|
|
Резюме
В этой главе мы рассмотрели настолько широкий спектр
возможных атак Windows NT, что у многих читателей может сложиться
ошибочное представление о недостаточно надежной системе защиты этой
операционной системы. Если это так, значит, мы не справились со стоявшими
перед нами задачами. В таком случае хотелось бы еще раз подчеркнуть,
что удаленный взлом практически не имеет шансов на успех без привилегий
администратора, а получить эти привилегии можно лишь некоторыми хорошо
известными способами: путем подбора пароля, его перехвата из сетевого
потока данных или с использованием методов социальной инженерии, примененных
к доверчивым служащим.
Поэтому по сравнению с объемом самой главы наши выводы будут относительно
короткими. Если вы предпримете следующие простые меры, то 99,99% проблем,
связанных с обеспечением безопасности системы NT, исчезнут сами собой.
Однако не забывайте об оставшейся 0,01%, о которой вы, скорее всего,
пока еще ничего не знаете. |
|
| |
- Заблокируйте порты TCP и UDP с номерами 135-139. Этого простого
шага уже достаточно, чтобы предотвратить практически все проблемы,
связанные с удаленным взломом NT, который рассматривается на страницах
этой книга. Эта защитная мера должна быть обязательно предпринята
на пограничном шлюзе, защищающем всю сеть. Ее также не помешает
использовать и на внутренних устройствах управления доступом. На
отдельных узлах, содержащих важные данные, можно также запретить
поддержку протокола NetBIOS. Заблокировав порты, не забывайте регулярно
сканировать свою сеть, чтобы вовремя обнаружить различные отклонения.
- Если ваша сеть NT работает на базе протокола TCP/IP, настройте
фильтрацию пакетов TCP/IP в соответствующем диалоговом окне свойств
(Control Panel>Network>Protocols>TCP/IP Protocol>Advanced).
Установите в нем флажок Enable Security, а затем щелкните на кнопке
Configure и настройте параметры фильтрации. Используйте только те
порты и протоколы, которые жизненно' необходимы для функционирования
системы (хотя передача ICMP-пакетов практически всегда должна быть
разрешена).
- Задайте значение для параметра RestrictAnonymous системного
реестра, как об этом было сказано в главе 3. Кроме того, в статье
Q246261 базы знаний компании Microsoft прочитайте о возможных недостатках
задания значения для этого параметра, обеспечивающего наиболее жесткий
уровень зашиты в системе Win 2000.
- Удалите Everyone из списка групп, которым предоставлено
право Access this computer from the network. Для этого в окне диспетчера
пользователей выберите команду Policies>User Rights.
- Установите самый свежий сервисный пакет Service Pack и дополнительные
модули обновлений. В процессе выпуска обновлений компания Microsoft
руководствуется требованиями обеспечения безопасности, поэтому очень
часто оказывается, что без этих модулей обновлений невозможно противостоять
некоторым изъянам на уровне ядра, используемых в таких утилитах,
как getadmin. Модули обновления для системы NT можно найти по адресу
http://www.microsoft.com/security. Конечно, самым полным "обновлением"
будет переход на новую версию NT — Windows 2000, — в которой реализовано
огромное, множество новых средств обеспечения безопасности. Более
подробная информация по этому вопросу содержится в главе 6.
- Введите жесткую политику задания паролей, реализуйте ее
с использованием библиотеки passfilt и регулярно контролируйте соблюдение
установленных требований. Да, правильно, — попробуйте взломать собственную
базу данных SAM! Помните о числе 7, которое оказывается достаточно
"волшебным", когда дело касается длины пароля в системе
NT.
- Переименуйте учетную запись Administrator и убедитесь в
том, что запрещена учетная запись Guest. Хотя вы узнали, что учетную
запись администратора можно идентифицировать, даже после ее переименования,
тем не менее, эта мера усложнит задачу злоумышленника.
- Убедитесь в том, что пароль администратора выбран достаточно
сложным (при необходимости используйте специальные символы ASCII).
He забывайте регулярно его менять.
- Убедитесь в том, что простые администраторы не используют
данных учетных записей администраторов домена для регистрации в
качестве локальных администраторов.
- Установите утилиту passprop из набора NTRK, чтобы обеспечить
блокировку учетных записей администраторов и таким образом воспрепятствовать
попыткам методичного подбора паролей.
- Установите средство расширенного шифрования SYSKEY файла
паролей NT (SAM) (Q248183). Это не остановит взломщиков раз и навсегда,
но значительно усложнит их работу.
- Включите режим аудита и регистрируйте неудачные попытки
выполнения важных системных функций, таких как Logon and Logoff,
а также тех, которые оказываются важными при реализации политики
безопасности, принятой в вашей организации. Проверяйте файлы журналов
еженедельно или же применяйте средства их автоматического анализа.
- Убедитесь в том, что доступ к системному' реестру надежно
защищен, особенно посредством удаленного доступа, с помощью параметра
HKEY_LOCAL_MACHINE\-SYSTEM\ CurrentControlSet\Control\SecurePipeServers\
winreg\AllowedPath.
- С помощью системного реестра сделайте компьютер, на котором
хранится важная информация, невидимым в сети, установив для этого
параметр HKLM\SYSTEM\CurrentControlSet\Services\LanManServer\ Parameters\Hidden,
REG_DWORD=1. При этом узел будет удален из всех списков, создаваемых
в окне просмотра сети (Network Neighborhood), но при этом он будет
по-прежнему будет обмениваться информацией с другими компьютерами.
- Не запускайте ненужных служб, а также избегайте использования
тех служб, которые запускаются в контексте пользовательской учетной
записи.
- Выясните, как запускать используемые вами приложения с максимальной
степенью безопасности, а если это невозможно, то не запускайте их
совсем. Обязательно прочитайте документ Microsoft Internet Information
Server 4.0 Security Checklist, который находится по адресу http://www.microsoft.com/technet
/security/tools.asp. В нем собрано очень много ценных советов о
защите NT. Вопросы безопасности сервера баз данных SQL 7.0 подробно
рассматриваются по адресу http://www.microsoft.com/technet/
SQL/Technote/secure.asp.
- Расскажите пользователям о важности паролей и объясните
им основные принципы использования учетных записей, чтобы они не
попадались на такие трюки, как получение хэш-кодов путем отправки
электронного письма-"приманки".
- Перейдите на сеть с коммутируемой архитектурой, чтобы в
максимальной степени усложнить перехват пакетов, передаваемых в
процессе обмена данными по сети (однако это не обеспечит абсолютной
безопасности!).
- Следите за сообщениями, появляющимися в бюллетенях (Bugtraq
— http://www.securityfocus.com/ и NTBugtraq — http://www.ntgugtraq.com/),
а также регулярно посещайте собственный Web-узел компании Microsoft,
посвященный вопросам обеспечения безопасности, расположенный по
адресу http://www. microsoft.com/security.
|
|
