Инвентаризация Windows NT/2000
Нулевой сеанс: контрмеры
При установке нулевого соединения требуется доступ к TCP-порту 139, так что наиболее правильный путь предотвращения такой опасности состоит в фильтрации запросов по протоколу NetBIOS к портам TCP и UDP с номерами от 135 до 139 по всему периметру сетевых устройств управления доступом. Необходимо также запретить использование протокола NetBIOS поверх TCP/IP и на отдельных узлах, отсоединив клиент WINS (TCP/IP) от соответствующего интерфейса с помощью аплета Network панели управления. В системе Windows 2000 для этого нужно запустить аплет соответствующего сетевого подключения, открыть диалоговое окно Advanced TCP/IP Settings, перейти во вкладку WINS и отключить режим Disable NetBIOS Over TCP/IP.
В системе WIN 2000 используется еще порт 8MB с номером 445, который позволяет получить аналогичную информацию. Более подробные сведения и описание методов защиты содержатся в главе 6.
Начиная с третьего сервисного пакета системы NT компания Microsoft предложила механизм, позволяющий предотвратить опасность извлечения важной информации с помощью нулевых соединений без отключения режима использования протокола NetBIOS поверх TCP/IP (хотя мы по-прежнему рекомендуем сделать это, если в службах NetBIOS нет необходимости). Этот механизм был назван RestrictAnonymous – по названию соответствующего параметра системного реестра. Для его использования выполните следующие действия.
- Запустите regedt32 и перейдите в каталог HKEY_LOCAL_MACHlNE\SYSTEM\Current ControlSet\Control\LSA.
- Выберите команду Edit › Add Value и введите следующие данные:
- Имя параметра: RestrictAnonymous
- Тип данных: REG_DWORD
- Значение: 1 (или 2 для WIN 2000)
- Закройте редактор системного реестра и перезапустите компьютер, чтобы внесенные изменения вступили в силу.
В системе Windows 2000 реализовать подобную защиту несколько проще, поскольку в консоли управления имеется модуль Security Settings с элементом \Local Policies\Security Options. С помощью графического интерфейса консоли управления можно выполнить настройку многих параметров системного реестра, связанных с обеспечением защиты. В системе NT4 все подобные изменения необходимо выполнять вручную. Что еще лучше, параметры, подобные RestrictAnonymous, можно применить к организационной единице (Organizational Unit – OU), узлу или на уровне домена. Если все изменения производились на контроллере домена WIN 2000, то эти параметры будут унаследованы всеми дочерними объектами активного каталога. При этом потребуется воспользоваться модулем Group Policy, который более подробно будет рассматриваться в главе 6.
Для того чтобы ограничить доступ к данным NetBIOS неавторизованных пользователей с помощью элементов Group Policy / Security Options, установите режим No access without explicit anonymous permissions для параметра Additional restrictions for anonymous connections. (Это аналогично заданию значения 2 для параметра RestrictAnonymous системного реестра WIN 2000.)
Примечательно, что установка этого параметра на самом деле не блокирует самого анонимного соединения. Единственное, что она делает, – предотвращает утечку информации через такое соединение главным образом данных об учетных записях и совместно используемых ресурсах. В Windows 2000 параметр RestrictAnonymous имеет значение 2. Оно позволяет ограничить доступ к ресурсам лишь посредством нулевых сеансов с явно заданными разрешениями (см. рис. выше).
Одним из самых примечательных исключений из этого правила является утилита sid2user (описываемая в разделе "Инвентаризация Пользователей и Групп NT/2000"), которая продолжает функционировать даже при включенном режиме RestrictAnonymous.
Более подробную информацию можно найти в статье "Q143474" системы Knowledge Base компании Microsoft по адресу http://search.support.microsoft.com. Для получения более подробного технического описания можно обратиться к статье о хакинге служб "NetBIOS CIFS: Common insecurities Fail Scrutiny" Хобита, которую можно найти по адресу http://www.avian.org или в документах RFC 1001 и 1002, где содержится спецификация передачи данных по протоколам NetBIOS и TCP/UDP.
Мы вкратце обосновали важность информации, которую можно получить с помощью нулевых соединений. В подавляющем большинстве случае такие данные нельзя оставлять незащищенными, особенно если сервер подключен к Internet. Мы настоятельно рекомендуем установить параметр RestrictAnonymous.
После постановки задачи в целом самое время перейти к изучению средств и приемов, которые при этом могут использоваться.