На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

Безопасность систем семейства Windows

Если вы отвечаете за безопасность одной или нескольких систем семейства Windows NT, то после прочтения предыдущих глав можете почувствовать себя неуютно от того количества потенциально уязвимых мест, с которыми придется бороться, и от числа мер про­тиводействия, которые придется запомнить и реализовать во всем сетевом окружении. Как один или несколько человек могут поддерживать все системы в полном соответствии с требованиями к безопасности?
На протяжении всей книги мы периодически вспоминали идею "подъема планки" для атакующих. Она состоит в том, что стопроцентная безопасность недостижима, и главная цель — как можно больше усложнить жизнь хакеров. "Оборотная сторона" этой идеи — чем меньше действий приходится предпринимать для блокирования злоумышленников, тем ближе вы подошли к идеалу безопасности.
К своей чести, компания Microsoft в Windows 2000 предприняла определенные шаги в направлении к упрощению зашиты операционной системы. Кроме того, были реализованы функции, соответствующие самым последним стандартам безопасности, которые а значительной мере упрощают взаимодействие и расширение систем безопасности. Данная глава посвящена обсуждению следующих встроенных утилит и функций, которые впервые были реализованы в одной из операционных систем Windows 2000, ХР или Server 2003.
V Установленные по умолчанию настройки защиты
■ Брандмауэр internet-соединений (1CF — Internet Connection Firewall)
■ Шаблоны безопасности И анализ конфигурации безопасности
■ Групповая политика
■ Фильтры IPSec
■ Протокол Kerberos
■ Файловая система с шифрованием (EFS)
* Защита файлов Windows (Windows File Protection, WFS)
Этот список ни в коем случае не является полным списком всех функций защиты Windows. Он, скорее, показывает, какие ключевые, с точки зрения авторов, новые (или существенно обновленные) функции для борьбы с описанными в книге уязвимыми местами появились в операционной системе, В дополнение, хотя мы и не собираемся подробно рассматривать все эти вопросы, особое внимание уделим использованию перечисленных функций в борьбе с атаками, описанными в книге. Эти утилиты на самом деле помогут поднять планку для атакующих и упростить работу администраторов Windows 2000, ХР или Server 2003.
Установленные по умолчанию настройки защиты
Основной лозу!*г компании Microsoft: "Безопасность по проекту, безопасность по умолчанию, безопасность по реализации" (S\D3). Windows 5erver2003 стала первой операционной системой, которая получила дивиденды благодаря этому принципу, и следующая информация будет касаться именно этой версии операционной системы.
Основным элементом концепции SD3 от Microsoft, который актуален для всей системы Windows Server 2003, является безопасность по умолчанию. Здесь мы должны отдать должное Microsoft, поскольку большинство осторожных специалистов по безопасности, к которым мы относим и себя, рекомендуют использовать наиболее консервативный подход к компьютерной безопасности: отключать какие только можно функциональные возможности, что снижает диапазон потенци-
альных атак. В системах Windows Server 2003 (по сравнению с настройками по умолчанию в Windows 2000) по умолчанию отключены 19 служб, и еше несколько других служб запускаются с ограниченными привилегиями. Одним из главных шагов стал отказ от установки по умолчанию сервера IIS, идаже при установке этого сервера он запускается в защищенном режиме без функции обработки файлов исходя из расширений и с несколькими другими важными ограничениями.
Однако Microsoft не ограничилась пристальным вниманием к серверной части — не менее серьезно были ограничены настройки Internet Explorer. По умолчанию для зоны безопасности Internet Explorer установлен высокий уровень безопасности (High), что отключает все возможности обработки динамического кода (включая VBScript, JScript, элементы управления ActiveX, Java и сборки .NET Framework). На 1 показано предупреждающее окно, которое получают пользователи, когда они запускают Internet Explorer в системе Windows Server 2003.
Это позволяет повсеместно ограничить работу в Internet и чтение электронной почты на серверных системах, что значительно снижает потенциальный риск заражения вирусами с Web-страниц или из сообщений электронной почты. Безусловно, если для автоматизации определенных задач на серверах используется VBScript или другой интерпретатор сценариев, эта конфигурация по умолчанию потребует внесения изменений.
Запуск служб от имени учетных записей с ограниченными привилегиями
Как отмечалось в главе 2, "Архитектура системы безопасности Windows Server2003", в системах Windows ХР и Windows Server 2003 реализованы два новых элемента: Local Service и Network Service. Это низкоприаилегированные группы, которые могут использоваться для запуска служб, требутощих доступа к ресурсам {локально или по сети, соответственно) в отличие от полнофункциональной учетной записи LocalSystem. По умолчанию В Windows Server 2003 девятнадцать служб запускаются от имени одной из этих учетных записей.
Брандмауэр Internet-соединений (ICF)
Возможно, что Internet Connection Firewall (JCF) является наиболее серьезной функцией безопасности, которая обеспечивается в системах Windows ХР и Windows Server 2003. Брандмауэр ICF реализует статическую фильтрацию пакетов на конкретном адаптере конкретного хоста, разрешает сравнительно свободную отправку исходящего трафика и блокирует входящие соединения (в отличие от фильтров IPSec, которые мы рассмотрим ниже в этой главе).
В основном ICF справляется со своими обязанностями, однако в этом брандмауэре есть и ряд следующих недостатков,
Т ICF не запускается по умолчанию и требует ручной настройки до своего запуска,
■ Брандмауэр ICF нельзя настроить централизованно для ограничения доступа к нескольким системам с помощью групповой политики (хотя этим способом можно полностью запретить его использование).
■ В настоящее время он не позволяет выполнять фильтрацию исходящего трафика.
* Невозможна фильтрация пакетов исходя из IP-адреса (что делает эту функцию практически бесполезной для любой системы, кроме персональной рабочей станции и даже в таком случае ограничения довольно относительны).
Несмотря на эти недостатки, фильтрация входящих пакетов с помощью ICF была реализована на довольно высоком уровне и легко настраивается на одиночной рабочей станции. Заигита ICF может быть распространена на небольшую сеть с помощью службы Internet Connection Sharing (ICS — общий доступ В Internet), которая реализует функцию преобразования сетевых адресов NAT (Network Address Translation) и фильтрацию пакетов на цьпюзовьгх хостах с несколькими сетевыми интерфейсами. Правильно настроенные брандмауэр ICF и служба ICS делают Windows ХР и Windows Server 2003 практически невидимыми для сети, устанавливая особенно высокий барьер для потенциальных злоумышленников. На 3 показано, как активировать ICF и ICS в Windows Server 2003. Эти настройки доступны в окне Properties (Свойства) на вкладке Advanced (Дополнительно) для конкретного соединения/сетевого адаптера.
Шаблоны безопасности и анализ конфигурации ■
'I -
Шаблоны безопасности и анализ конфигурации защиты (Security Templates and Security Configuration Analysis), Которые в NT4 Service Pack 4 были представлены как необязательный компонент, вероятно, являются одними из лучших средств настройки защиты в инфраструктуре современных систем Windows, особенно в сочетании с групповыми политиками (Group Policy).
Шаблоны безопасности (Security Templates— это структурированные списки настроек Windows, связанных с безопасностью. Их можно редактировать к применять для системы, щелкнув один раз кнопкой мыши, — не нужно отдельно искать и изменять каждую из сотен описанных В книге (и еще нескольких нерассмотренных) настроек. Кроме того, файлы шаблонов можно сравнить с текущими настройками конкретной системы, выяснить, какие параметры конфигурации совпадают с указанными в шаблоне, а какие - нет (это и есть анализ конфигурации).
К шаблонам безопасности и анализу конфигурации защиты легче всего получить доступ, если открыть пустое окно консоли управления (Microsoft Management Console, ММС), а затем добавить в него оснастки Security Templates (Шаблоны безопасности) и Security Configuration and Analysis (Анализ и настройка безопасности), как показано на рис, 16.4. Рассмотрим эти средства администрирования подробнее.
Добавить параметры в узел Local Policies/Security (Локальные политики/ Безопасность) во всех оснастках можно путем изменения файла sceregvl. inf, который хранится в каталоге %windir%\inf, и перерегистрации файла scecli.dll (см. ссылку Threats and Countermeasures: Security Settings in Windows Server 2003 and Windows ХР в разделе "Допопнительная литература и ссылки" в конце этой главы).
Шаблоны безопасности
Ветвь Security Templates (Шаблоны безопасности) в левой панели окна ММС (см. 4) по умолчанию настроена на просмотр каталога %systemroot%\security\templates, в котором обычно хранятся шаблоны безопасности Windows. Щелкнув кнопкой мыши на имени шаблона безопасности, можно посмотреть его настройки. Шаблоны позволяют изменять конфигурацию перечисленных ниже компонентов системы безопасности Windows.
▼ Политики учетных записей (Account Policies). Эквивалентны параметрам политики безопасности Windows 2000 (и более поздних версий Windows) с аналогичными названиями. Сюда входят политики выбора пароля, блокировки учетной записи и протокола Kerberos.
■ Локальные политики (Local Policies). Эквиваленты параметрам политики безопасности Windows 2000 с аналогичными названиями. Сюда входят политики аудита, присвоения прав пользователю, политики безопасности (здесь хранятся наиболее важные параметры).
■ Журнал событий (Event Log). Параметры настройки журнала событий.
■ Ограниченные группы (Restricted Groups). Задают настройки только для авторизир о ванных членов групп. При применении этой политики все "посторонние" (для которых явно не задано привилегий) пользователи лишаются своих прав (применение этих правил с помощью групповых политик позволяет блокировать хакеров, которые создают учетные записи для потайного доступа в систему в группе администраторов домена или в какой-нибудь другой привилегированной группе).
Системные службы (System Services). Настройки этой группы определяют поведение служб во вре.чя запуска и права доступа (позволяют, например, отключать отдельные службы).
■ Реестр (Registry). Определяет настройки доступа к параметрам реестра,
* Файловая система (File System). Определяет настройки доступа к файловой системе.
Хотя описанные группы параметров касаются не всех аспектов работы в операционной системе Windows, а возможности задавать настройки, которых нет в шаблоне (например, добавить параметр реестра) ограничены, шаблоны безопасности представляют собой очень
вать безопасную и целостную конфигурацию большого количества различных машин под управлением Windows."
няздметку
Параметры реестра можно добавить в шаблон безопасности, если редактировать непосредственно файл с расширением inf. Однако через графический интерфейс новые параметры добавлять непьзя.
В ветви Security Templates консоли ММС показаны несколько заранее настроенньгя шаблонов, которые поставляются с Windows 2000 и более поздними версиями Windows. В табл. 16.1 приведено краткое описание каждого из них, шаблоны в таблице перечислены в порядке возрастания обеспечиваемого уровня безопасности (шаблоны ocf iles, rootsec и iesacls являются исключением из этого ряда).
Таблица 16.1. Описания предустановленных шаблонов безопасности
Шаблон
Описание
setupsec-urity compacws
basiede
basicsv basic-wk
securews
securede
ocfilesw
ocEiless
rootsec
iesacls hiseede hiseews
Используется no умолчанию, соответствует оригинальным настройкам системы после установки; в случае необходимости используйте этот шаблон, чтобы снять более жесткие ограничения, установленные после применения других шаблонов
Более либеральные настройки безопасности но сравнению с используемыми по умолчанию в Windows 2000 Professional
Настройки по умолчанию для контроллера домена, используйте этот шаблон при необходимости восстановления значений но умолчанию
Настройки по умолчанию для сервера (шаблон отсутствует в Windows Server 2003)
Настройки по умолчанию для Windows 2000 Professional {шаблон отсутствует в Windows Server 2003)
Позволяет повысить защищенность дополнительных областей после применения шаблона
basicwk
Позволяет повысить защищенность дополнительны* областей после применения шаблона
basiede
Более защищенная конфигурация для необязательных компонентов Windows 2000 Professions' (используется вместе с шаблонами securews или hiseews). Применяется только в Windows 2000
Более защищенная конфигурация для необязательных компонентов Windows 2000 Server (используется вместе с шаблонами sccuvedc или hiseede). Применяется только в Windows 2000
Позволяет установить параметры по умолчанию для списков контроля доступа к каталогу % systemroot;*, используйте зтот шаблон при необходимости восстановления значений по умолчанию
Позволяет установить системные списки контроля доступа (SACL) для некоторых параметров реестра, связанных с Interne! Explorer для целей аудита
Настройки, обеспечивающие большую степень защиты, — дополнение к шаблону securedc (могут и снижать безопасность до уровня настроек по умолчанию)
Настройки, обеспечивающие большую степень защиты, —дополнение к шаблону securews (могут и снижать безопасность до уровня настроек по умолчание)
Отметим, что описанные шаблоны безопасности можно применять совместно. Причина в том. что каждый шаблон изменяет конфигурацию отдельной области операционной системы (списки контроля доступа ACL к файлам и реестру, права пользователя, членство в группах, политики, настройки аудита и т.д.). Однако будьте внимательны, некоторые шаблоны созданы для возвращения безопасности до уровня настроек по умолчанию Например, шаблон basicwk приводит все настройки в соответствие с базовым уровнем безопасности для Windows 2000 Professional, а шаблон securews повышает безопасность только тех областей
операционной системы, на которые не распространяются разрешения, в том числе на более жесткие параметры безопасности для политик учетных записей, аудита, для некоторых известных параметров реестра, связанных с системой безопасности. Списки контроля доступа (ACL) шаблон securews не затрагивает, так как считается, что действуют настройки Windows, установленные по умолчанию. Аналогично, шаблоны ocf ile нужно использовать, если были установлены необязательные компоненты системы Windows Professional или Server.
Как видно из табл. 16.1, наибольшую степень защиты из заранее определенных шаблонов обеспечивает шаблон hiseews. Компания Microsoft также предоставила для загрузки со своего Web-узла шаблон hisecweb (см. раздел "Дополнительная литература и ссылки" в коние главы). Однако учитывайте, что это всего лишь шаблоны, оцените их совместимость с потребностями собственных приложений, посмотрите, какие параметры можно изменить, чтобы добиться полного соответствия с вашими требованиями, обратите внимание на дополнительные настройки, которые придется для этого изменить. Можно легко создать собственный шаблон, для этого нужно щелкнуть правой кнопкой мыши на одном из заранее определенных шаблонов (например, ка шаблоне hiseews) и выбрать пункт меню Save As (Сохранить как). Затем можно перейти к новому шаблону и изменить его настройки по своему усмотрению.
В качестве хорошего параметра, который не помешает включить в шаблон hiseews, можно назвать замену списков ACL файловой системы NTFS для защиты командного интерпретатора cmd.exe и других мощных административных утилит из каталога %systemrooC% \system32, как рекомендуется в главе 10, "Хакинг сервера IIS". С использованием шаблонов безопасности это не представляет особого труда.
Далее опишем ветвь Security Configuration and Analysis (Анализ и настройка безопасности), через которую можно применить параметры, заданные в шаблоне, или проверить систему на соответствие шаблону.
Если один раз щелкнуть кнопкой мыши на ветви Security Configuration and Analysis в левой панели окна ММС, которое показано на 4, то на правой панели пользователю будет предложено выбрать способ создания базы данных перед настройкой или анализом конфигурации. База данных создается для временного хранения информации шаблонов безопасности и результатов анализа. Следуйте приглашению открыть новую базу данных И импортируйте в нее один из встроенных шаблонов безопасности (или один из созданных вами шаблонов).
После того как шаблон импортирован в базу данных, его можно использовать для анализа или настройки локальной системы, для чего нужно щелкнуть правой кнопкой мыши на ветви Security Configuration and Analysis на левой панели окна ММС И выбрать действие — либо Analyze Computer Now (Провести анализ компьютера), либо Configure Computer Now (Настроить компьютер).
Если вы выберете проведение анализа, то появится диалог с предложением определить путь для хранения журнала проведенного анализа (по умолчанию используется путь %userpror"iie%\ Local Settings\Temp\ [имя шаблона] . log). Затем появится индикатор выполнения про-
ными в базу данных из шаблона. После завершения процесса можно выбрать любой элемент списка и посмотреть, совпадает ли он с параметром шаблона или нет. Параметры, значения которых не совпадают, отмечаются красными кружочками со знаком X, а параметры с совпадающими
Ссыпки на более функционапьные шаблоны от третьих сторон (например, шаблон web_secure от Эрика Шульца) есть в разделе "Дополнительная литература и ссыпки" в конце этой главы. Мы рекомендуем изучить шаблоны, предоставленные в руководстве по безопасности для Windows Server 2003 от Microsoft.

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика