Компьютер-Информ || Архив || Рубрики || Поиск || Подписка || Работа || О "КИ" || Карта
В защиту и о защите Windows NT
Виктор Ашик, MCT, MCSE
Прошедший 2001 год вполне обоснованно можно назвать годом сетевого червя. С массовым подключением к Интернет сетей и одиночных компьютеров процент защищенных систем, присутствующих в глобальной сети, неуклонно падает. Казалось бы, накоплен многолетний опыт противодействия сетевым злоумышленникам, исправлены тысячи ошибок в программах и протоколах их взаимодействия, а результат противоположный: на смену единичным реализациям сетевых червей приходят десятки новых. В чем причина такой ситуации?
Причина, видимо, кроется в технологическом прогрессе, точнее, в его темпах. Оказавшись в условиях острой конкуренции, производители программного обеспечения (ПО) устанавливают своим разработчикам жесткие временные рамки реализации проектов. А спешка, как известно, ни к чему хорошему обычно не приводит: из-за нехватки времени защите уделяется минимум внимания, все силы бросаются на реализацию технического задания. В результате на рынок выходит ╚сырой╩ по множеству критериев продукт, сплошь состоящий из уязвимых мест: переполнения буфера, утечки памяти, ошибки интерпретации ╚неправильных╩ входных данных, потайные ходы и т.═п.
Но обо всех этих ╚особенностях╩ производители ПО скромно умалчивают, у них совершенно другая задача: продать как можно больше копий продукта. В ход пускаются всевозможные маркетинговые технологии, рекламируются несравненные достоинства нового продукта, который, если судить по рекламе, способен творить чудеса.
И далеко не все способны отказаться от чуда прямо здесь и сейчас по сходной цене. Так, на рабочих местах и серверах появляются ╚сырые╩ системы и прикладные программы, содержащие тысячи неисправленных ошибок и сотни невыявленных проблем.
А между тем, в некоторых случаях при выборе ПО, предпочтительнее руководствоваться правилом: ╚старый друг лучше новых двух╩. В процессе сопровождения предпоследней версии системы было выявлено и устранено множество ошибок, накоплен бесценный опыт эксплуатации, изложенный в доступной форме разными авторами, написано множество программ и драйверов устройств.
Примером такой ╚предпоследней версии╩ является операционная система Windows NT 4.0. Да, в этой системе есть узкие места и, например, включение аудита может привести к снижению производительности, но зато эта версия системы прошла длительную проверку практической эксплуатацией, в результате которой накоплен значительный опыт, выраженный тысячами статей в базе знаний службы поддержки Microsoft и множеством административных утилит различных производителей.
Нет, автор вовсе не призывает вас установить на все компьютеры и использовать только Windows NT 4.0, но в некоторых специальных случаях эта версия операционной системы может оказаться предпочтительной.
Однако все достоинства проверенной временем системы сходят на нет при недостаточной заботе о ее защищенности. Сложившаяся практика распространения информации об уязвимости программ подразумевает демонстрацию атаки (эксплуатацию) этой уязвимости путем публикации программы, производящей атаку, эксплоита. (Здесь надо отметить, что фирма Microsoft
в настоящее время выступает против публикации таких программ, но в прошлом часто отказывалась признавать ошибки защиты без их демонстрации, называя атаку ╚чисто теоретической╩.) В результате публикации эксплоитов в руках злоумышленников оказываются готовые инструменты для осуществления атак. Поэтому задача системного администратора ≈ обеспечить установку всех заплат для системы и прикладных программ по мере их появления.
Для того чтобы заплаты не приходилось устанавливать сотнями, периодически выпускаются протестированные на стабильность их наборы ≈ сервисные пакеты. Для Windows NT 4.0 последний сервисный пакет имеет версию 6а, и, в связи с пожеланиями клиентов и все большей стабильности этого пакета в сочетании с последними обновлениями, выпуск седьмой версии отложен.
Кроме заплат на саму систему нужно обеспечить защиту браузера Internet Explorer путем установки одной из его последних версий и заплат для нее. На сегодняшний день это IE 5.5 SP2 или IE 6.0 с дополнительными заплатами. Особенно полезен для получения этих заплат сайт http://windowsupdate.microsoft.com.
После выхода SP6a в системе было найдено еще несколько проблем безопасности, для их устранения нужно применить объединенный набор Windows NT 4.0 Security Roll-up (http://www.microsoft.com/NTServer/sp6asrp.asp).
При добавлении любых компонентов системы Windows NT 4.0 сервисный пакет и все заплаты нужно переустановить (в Windows 2000 в этом нет необходимости).
После Security Roll-up требуется установить исправление Q305929 ╚This Certificate Has an Invalid Digital Signature╩ Error Message after you Install the Windows NT 4.0 Security Rollup Package, которое является небольшой технической поправкой.
В поддержке безопасности на актуальном уровне поможет использование сайта WindowsUpdate или утилиты Hfnetchk, описанной в статье Q303215, которая позволяет автоматизировать проверку наличия заплат на множестве серверов, причем для проверяемых серверов подключение к Интернет не требуется, а xml и cab-файлы, требуемые утилите для работы, могут быть получены на отдельной от сети машине.
Одной из самых уязвимых служб в Windows NT является Internet Information Services, ошибки в нем продолжают находить и по сей день, поэтому на машинах, не являющимися Web/FTP/SMTP/NNTP серверами, эту службу лучше отключить.
Если IIS все-таки необходим, то нужно установить IIS 4.0 Rollup patch, а неиспользуемые компоненты IIS запретить с помощью IIS Lockdown Wizard (http://www.microsoft.com/technet/security/tools/locktool.asp)═≈ мастера, который позволяет отключить неиспользуемые службы IIS, запретить поддержку неиспользуемых возможностей (сценариев asp, индексирования, доступа к базам данных, к стандартным примерам). При установке этого мастера также устанавливается средство фильтрации входящих запросов URLScan, которое позволяет отсечь хитрые запросы ╚на подлете╩.
После установки всех заплат на систему можно повысить ее защищенность, выполнив следующие настройки:
"═Преобразовать с помощью convert все файловые системы FAT в NTFS.
"═Присвоить учетной записи администратора сложный пароль (длиной от 9 символов, содержащий, по крайней мере, один знак препинания или непечатный символ в первых 7), переименовать ее и создать учетную запись-ловушку Administrator без прав. Регулярно проверять наличие попыток использовать эту запись в журнале безопасности (Security Log).
"═Отключить (disable) ненужные службы.
"═Отключить или удалить ненужные учетные записи.
"═Проверить, что учетная запись Guest (Гость) отключена.
"═Ужесточить разрешения на файлы и каталоги согласно рекомендациям документа NSAWindows NT System Security Guidelines (http://www.trustedsystems.com/tss_nsa_guide.htm), разработанным Trusted System Services по заказу NSA.
"═Запретить анонимный доступ к реестру: создать ключ реестра HKLM\System\CurrentControlSet\ Control\SecurePipeServers\winreg и дать к нему доступ только группе Administrators (Full Control).
"═Ужесточить разрешения на ключи реестра согласно рекомендациям NSA Windows NT System Security Guidelines (таблица).
"═Ограничить анонимный доступ к открытой информации Local Security Authority ≈ LSA (если в сети нет RAS), создав параметр реестра типа REG_DWORD HKLM\System\CurrentControlSet\ Control\LSA\RestrictAnonymous со значением 1.
"═Настроить шифрование базы SAM с помощью утилиты SYSKEY (Q143475) (не забыть создать новый Emergency Repair Disk).
"═Настроить на всех доменных контроллерах жесткую политику паролей, подключить фильтрацию паролей passfilt.dll согласно Q151082.
"═Включить блокировку учетных записей при 3-5 неверных попытках регистрации сроком не меньше 30 минут, включить блокировку учетной записи администратора с помощью passprop/adminlockout.
"═Удалить ненужные общие папки и настроить адекватные права на оставшиеся.
"═Установить антивирусную программу и обновить базу вирусов.
Оставаться в курсе последних проблем защиты позволяют различные источники информации в Интернет: рассылка Microsoft Security Notification Service (http://www.microsoft.com/technet/security/bulletin/notify.asp), сайт http://securityfocus.org/microsoft, страницы http://microsoft.com/security/ и http://windowsupdate.microsoft.com.
Научиться проектировать политику защиты организации можно на авторизованном курсе 2150A Designing a Secure Microsoft Windows 2000 Network (Проектирование безопасных сетей на базе Windows 2000) в учебном центре компании ЭВРИКА. Кроме того, в разработке находится новый курс, посвященный информационной безопасности, призванный абстрагироваться от технических подробностей и сосредоточиться на организационных моментах.
КОМПЬЮТЕР-ИНФОРМ Рубрики || Работа || Услуги || Поиск || Архив || Дни рождения
О "КИ" || График выхода || Карта сайта || Подписка
Главная страница
Сайт газеты "Компьютер-Информ" является зарегистрированным электронным СМИ.
Свидетельство Эл ╧ 77-4461 от 2 апреля 2021 г.
Перепечатка материалов без письменного согласия редакции запрещена.
При использовании материалов газеты в Интернет гиперссылка обязательна.
Телефон редакции (812) 118-6666, 118-6555.
Адрес: 196084, СПб, ул. Коли Томчака, д. 9
e-mail:
Для пресс-релизов и новостей