На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

Защита файлов Windows

В конфигурации по умолчанию служба WFP всегда включена и разрешает производить замену системных файлов только: /
т пакетам обновления Windows, при этом используется программа update. ехе; I дистрибутивам "горячих исправлений" (программа hotfix. ехе); I обновлениям операционной системы, которые используют программу Winnt3 2 . ехе; ■ службе Windows Update;
* службе Windows 2000 Device Manager/Class Installer.
Для проверки целостности файлов, защищенных службой WFP, запустите программу с графическим интерфейсом File Signature Checker (sigverif. exe) или программу для работы через командную строку System File Checker (sf с . exe). На 14 показан результат сканирования системы с помощью программы File Signature Checker. Обратите внимание, что некоторые файлы не имеют подписи — хотя, это могут быть файлы, установленные программами, произведенными не компанией Microsoft, а другими компаниями, причем названия некоторых из них вызывают подозрение.
Служба WFP определяет достоверность файлов с помощью механизма под названием лоснись драйвера (driver signing). Подпись от Microsoft имеют почти все файлы системы Windows 2000, подписи (хешированные значения SHA-1) хранятся в файлах-каталогах (не в са­мих драйверах) в каталоге %sysf:emrcot%\systertt32 \CatRoot. Чтобы посмотреть сведения из подписи, нужно открыть файл с расширением . cat.
Обход механизма WFP
Служба WFP не является механизмом обеспечения безопасности. Существует несколько способов, которые позволяют отключить ее полностью или обойти процедуры проверки.
В статье базы знаний Q222473 описано, как отключить службу WFP для следующей загрузки системы без необходимости отвечать на дополнительные запросы. Джереми Коллейк
ГГ. ,-77, —.К-. ШСО „„И_____,.. Г,~;~„-.„--О „ Г, ., „„ЯП„.,
SFCDisable присвоить значение Of f f f f f 9dh. Ветвь реестра WinLogon (HKLM\SOFTWARES Microsoft\Windows NT\currentVersion\Winlogon) разрешено изменять только администраторам и системным операторам, и такие события записываются в системный
журнал. События имеют тип Event ID 64032 "Windows File Protection is not active on this system" ("Служба Windows File Protection не активна на этой системе").
Модератор рассылки NTBugtraq Расе Купер (Russ Cooper) сообщил, что служба WFP подтверждает целостность файла, если его подпись соответствует любой из подписей любого защищенного файла. Например, Расе скопировал файл notepad.exe в файл с именем wscript. ехе (оба эти файла защищены службой WFP), а служба WFP не предложила заменить измененный файл wscript. ехе его резервной копией из каталога dllcache. Также, загрузившись в консоль восстановления Windows, можно вручную заменять файлы, защищенные службой WFP, и система не будет этому препятствовать.
Этими возможностями могут воспользоваться администраторы, желающие удалить из системы мощные утилиты администрирования (например, файл cmd.exe). Прежде всего, для нормального удаления таких файлов следует отключить службу WFP. Затем следует удалить резервную копию всех удаляемых файлов из каталога dllcache, чтобы злоумышленник не смог скопировать эти программы из кэш-области. Как всегда, лучший механизм защиты — применить к таким утилитам списки контроля доступа ACL, а не удалять их полностью.
По описанным выше причинам, служба WFP Windows не является достаточно надежным механизмом защиты от "троянских" программ и других аналогичных атак. Проблемы защиты любой машины от взлома хакером, который имеет неограниченный физический доступ к системе, не позволяют создать достаточно эффективный механизм. Тем не менее, служба WFP на данный момент обеспечивает достаточно неплохой уровень защиты от неуклюжих администраторов и низкоквалифицированных хакеров, которые хотят удалить или изменить файлы Windows. Интересно, сможет ли компания Microsoft поднять уровень надежности этой службы в следующих версиях системы.
Существует множество других компонентов Windows, связанных с системой безопасности, которые мы не описали. Среди них обновленная версия службы Certificate Services 2.0, поддержка аутентификации Smart Card, новый сервер RADIUS, служба Routing and Remote Access Services (RRAS). Однако компоненты, описанные в данной главе, лежат в основе защитных действий против многих упомянутых в книге атак. Надеемся, наш короткий обзор помог вам получить представление о наиболее эффективных мерах противодействия от хакеров любой квалификации.
Вэтой главе мы проведем обзор новых технологий обеспечения безопасности, которые должны дополнить систему Windows. В частности, будут рассмотрены планируемые дополнительные возможности Windows Server 2003 и следующая версия операционной системы Windows под кодовым названием Longhorn.
Новые средства и дополнительные возможности
Рассмотренные ниже средства или уже доступны, или будут доступны в скором будущем на официальном сайте Windows Server 2003 (см. раздел "Дополнительная литература и ссылки" в конце главы).
Протокол NAT Traversal (NAT-T)
Помните ли вы то время, когда протокол TPSec не работал при установке устройства трансляции сетевых адресов (NAT) или брандмауэра? Для решения этой проблемы разработан Internet-стандарт "Инкапсуляция пакетов протокола IPSec в UDP", который также известен как протокол NAT-T и реализован в обновлениях для Windows 2000 И Windows ХР, как описано в статье базы знаний 818043. Установите обновление, описанное в этой статье, и вы получите возможность доступа через NAT-устройства к серверам следующих протоколов (должна быть проведена соответствующая настройка NAT-устройств):
▼ протокол L2TP (Layer Two Tunneling Protocol) — требуется открыть 1ЮР-порты500 и 1701;
■ протокол NAT-T — требуется открыть UDP-nopT4500;
А протокол ESP (Encapsulating Security Payload) — протокол IP, порт 50
Теперь две мощные технологии безопасности могут быть реализованы одновременно.
В Windows Server 2003 эта срункАдионапьная возможность встроена изначально.
Консоль управления групповыми политиками
В этой книге мы уже достаточно рассказывали об удобстве использования групповых политик для управления инфраструктурами службы Active Directory в системах Windows 2000 и следующих версиях. Однако управление групповыми политиками, впервые реализованными В Windows 2000, не было унифицированным и связным. Для устранения этого недостатка Microsoft разработала консоль управления групповыми политиками (Group Policy Management Console — CPMC), которая содержит новую оснастку панели ММС и набор программируемых интерфейсов для управления групповыми политиками. На 1 показано окно консоли управления групповыми политиками, отображающее настройки объекта групповой политики Default Domain.

Появление GPMC можно только приветствовать, и любой, кто использует групповые политики в ежедневной работе, полюбит это средство. Эта консоль унифицирует редактирование, создание отчетов, моделирование, результирующий набор политик, правила ограничения действий пользователей и даже резервное копирование объектов GPO в едином интерфейсе.
Не обязательно устанавливать систему Windows Server 2003 для доступа к преимуществам GPMC, эту консоль можно запустить на системах под управлением Windows ХР Service Pack 1 при наличии установленной платформы .NET Framework.
Набор инструментов для объединения информации о пользователях
На сайте Windows Server 2003 Downloads доступно еще одно дополнительное средство Windows Server 2003 Enterprise Edition — этот набор инструментов представляет собой урезанную версию полнофункционального сервера Microsoft Identity Integration Server 2003 (MI1S), Предназначенного для сквозного управления пользовательскими профилями в корпоративных сетях. Сервер M11S 2003 позволяет более эффективно управлять персональной информацией о пользователях и правами доступа, предоставляя возможность интеграции данных о каждом пользователе из множества каталогов и хранилищ информации (включая информацию служб каталогов, сетевых операционных систем, систем электронной почты, приложений, баз данных и т.д.). Оригинальным названием сервера Ml IS служила аббревиатура MMS (Microsoft Meladircetory Services — службы мета каталогов Microsoft), а аббревиатура Mi IS обозначает третью версию этого программного Продукта, MIIS также позволяет централизовать
информацию об учетных записях и аутентификаиионных данных из различных хранилищ, включая создание новых учетных записей и выдачу паролей. Новое программное обеспечение включает инструменты, которые позволяют пользователям самостоятельно менять собственные пароли через защищенную Web-страницу.
Набор инструментов MIIS позволяет синхронизировать идентификационную информацию только между различными лесами службы Active Directory или из каталогов, созданных на базе отдельных приложений с помощью технологии ADAM (Active Directory in Application Mode). MIIS также позволяет использовать учетные записи пользователей из различных лесов.
НА ЗАМЕТКУ
Для применения MIIS и пакета Identity Integration Feature Pack требуется установка Enterprise Edition операционной системы Windows Server 2003, а также SQL Server 2000, Enterprise Edition или Standard Edition SP3.
Сервер MUS и пакет инструментов для интеграции данных пользователей более всего пригодятся в организациях, в которых существует несколько отдельных хранилищ аутенти-фикационных данных. Например, рассмотрим большую корпорацию, состоящую из нескольких территориально разделенных филиалов. В целях безопасности и для организации четкой структуры Active Directory (внешняя структура) управляется отдельно от внутренней, хотя многие учетные записи принадлежат одним и тем же пользователям. Таким образом, не­обходимо синхронизировать информацию внешних и внутренних учетных записей без создания доверительных отношений или предусмотреть какой-нибудь способ для безопасного объединения двух каталогов. M1IS идеально подходит для этого случая — этот пакет позволяет согласовать сведения об учетных записях и создать в организации единое хранилище идентификационных данных (важная концепция в стандарте безопасности IS017799, см. главу I, "Основы безопасности сетей и систем"). Кроме того, пользователи могут самостоятельно управлять своими паролями в двух инфраструктурах, что позволяет снизить затраты иа обслуживающий персонал и организовать единый механизм для управления паролями всех пользователей корпорации. Мы рекомендуем воспользоваться возможностями этого пакета инструментов и подумать над переходом к пол нефункциональной версии для крупных организаций, в которых информация учетных записей пользователей хранится в нескольких отдельных местах.
Active Directory in Application Mode
Мы воспринимаем технологию ADAM как "Active Directory Lite" (упрощенная версия Active Directory). На самом деле, технология ADAM (Active Directory in Application Mode — служба Active Directory в режиме приложений) представляет собой отдельный продукт, который запускается как отдельная от операционной системы служба (от имени учетной записи Network Service). Технология ADAM позволяет внедрять и использовать службу каталогов Active Directory в качестве службы упрощенного доступа к службам каталогов LDAP (Lightweight Directory Access Protocol) для работы с данными отдельных приложений, однако не требует такой тесной интеграции с Windows. Новая технология также предосгаатяст более упрощенную и удобную в управлении схему, чем по л нефункциональная служба Active Directory. Для развертывания ADAM не требуются ни домен, ни контроллер домена, ни даже сервер. По существу, это простая служба каталогов, предназначенная для хранения информации приложений, которым достаточно некоторых возможностей Active Directory (без той сложности, ненужных возможностей и отсутствия гибкости службы AD).
Технология ADAM идеально пояойпет лля поставщиков venvr. кптппме хотят уппяяпять
мысли о необходимости установки полнофункциональной службы Active Directory. Кроме того, ADAM имеет преимущество в плане возможности управления пользовательскими объек-
тами, которые не поддерживают принципов безопасности Windows, но могут проходить аутентификацию по протоколу LDAP. Таким образом, любое приложение, которое поддерживает протокол LDAP, способно использовать технологию ADAM как хранилище пользова­тельских дан н ых.
Безусловно, нужно указать и несколько недостатков. Технология ADAM не поддерживает некоторых возможностей, например групповой политики, которая является одним из основных преимуществ полнофункциональной службы Active Directory. Кроме того, администра­тивные средства не такие мощные, как в Active Directory, — большинство из них работают в интерфейсе командной строки, а единственными программами с графическим интерфейсом является LDAP-клиент Idp (см. главу 4, "Инвентаризация") и программа редактирования Active Directory Services Interface (ADSi), окно которой изображено на 2. Обратите внимание на два соединения: одно к полнофункциональному экземпляру службы Active Directory (порт 389) и другое к ТСР-порту 50000 (порт по умолчанию для технологии ADAM).
Мы еще не видели примеров использования ADAM в реальной жизни, но нам нравится идея отдельного продукта для управления каталогами по протоколу LDAP. Возможно, теперь в Microsoft серьезно займутся вопросом: зачем тогда пользователям вообще реализовывать полнофункциональную службу Active Directory?

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика