На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

Служебные учетные записи и служба LSA Secrets

Устанавливая систему в домене Windows, помните о советах относительно кэша службы LSA Secrets, которые были даны в главе 8, "Расширение сферы влияния". Если учетные записи домена настроены на подключение к локальной системе для запуска служб, то, имея права администратора, пользователь (или хакер!) может получить пароли в открытом виде. Такая атака позволяет получить даже пароли учетных записей из доменов, с которыми установлены доверительные отношения, работая в домене, где находится взломанная система. По этой причине мы настоятельно рекомендуем не разрешать запускать службы в контексте учетных записей домена. Если такая необходимость все же имеется, то учетная запись домена должна иметь крайне ограниченные привилегии. Ведь даже локальный администратор на каждой машине локального домена или домена, с которым установлены доверительные отношения, где эта учетная запись используется для подключения как служба, способен без труда получить пароли в незашифрованном виде.
Параметры, настраиваемые через шаблоны безопасности
Следующие параметры можно настроить через шаблоны безопасности (см. главу 16, "Возможности и средства защиты в системах Windows"). Как сказано в главе 16, шаблоны безопасности нужно задавать в определенной последовательности. В зависимости от конкретной ситуации, последним следует использовать шаблон hiseews; это можно сделать следующим образом (шаблон должен находиться в каталоге %windir%\security\templates).
secedit /configure /cfg hiseews.in! /db 'hiseews.sdb /log 3> hisecws.log /verbose
Шаблон hiseews может быть недостаточно жестким для вашей системы. Далее приведены все настройки и параметры, упоминавшиеся в книге, которые можно установить с помощью шаблонов безопасности. Другие, даже более детально продуманные шаблоны, которые созданы другими производителями, перечислены в конце приложения.
Отключите все ненужные службы. Для Windows 2000 и последующих версий Windows необходимы только перечисленные внизу службы.
DNS Client Event Log
Logical Disk Manager Plug & Play Protected Storage Security Accounts Manager

Дополнительные службы, которые не являются обязательными, но могут потребоваться для реализации некоторых других рекомендаций, перечислены в приведенном ниже списке.
IPSec Policy Agent Network Connections Manager Remote Procedure Call Remote Registry Service Служба RunAs

