завершилась, и компания Microsoft победила —
механизм отображения HTML-кода из IE сейчас является основой пользовательского интерфейса Windows (вспомните Active Desktop, почти невидимые различия между проводником Windows и самим браузером, хранение адресов URL в виде ярлыков, щелчок правой кнопкой мыши для отсылки сообщения по электронной почте и тл.). Большинство, если не все описанные программы атаки затрагивают большую часть клиентов просто потому, что все клиенты используют как минимум один встроенный или дополнительный клиент от Microsoft, просто потому что это удобно. Многие программы от компании Microsoft и других производителей используют для низкоуровневых задач, например, для отображения кода HTML, механизм Internet Explorer/Outlook Express. Так что даже если вы не используете программы IE или ОЕ, многие из описанных атак все равно будут работать.
И в заключение, компания Microsoft прилагает огромные усилия для того, чтобы сделать систему защиты настраиваемой, что должно дать пользователям лучшее из обоих миров — передовые функции в программном обеспечении и чуткую систему безопасности, настраи­ваемую исходя из индивидуальных потребностей пользователя. Последняя версия программы IE, версия 6, поддерживает технологию Private for Privacy Preferences (РЗР), которая позволяет пользователям управлять информацией, передаваемой удаленным Web-узлам, на основе собственной политики. Программные пакеты Common Language Runtime (CLR) и .NET Framework обеспечивают платформу для действительно переносимого кода вместо технологии ActiveX, существуют и другие улучшения (более подробная информация о Common Language Runtime и .NET Frameworks описаны в главе 2, "Архитектура системы безопасности Windows Server 2003"). Вероятно, наиболее важно, что архитектура зон безопасности программы IE (IE Security Zones) останется частью системы, обеспечивая профили безопасности для каждого сценария.
Зоны безопасности программы 1Е
Чем более мошной и распространенной становится технология, тем больше вероятность ее использования в неблаговидных целях. По материалам этой главы видно, как во вредоносных целях используются развитые, развивающиеся и даже только что появившиеся клиент­ские программы для Internet. Закрыть глаза и надеяться, что "само пройдет" — не выход, новые технологии ждут за "линией горизонта", но могут породить столько же проблем, сколько и используемые в настоящее время (мы уже показали, как Георгий Гунински использовал для обмана системы безопасности технологии XML/XSL).
Общее решение для проблем, которые возникают с клиентскими технологиями для Internet, — ограничить возможность получения ими привилегированного контроля над системой в несоответствующих ситуациях. Для этого требуется понимание одной из наиболее незаметных сторон системы безопасности Windows, зон безопасности программы IE (IE Security Zones), которые впервые появились в версии программы IE 4.01. Действительно, для повышения безопасности системы необходимо научиться настраивать параметры зон безо­пасности Internet Explorer.
По существу, модель зон безопасности позволяет пользователям присваивать различные уровни доверия для кода, который загружается с одной из четырех зон: Intranet (Местная интрасеть). Trusted Sites (Надежные узлы), Internet (Интернет) и Restricted Sites [Ограниченные узлы). Существует и пятая зона, Мой компьютер, но она недоступна через пользовательский .интерфейс, поскольку настраивается только через пакет программ IE Administration Kit (IEAK). Узлы можно добавлять вручную в любую зону, кроме зоны Internet. В зону Internet входят вес узлы, не вошедшие в одну из других зон, и все узлы, в адресе URL которых есть точка (например, узел http: / /local является частью локальной зоны Intranet по умолчанию, а узел http: / /www .microsof t .com входит в зону internet, так как в имени имеет точки).
НА ЗАМЕТКУ
В прошлом некоторые злоумышленники использовали для обхода ограничений зоны безопасности Internet IP-адреса без символов точек и другие хитрости. Все эти проблемы были учтены Microsoft и теперь их испопьзование невозможно.
При посещении узла из определенной зоны ко всем операциям с узлом применяются соответствующие настройки безопасности (например, может быть разрешена работа элементов управления ActiveX). Таким образом, важнее всего правильно настроить зону Internet, поскольку в нее по умолчанию входят все узлы, посещаемые пользователем. Конечно, если узел был вручную добавлен в одну из других зон, на него это правило не распространяется. Очень внимательно относитесь к выбору надежных и ограниченных узлов при занесении их в другие зоны — если вы вообще решите это делать (обычно для пользователей корпоративной сети в другие зоны узлы заносят администраторы сети).
Для настройки зон безопасности откройте в программе 1Е или в аплете Internet Options (Свойства обозревателя) панели управления меню Tools'^ Internet Options (Сервис^Свойства обозреватепя) и выберите вкладку Security (Безопасность), как показано на 3. Наши рекомендации по настройке зон сводятся к следующим пунктам.
Т Максимально ограничьте функции для зоны Internet (см. раздел "Зашита зоны Internet").
■ Безопасные узлы занесите в раздел Trusted Sites (Надежные узлы).
■ Важно: для зоны Restricted Sites (Ограниченные узпы) установите уровень защиты "High" (Высокий) и отключите все остальное.
* Важно: настройте программы Outlook/Outlook Express на работу с параметрами ограниченных узлов.
Рассмотрим каждый пункт более подробно.


General' Smrty Iccitet | Cafrejfora | Prolan* 1 Adverted h Select i Web ccrtont too* to 5c*cr> *s wcixfcy wttj^i,
TIb EdnOcontehf at Wab slm you
havnrt placed n other кпк V'.
г 5etir«y tent Fa tNs голе -
Custom
. cuitoKissttingf- " . flfS* fx:- To'fKvqe lhe iotHnet, *jt Cmtera Level. - Ious4t^reconvTien^att^;d^OefaiA]AveT::

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика