На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

Управление фильтрами через командную строку

Как видно из предыдущего примера, настройка политики IPSec через графический интерфейс — дело достаточно сложное. Более того, по причине использования графического интерфейса этот процесс нельзя выполнить с помощью сценария, запускаемого из командной строки. Для систем под управлением Windows 2000 и предыдущих версий Windows существует утилита ipsecpol, которая позволяет создавать и применять политики IPSec из командной строки или командного файла. Программа ipsecpol.exe входит в пакет Windows 2000 Resource Kit, также бесплатно ее можно получить с программой Windows 2000 Internet Server Security Configuration Tool (см. раздел "Дополнительная литература и ссылки"). Для систем Windows ХР для настройки фильтров IPSec из командной следует использовать программу ipseccmd.exe, а для Windows Server 2003 — встроенную команду netsh.
Ограничения программы ipsecpol по сравнению с настройкой через графический интерфейс
Компания Microsoft официально не поддерживает утилиту ipsecpol, поскольку в ней не реализованы некоторые функции, доступные через графический интерфейс. Ключевые отличия перечислены в следующем списке (который взят из статьи консультанта из компании Microsoft Стива РаЙЛИ (Steve Riley) "Using IPSec to Lock Down a Server", см, раздел "Дополнительная ли-
тература и ссылки").
▼ С помощью утилиты ipsecpol нельзя отключить правило ответа по умолчанию (это правило на самом деле к фильтрам не применяется, так как все входящие соединения или разрешаются, или блокируются).
■ Имя правила используется как имя списка фильтров.
■ " 1 ,dTW
Часть V. Защита
■ Команды -n PASS и -n BLOCK не используют существующие действия Permit (Разрешить) или Block (Заблокировать), если они были созданы через графический интерфейс; вместо этого создается новое действие с разрешением или блокированием с названием в формате "правило-список-имя negpol".
■ В свойствах каждого действия фильтра по умолчанию есть список методов безопасности, но поскольку в действительности защита не устанавливается, этот список игнорируется.
* При удалении политики с использованием параметра -о будут также удалены связанные с ней списки фильтров и действия фильтров. При удалении политики через графический интерфейс списки фильтров и действия фильтров не удаляются.
Новая команда netsh
В Windows Server 2003 компания Microsoft реализовала все функциональные возможности ipsecpol а новой утилите netsh. Кроме того, были исправлены некоторые недочеты прежней программы и теперь из командной строки доступно полное управление фильтрами IPSec. При использовании программы netsh для управления фильтрами IPSec применяется довольно сложный синтаксис, поэтому удобнее будет сохранить несколько сценариев, чтобы иметь под рукой несколько готовых примеров сценариев. Вместо того чтобы заново показывать примеры создания нескольких сценариев, мы просто рекомендуем прочесть великолепное (и бесплатное) руководство по безопасности Windows Server 2003 (Windows Server 2003 Security Guide) от Microsoft, в котором содержаться многие netsh-сценарии для настройки фильтров IPSec через командную строку (см. ссылку в разделе "Дополнительная литература и ссылки" в конце этой главы).
Сохраненные имена пользователей и пароли
Новая возможность в Windows ХР и Windows Server 2003 обеспечивает безопасное хранение аутентификаиионных данных различных пользователей, включая и пароли для учетных записей в "непроверенных" доменах Windows и пароли для службы Microsoft Passport. Это позволяет пользователям с легкостью полугать доступ к часто используемым аутентификационным данным даже во время путешествий. Подробно эта возможность описана в статье базе знаний Microsoft 281660 (см. ссылку в разделе "Дополнительная литература и ссылки в конце главы).
НА ЗАМЕТКУ
В версии Windows ХР Home Edition хранятся только аутентификационные данные для служб Remote Access Services/Virtual Private Networking и Passport.
В системах Windows ХР возможность Stored Usemames and Passwords (Сохранение имени пользователя и пароля) доступна на панели управления с помощью оснастки User Accounts (Учетные записи пользователей). В зависимости от используемой версии (WindowsXP Home или Professional) и оттого, является ли компьютер членом домена, метод доступа к Stored Usemames and Passwords может отличаться. На контроллерах домена Windows Server 2003 Stored Usemames and Passwords (Сохранение имени попьзоватеяя и пароля) является отдельной панелью управления, поскольку панели User Accounts (Учетные записи пользователей) не существует. На приведенном ниже рисунке показана панель управления Stored Usemames and Passwords, учетная запись для службы Microsoft Passport, установленная на локальном компьютере. Для сохранения других учетных записей и паролей на локальном компьютере следует щелкнуть на кнопке Add (Добавить), но если нужно добавить еще одну учетную запись для службы Passport, придется воспользоваться Мастером .NET Passport (выполните поиск в справочной системе по слову "passport").
СОВЕТ
Управлять сохраненными именами пользователей и паролями можно и через командную строку, как описано в статье базы знаний Microsoft 287536 (см. раздел "Дополнительная литература и ссылки").
Нам изначально не очень понравилась идея повторного использования паролей на разных системах И хранения их в одном месте для упрощения жизни пользователей. Вспомните наши рассуждения по поводу повторного использования данных LSA Secrets И паролей в сетевом окружении (см. главу 8, "Расширение сферы влияния"), когда мы указали на повторное использование паролей как один из основных факторов риска при атаках в локальной сети. Хотя служба Stored Usemames and Passwords не хранит аутентификационные данные в кэше LSA Secrets (%userprc>fi2e%\Application Data\Microsoft\Credentials\[Идентификатор SID пользователя] \Credentials) и данные зашифрованы с помощью ключа, связанного с аутентификацией ны ми данными пользователя для входа в систему, по-прежнему сохраняется опасность, что компрометация учетной записи одного пользователя может повлечь взлом других систем. К тому же, при попытке доступа к ресурсам операционная система Windows сначала для аутентификации будет использовать аутентификационные данные работающего пользователя, а потом аутентификационные данные, сохраненные в Stored Usemames and Passwords. При этом эти данные передаются по сети, что также несет потенциальную угрозу, если используется незащищенный протокол.
С другой стороны, Windows способна хранить множество аутентификационных данных В нескольких отдельных местах (пароли для Web-сайта посредством Internet Explorer, пароли учетных записей для коммутируемых подключений, пароли для входа в домен в LSA Secrets и т.д.), поэтому единое централизованное хранилище для хранения аутентификационной информации может оказать и благотворное влияние. Будущее покажет.
Зашифрованная файловая система
Одним из главных элементов операционной системы Windows 2000, связанных с обеспечением безопасности, является файловая система EFS (Encrypting File System — зашифрованная файловая система). Файловая система EFS основана на криптографической защите с открытым ключом и используется для шифрования сохраненных на диске данных в реальном времени для их зашиты от злоумышленника, у которого нет нужного ключа. Компания Microsoft выпустила официальный документ с подробным пояснением принципов работы системы EFS (см. раздел "Дополнительная литература и ссылки"). В Windows Server 2003 компания Microsoft внесла только косметические изменения в EFS, поэтому мы рассмотрим принципы EFS на примере Windows 2000 и укажем важные обновления.
Коротко говоря, то система EFS позволяет зашифровать файл или каталог по быстрому симметричному алгоритму шифрования с использованием случайным образом сгенерированного ключа шифрования файла (FEK), уникального для файла или каталога. В системе EFS использован алгоритм шифрования по стандарту DESX (Extended Data Encryption Standard — расширенный стандарт шифрования данных). В Windows Server 2003 реализованы дополнительные алгоритмы. Ключ FEK генерируется случайным образом, а затем шифруется одним или несколькими открытыми ключами, среди которых есть ключ пользователя (каждый пользователь в Windows 2000 получаст открытый и секретный ключ) и ключ агента восстановления. Полученные зашифрованные значения сохраняются как атрибуты файла.
Возможность восстановления ключа реализована на случаи, если пользователь зашифровал важные данные, а затем ушел из организации, или забыл свои ключи шифрования. Чтобы предотвратить потерю зашифрованных данных, в Windows 2000 и следующих версиях Windows существует агент восстановления для системы EFS, без которого эта файловая система работать не будет. Поскольку ключ FEK не зависит от пары из открытого и секретного ключа пользователя, агент восстановления может расшифровать содержимое файла, без секретного ключа пользователя. По умолчанию агентом восстановления данных в системе назначается локальный администратор.
Хотя во многих ситуациях система EFS полезна, ее не рекомендуется применять нескольким пользователям одной машины для защиты файлов друг от друга. Для этой цели существуют списки контроля доступа (ACL) файловой системы NTFS. Компания Microsoft пози­ционирует систему EFS как средство зашиты файлов на сервере, а также как средство укрепления системы от атак, при которых хакер обходит защиту системы NTFS, например, путем загрузки другой операционной системы и использования для работы с диском утилит производства других компаний.) В документе по системе EFS от компании Microsoft сказано: "Система EFS обеспечивает безопасность в случае использования утилит для других операционных систем, которые предназначены для получения физического доступа к файлам тома NTFS без проверки прав доступа." Во время рассмотрения уязвимых мест системы EFS в главе 14, "Физические атаки", мы доказали, что это утверждение во многом ложно, а потому всем желающим использовать систему EFS для защиты от физических атак следует перечитать эту главу и подумать еще раз. Как сказано в главе 14, "Физические атаки", единственный способ защитить систему EFS от физических атак — запустить SYSKEY в режиме 2 или 3.
Служба защиты файлов Windows (Windows File Protection, WFP) сверяет версии исходного и системного файла пред тем, как установить его {иногда эту службу называют защитой системных файлов , System File Protection. SFP). Такая проверка позволяет предотвратить подмену защищенных файлов системы с расширениями .sys, -dll, .осх, . ttf, . fon И .exe. Служба WFP выполняется в фоновом режиме и выявляет попытки других программ заменить или удалить защищенный файл, а также проверяет цифровую подпись файла для проверки версии нового файла.
Если версия файла некорректна, то служба WFP заменяет файл его резервной копией, которая по умолчанию Хранится в каталоге %systemirooc%\system32\dllcache (этот каталог скрыт как защищенный файл операционной системы), или установочным файлом, который копируется по сети или с оригинального компакт-диска Windows 2000. Если служба WFP не способна обнаружить соответствующий файл, она предлагает пользователю указать его местоположение. Служба WFP также делает запись в журнале событий о попытке замены файла.
Компания Microsoft не внесла существенных изменений в службу WFP в операционной системе Windows Server 2003. но мы рассмотрим ее более подробно, чтобы указать на некоторые интересные аспекты атак против этой службы.

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика