На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

ПРИЛОЖЕНИЕ A

Унаших читателей, наверное, уже голова кружится от такого количества возможных путей атаки на системы семейства Windows NT. Как им можно противостоять? Чтобы облегчить вашу работу, создано данное приложение. Здесь собраны наиболее важные меры противодействия, описанные в книге. Это не подробный пересказ предшествующих страниц и не полный перечень всех настроек Windows Server 2003, связанных с системой безопасности. Тем не менее, по нашему мнению, здесь собраны все важные правила, связанные с защитой систем семейства Windows NT, данная подборка основана на нашем многолетнем опыте работы. Цель ее та же, что и цель всей книги — не помочь в достижении абсолютной защищенности, а, по возможности, уменьшить объем работы системного адми­нистратора и создать дополнительные трудности для потенциальных злоумышленников.
Пусть покупатель будет бдителен; функции и здравый смысл
Самое сложное в создании списка мер по защите систем семейства Windows NT — учесть все возможные функции, хоторые система выполняет в сета. Она может действовать как отдельный компьютер, как член домена, как контроллер домена, Web-сервер, сервер приложений Terminal Services, файловый сервер и сервер печати, брандмауэр, а также выполнять еще бесконечное количество функций и их комбинаций.
Приведенные в нашем списке рекомендации в некотором смысле ограничивают возможности системы, поэтому не всегда подойдут для той роли, которую система под управлением Windows играет в конкретном окружении. Где возможно, мы указывали, выполнению каких функций может помешать та или иная настройка, но в конечном счете эффективность приведенных рекомендаций вам придется оценивать после тщательного тестирования системы.
По нашему мнению, следует придерживаться наиболее строгих рекомендаций и отказываться от ограничений только в тех случаях, когда это обязательно требуется для выполнения поставленной задачи.
Рекомендации по подготовке к инсталляции
Создание системы защиты Windows начинается еще до установки операционной системы. Перед тем как распаковать установочный компакт-диск, нужно обдумать следующие вопросы.
т Информация о системе и се администраторах не должна быть доступна через регистрационные базы данных сети Internet с помощью команды whois, также не должны быть опубликованы номера телефонов для удаленного коммутируемого подключения ксистеме.
■ Система должна быть защищена устройством сетевой безопасности (например брандмауэром), сконфигурированным таким образом, чтобы ограничить доступ к системе только портами, необходимыми для выполнения системой своих функций. Заблокируйте все соединения, не разрешенные явным образом.
■ Примите меры по защите сетевых устройств для снижения риска атак отказа в обслуживании, как описано в главе !5, "Атаки отказа в обслуживании" (например, используйте функции ограничения интенсивности трафика в маршрутизаторах Cisco).
■ Устанавливайте Windows на "чистую" систему. Обновление предыдущих версий не рекомендуется, поскольку в результате могут быть установлены недостаточно жесткие права доступа к файлам и параметрам реестра.

■ Обеспечьте физическую защиту системы.
■ Если это возможно, установите пароль на BIOS, а также на все жесткие диски системы, если в ней реализована спецификация АТА-3.
■ В списке выбора загрузочного диска при включении компьютера в параметрах BIOS должен быть указан только жесткий диск, там не должно присутствовать гибкого диска или компакт-диска.
■ Подумайте о физическом отключении съемных носителей информации, таких как дисковод гибких дисков или устройство для чтения компакт-дисков, которые могут быть использованы для загрузки альтернативных операционных систем.
■ Создайте, по меньшей мере, два раздела NTFS: один для системы (С:) и один для данных (назовите его Е:).
* Не устанавливайте ненужные сетевые протоколы.
Основные меры по усилению защиты Windows-систем
Далее описаны важнейшие действия для усиления защиты в системе общего назначения под управлением Windows 2000 или более новой версии Windows. Наши рекомендации разделены на две части: действия, которые необходимо выполнить вручную, и операции, которые можно выполнитьс помощью шаблонов безопасности (см. главу 16, "Возможности и средства защиты в системах Windows"). Напомним, что для настройки параметров, не представленных в стандартных шаблонах, которые поставляются с Windows, можно создавать собствен­ные шаблоны, но при этом потребуется вручную редактировать файлы с расширением . INF.
Параметры, настраиваемые вручную
Следующие рекомендации нельзя легко реализовать через шаблоны безопасности.
т Программу SYSKEY необходимо переключить в режим защиты паролем или хранения ключа на диске (введите команду Run... SYSKEY и установите нужный режим). Пароль или дискету храните в безопасном месте.
■ Только для Windows 2000 и более ранних версий: отключите хранение хешированных паролей службы LAN Manager в базе SAM. Для этого необходимо создать параметр реестра (не значение параметра!).
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\NoLmHagh
ВНИМАНИЕ
Этот параметр не поддерживается компанией Microsoft и может привести к сбоям в работе программ. В системах Windows ХР и Windows Server 2003 он доступен с помощью оснастки политики безопасности (Security Policy), где и можно выполнить его настройку.
■ Переместите корневые виртуальные каталоги сервера 1IS (каталоге: \lnetpub и т.п.) во второй раздел NTFS (дискЕ:). Чтобы сохранить списки контроля доступа (ACL) для файлов и каталогов, при переносе воспользуйтесь утилитой для копирования файлов
Приложение А. Перечень мер по защите Windows Server 2003 479
ROBOCOPY из пакета Reskit с параметрами /SEC /MOVE (в противном случае права доступа после переноса файлов будут установленьг в значение Everyone г Full Control).
■ Проверьте, чтобы поставляемые производителями драйверы или приложения не представляли опасности для системы защиты (например, известно, что в ранних версиях службы Compaq Insight Manager, которая поставляется вместе с машинами Compaq, имеется уязвимое место, которое позволяет получать доступ к содержимому файлов).
■ Если нет крайней необходимости в службах NetBIOS и SMB (TCP/UDP-порты 135-139 и 445), отключите их, для чего необходимо отключить функцию File & Print Sharing (Совместное использование файлов и принтеров) для сетей Microsoft; то, как это сделать, описано в главе 4., "Инвентаризация". Отключение данной функции сделает не-
% возможным использование системы в качестве файлового сервера и сервера печати, что может вызывать проблемы при преобразовании имен NetBIOS. Обычно для Web-серверов эти функции не важны.
■ Заблокируйте настоящую учетную запись администратора с помощью утилиты passprop (дяя этого требуется установленный пакет обновления Windows 2000 Service Pack 2 или более поздний).
■ Переименуйте настоящую учетную запись администратора и создайте подложную учетную запись Administrator, которая не должна входить ни в одну из групп пользователей.
■ Внимательно относитесь к подбору людей, которым вы доверяете права администратора; используемые политики должны ограничивать их права после того, как срок контракта заканчивается.
■ На всех системах Windows9x в окружении реализуйте уровень 3 аутентификации службы LAN Manager, для этого необходимо установить обновление DSCIient из пакета Windows 2000 Suppon Tools (см. статью базы знаний Q239869). Иногда это значение называют уровнем LMCompability.
■ Установите антивирусную программу, следите за обновлением вирусных баз данных и регулярно проверяйте систему.
л Создайте диск для аварийного восстановления системы с помощью команды Run. . .ntbaohup, пометьте его и спрячьте в безопасном месте.
Используйте самые свежие пакеты обновления и "горячие исправления"!
Применение самых последних исправлений (Hotfix) и обновлений (Service Pack) для операционной системы и приложений (Internet Explorer, SQL Server м т.д.), выпускаемых компанией Microsoft, вероятно, является одной из наиболее важных мер по защите систем под управлением Windows.
Наибольшую опасность представляют широко известные уязвимые места, описания которых были опубликованы в бюллетенях безопасности и/или исправлены компанией Microsoft. Поскольку о таких ошибках все знают, в сообществе Internet обычно регулярно появляются программы атаки для их использования, именно такие программы представляют наибольшую опасность для вашей системы. По этой причине обязательно следует устанавливать исправления для устранения таких уязвимых мест.
Для организаций уровня предприятия мы рекомендуем использовать пакет программ от Microsoft SMS и Software Update Services (SUS) Future Pack. Для менее крупных организаций будет достаточно использования одной службы SUS, которую можно получить бесплатно на сайте http: //www.microsoft. com). Для управления доступными заплатами используйте Microsoft Baseline Securoty Analzer (или программу наподобие srvinfo из пакета Reskit). Мы также рекомендуем пользоваться хорошими средствами для управления заплатами других производителей, например программой HFNetChk Pro от Shavlik.

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика