КОМПЬЮТЕР-ИНФОРМ Главная страница || Статьи 01'2002 || Новости СПб || Новости России || Новости мира
Компьютер-Информ || Архив || Рубрики || Поиск || Подписка || Работа || О "КИ" || Карта
В защиту и о защите Windows NT
Виктор Ашик, MCT, MCSE
v_ashik@eureca.ru
Прошедший 2001 год вполне обоснованно можно назвать годом сетевого червя. С массовым подключением к Интернет сетей и одиночных компьютеров процент защищенных систем, присутствующих в глобальной сети, неуклонно падает. Казалось бы, накоплен многолетний опыт противодействия сетевым злоумышленникам, исправлены тысячи ошибок в программах и протоколах их взаимодействия, а результат противоположный: на смену единичным реализациям сетевых червей приходят десятки новых. В чем причина такой ситуации?
Причина, видимо, кроется в технологическом прогрессе, точнее, в его темпах. Оказавшись в условиях острой конкуренции, производители программного обеспечения (ПО) устанавливают своим разработчикам жесткие временные рамки реализации проектов. А спешка, как известно, ни к чему хорошему обычно не приводит: из-за нехватки времени защите уделяется минимум внимания, все силы бросаются на реализацию технического задания. В результате на рынок выходит сырой по множеству критериев продукт, сплошь состоящий из уязвимых мест: переполнения буфера, утечки памяти, ошибки интерпретации неправильных входных данных, потайные ходы и т.п.
Но обо всех этих особенностях производители ПО скромно умалчивают, у них совершенно другая задача: продать как можно больше копий продукта. В ход пускаются всевозможные маркетинговые технологии, рекламируются несравненные достоинства нового продукта, который, если судить по рекламе, способен творить чудеса.
И далеко не все способны отказаться от чуда прямо здесь и сейчас по сходной цене. Так, на рабочих местах и серверах появляются сырые системы и прикладные программы, содержащие тысячи неисправленных ошибок и сотни невыявленных проблем.
А между тем, в некоторых случаях при выборе ПО, предпочтительнее руководствоваться правилом: старый друг лучше новых двух. В процессе сопровождения предпоследней версии системы было выявлено и устранено множество ошибок, накоплен бесценный опыт эксплуатации, изложенный в доступной форме разными авторами, написано множество программ и драйверов устройств.
Примером такой предпоследней версии является операционная система Windows NT 4.0. Да, в этой системе есть узкие места и, например, включение аудита может привести к снижению производительности, но зато эта версия системы прошла длительную проверку практической эксплуатацией, в результате которой накоплен значительный опыт, выраженный тысячами статей в базе знаний службы поддержки Microsoft и множеством административных утилит различных производителей.
Нет, автор вовсе не призывает вас установить на все компьютеры и использовать только Windows NT 4.0, но в некоторых специальных случаях эта версия операционной системы может оказаться предпочтительной.
Однако все достоинства проверенной временем системы сходят на нет при недостаточной
заботе о ее защищенности. Сложившаяся практика распространения информации об
уязвимости программ подразумевает демонстрацию атаки (эксплуатацию) этой уязвимости
путем публикации программы, производящей атаку, эксплоита. (Здесь надо отметить,
что фирма Microsoft
в настоящее время выступает против публикации таких программ, но в прошлом часто
отказывалась признавать ошибки защиты без их демонстрации, называя атаку чисто
теоретической.) В результате публикации эксплоитов в руках злоумышленников
оказываются готовые инструменты для осуществления атак. Поэтому задача системного
администратора обеспечить установку всех заплат для системы и прикладных программ
по мере их появления.
Для того чтобы заплаты не приходилось устанавливать сотнями, периодически выпускаются
протестированные на стабильность их наборы сервисные пакеты. Для Windows NT
4.0 последний сервисный пакет имеет версию 6а, и, в связи с пожеланиями клиентов
и все большей стабильности этого пакета в сочетании с последними обновлениями,
выпуск седьмой версии отложен.
Кроме заплат на саму систему нужно обеспечить защиту браузера Internet Explorer путем установки одной из его последних версий и заплат для нее. На сегодняшний день это IE 5.5 SP2 или IE 6.0 с дополнительными заплатами. Особенно полезен для получения этих заплат сайт http://windowsupdate.microsoft.com.
После выхода SP6a в системе было найдено еще несколько проблем безопасности, для их устранения нужно применить объединенный набор Windows NT 4.0 Security Roll-up (http://www.microsoft.com/NTServer/sp6asrp.asp).
При добавлении любых компонентов системы Windows NT 4.0 сервисный пакет и все заплаты нужно переустановить (в Windows 2000 в этом нет необходимости).
После Security Roll-up требуется установить исправление Q305929 This Certificate Has an Invalid Digital Signature Error Message after you Install the Windows NT 4.0 Security Rollup Package, которое является небольшой технической поправкой.
В поддержке безопасности на актуальном уровне поможет использование сайта WindowsUpdate или утилиты Hfnetchk, описанной в статье Q303215, которая позволяет автоматизировать проверку наличия заплат на множестве серверов, причем для проверяемых серверов подключение к Интернет не требуется, а xml и cab-файлы, требуемые утилите для работы, могут быть получены на отдельной от сети машине.
Одной из самых уязвимых служб в Windows NT является Internet Information Services, ошибки в нем продолжают находить и по сей день, поэтому на машинах, не являющимися Web/FTP/SMTP/NNTP серверами, эту службу лучше отключить.
Если IIS все-таки необходим, то нужно установить IIS 4.0 Rollup patch, а неиспользуемые компоненты IIS запретить с помощью IIS Lockdown Wizard (http://www.microsoft.com/technet/security/tools/locktool.asp) мастера, который позволяет отключить неиспользуемые службы IIS, запретить поддержку неиспользуемых возможностей (сценариев asp, индексирования, доступа к базам данных, к стандартным примерам). При установке этого мастера также устанавливается средство фильтрации входящих запросов URLScan, которое позволяет отсечь хитрые запросы на подлете.
После установки всех заплат на систему можно повысить ее защищенность, выполнив
следующие настройки:
•Преобразовать с помощью convert все файловые системы FAT в NTFS.
•Присвоить учетной записи администратора сложный пароль (длиной от 9 символов,
содержащий, по крайней мере, один знак препинания или непечатный символ в первых
7), переименовать ее и создать учетную запись-ловушку Administrator без прав.
Регулярно проверять наличие попыток использовать эту запись в журнале безопасности
(Security Log).
•Отключить (disable) ненужные службы.
•Отключить или удалить ненужные учетные записи.
•Проверить, что учетная запись Guest (Гость) отключена.
•Ужесточить разрешения на файлы и каталоги согласно рекомендациям документа
NSAWindows NT System Security Guidelines (http://www.trustedsystems.com/tss_nsa_guide.htm),
разработанным Trusted System Services по заказу NSA.
•Запретить анонимный доступ к реестру: создать ключ реестра HKLM\System\CurrentControlSet\
Control\SecurePipeServers\winreg и дать к нему доступ только группе Administrators
(Full Control).
•Ужесточить разрешения на ключи реестра согласно рекомендациям NSA Windows
NT System Security Guidelines (таблица).
•Ограничить анонимный доступ к открытой информации Local Security Authority
LSA (если в сети нет RAS), создав параметр реестра типа REG_DWORD HKLM\System\CurrentControlSet\
Control\LSA\RestrictAnonymous со значением 1.
•Настроить шифрование базы SAM с помощью утилиты SYSKEY (Q143475) (не
забыть создать новый Emergency Repair Disk).
•Настроить на всех доменных контроллерах жесткую политику паролей, подключить
фильтрацию паролей passfilt.dll согласно Q151082.
•Включить блокировку учетных записей при 3-5 неверных попытках регистрации
сроком не меньше 30 минут, включить блокировку учетной записи администратора
с помощью passprop/adminlockout.
•Удалить ненужные общие папки и настроить адекватные права на оставшиеся.
•Установить антивирусную программу и обновить базу вирусов.
Оставаться в курсе последних проблем защиты позволяют различные источники информации в Интернет: рассылка Microsoft Security Notification Service (http://www.microsoft.com/technet/security/bulletin/notify.asp), сайт http://securityfocus.org/microsoft, страницы http://microsoft.com/security/ и http://windowsupdate.microsoft.com.
Научиться проектировать политику защиты организации можно на авторизованном курсе 2150A Designing a Secure Microsoft Windows 2000 Network (Проектирование безопасных сетей на базе Windows 2000) в учебном центре компании ЭВРИКА. Кроме того, в разработке находится новый курс, посвященный информационной безопасности, призванный абстрагироваться от технических подробностей и сосредоточиться на организационных моментах.
КОМПЬЮТЕР-ИНФОРМ
Рубрики || Работа
|| Услуги || Поиск
|| Архив || Дни
рождения
О "КИ" || График
выхода || Карта сайта || Подписка
Рассылка анонсов газеты по электронной почте
Сайт газеты "Компьютер-Информ" является зарегистрированным электронным СМИ.
Свидетельство Эл 77-4461 от 2 апреля 2001 г.
Перепечатка материалов
без письменного согласия редакции запрещена.
При использовании материалов газеты в Интернет гиперссылка обязательна.
Телефон редакции (812) 718-6666, 718-6555.
Адрес: 196084, СПб, ул.Заставская, д.23, БЦ "Авиатор", 3-й этаж, офис 307
e-mail: editor@ci.ru
Для пресс-релизов и новостей news@ci.ru