Для контроллера домена дополнительно требуются следующие службы.
▼ Сервер DNS (если только не доступен сервер DNS, который поддерживает динамическое обновление)
■ File Replication Service (если используется несколько контроллеров домена)
■ Kerberos Key Distribution Center
■ NetLogon
■ RPC Locator
■ Windows Time
■ TCP/lPNetBlOS Helper
■ Server (если используется совместное использование ресурсов или запущена служба Active Directory)
* Workstation (если системе требуется доступ к ресурсам)
Кроме того, примите следующие меры.
Для утилит администрирования установите более жесткие настройки в списках контроля доступа (ACL). Если некоторые из утилит не нужны, их лучше удалить. Для исполняемых файлов в каталоге %systenLroot%\system32 установите следующие права доступа. Everyone:Read, Administrators;Full,SYSTEM:Full.
■ Требуйте использования надежных паролей, для чего необходимо установить значение параметра Security Policy\Account PoliciesV Passwords must meet complexity requirements" (Попитика безопасности/Политика учетных записей/'"Пароль должен отвечать требованиям сложности").
■ Включите блокировку учетной записи с помощью параметра Security Policy\AccoUnt Policies\Account Lockout Policy (Политика безопасности/Политика учетных записей/Блокировка учетной записи).
■ Если разрешен доступ к службам SMB, для систем под управлением Windows 2000 установите параметр KestrictAnonymous=2. В политике безопасности он называется "Additional restrictions for anonymous connections" ("Дополнительные ограничения для анонимных соединений'"); см. статьи базы знаний Q143474 и Q246261. Для систем под управлением Windows ХР и Windows Server 2003 используйте соответствующий параметр безопасности с подзаголовком Network Access (Доступ по сети). Об этом можно более подробно прочесть в главе 4, "Инвентаризация".
■ Установите уровень аутентификации службы LAN Manager в значение 3 на всех своих системах, особенно в устаревших системах — Windows 9х, в которых протокол уровня 3 можно использовать после установки обновления DSCIient из пакета Windows 2000 Support Tools. Разрешите интерактивное подключение к системе только для наиболее доверяемых учет-
ных записей!
Аудит
Хотя аудит и не относится к мерам предосторожности, в высокозащищенных системах его следует обязательно включить, поскольку он даст возможность выявить атаку и предпринять упреждающие действия.
т Включите аудит всех успешных/неудачных событий, кроме события Process Tracking, в параметрах Security PolicyXAudit Policy. Часто просматривайте записи в журналах (используйте утилиты для автоматизированного анализа журналов и создания отчетов).
- lbVIU IJ(/UDl.pfl«| IV О *1V JJJnojIflA _L. 1Л I ЦЦ /-lUUllll Ig VJ • IVM. 1 11(4(1?: J(l|l№D ^ЗПИ"
чает, что кто-то пытается скрыть следы вторжения, особенно если запись сделана для учетной записи SYSTEM.
Фильтры IPSec и ICF
В этой книге много говорилось о фильтрах IPSec и брандмауэре ICF (Internet Connection Firewall). Поскольку они способны избирательно блокировать передаваемые по сети данные, они являются прекрасным дополнением к любому списку мер безопасности. Мы предпочи­таем использовать ICF, так как он позволяет осуществлять статическую фильтрацию, поэтому правила не являются слишком сложными. К сожалению, ICF не позволяет блокировать пакеты по IP-адресу, а фильтры IPsec могут легко применяться с помощью групповых политик, поэтому при защите целой сети фильтры IPsec могут оказаться более правильным выбором. Некоторые простые фильтры IPsec мы описали в главе 16, "Возможности и средства защиты в системах Windows".
Если вы используете фильтры IPSec для защиты серверов, проверьте установку в реестре следующего значения параметра.
HKLM\EVSTEM\CurrenCControlSeC\Services\IPSEC\NoDsfaultExempt, Ч> REG_DWORD=1
В системе Windows 2000, сконфигурированной по умолчанию, этого значения нет, и фильтры IPSec пропускают без фильтрации некоторые пакеты (см. статью базы знаний Q253I69). Вэтом случае злоумышленник может полностью обойти фильтрацию IPSec. Установка параметра NoDefault£xeropt=l существенно ограничивает варианты обмана, поскольку позволяет отказаться от исключений фильтрации трафика протоколов Kerberos и RSVP. Если трафик Kerberos должен быть разрешен, то для него потребуется настроить дополнительные фильтры вручную. Данный параметр реестра не включает блокирование широковещательных и многоадресных пакетов, а также пакетов протокола IKE, поэтому фильтры IPSec не обеспечивают полной защиты.
Для систем Windows Server 2003 доступны дополнительные значения параметра NoDef aultExempt, и по умолчанию используется значение 3. Чтобы поэкспериментировать со значениями этого параметра, можно воспользоваться командой netsh. Правда, зачем это нужно, когда наиболее безопасное значение установлено по умолчанию?
Нельзя говорить о шаблонах безопасности или фильтрах IPSec, не упоминая групповой политики (Group Policy), которая была подробно описана в главе 16, "Возможности и средства защиты В системах Windows". С помощью групповой политики можно импортировать шаблоны безопасности, применять их к узлу, домену или организационной единице. Более того, групповая политика может включать в себя политики 1 Psec, поэтому параметры для ограничения коммуникаций могут быть заданы и таким способом. Мы рекомендуем прочесть и разобраться в групповой политике по материалам одноименного раздела в главе 16, "Возможности и средства защиты-в системах Windows". Здесь мы приведем только один совет относительно групповой политики, который поможет предотвратить использование программ атаки в целях расширения привилегий, описанных в главе 6, "Расширение привилегий".
▼ Используйте функцию Restricted Groups (Ограниченные группы) в политиках групп, чтобы предотвратить добавление учетных записей в привилегированные группы в домене Windows 2000.
Еще раз напомним, что при испопьзовании фильтров IPSec для систем Windows 2000 следует установить для параметра реестра NoDef aultExempt значение 1, а для систем Windows Server 2003 — значение 3 (задано по умолчанию), иначе фильтры будут обеспечивать довольно призрачную защиту.
Групповая политика

Различные настройки
Далее описаны некоторые параметры для ситуаций, когда система выполняет определенную задачу, например, является контроллером домена или поддерживает специализированные службы, такие как протокол SNMP.
Контроллеры домена
Настройте DNS-серверы Windows таким образом, чтобы ограничить передачи зоны только явно заданными узлами, либо полностью отключите передачу зоны (что сделано по умолчанию в Windows Server 2003).
Жестко ограничьте доступ к службам Active Directory, в частности к портам TCP/UDP-портам 389 И 3268. Для этого используйте брандмауэры, фильтры IPSec и другие доступные механизмы.
Если можно, удалите идентификатор Everyone из группы Pre-Windows 2000 Compatible Access на контроллерах домена под управлением Windows 2000. Это режим обратной совместимости, который позволяет службам NT RAS И SQL получать доступ к пользовательским объектам в каталоге. Если такая совместимость не требуется, отключите ее. При планировании перехода на службу Active Directory начните с обновления серверов RAS и SQL, чтобы режим обратной совместимости не потребовался (см. статью базы знаний Q240855).
SNMP
т Если необходимо включить службу SNMP (мы не рекомендуем этого делать), заблокируйте непроверенный доступ к ней. Службу SNMP можно настроить таким образом, чтобы доступ к ней ограничивался только явно определенными IP-адресами, как показано в главе 4, "Инвентаризация".
■ Установите неиспользуемые по умолчанию, сложные групповые имена для служб SNMP, если уж вы решили их использовать!
* Если В системах Windows необходимо использование службы SNMP, установите соответствующие списки контроля доступа (ACL) через ветвь реестра.
HKLM\System\CurrentConcrolSet\Services\SNMP\Parameters Wa 11 dCommun i t i e s
Также удалите объект LAN Manager MIB в ветви.
HKLM\System\CurrentCon.trolSet\Services\SNMP\Parametera\
ExtensioxiAgents
(Удалите значение, которое содержит строку "LANManagerMlB2Agent", а затем переименуйте остальные записи так, чтобы сохранить последовательность.)

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика