Windows Millenium Edition (ME)
Компания Microsoft выпустила свою новую операционную систему Windows Millenium Edition (ME). Она является прямой наследницей WIN 9.x и с этой точки зрения не содержит никаких серьезных изменений в области обеспечения безопасности по сравнению с более ранними версиями. Другими словами, если вы всерьез обеспокоены вопросами обеспечения безопасности, то лучше перейти к другой версии – Windows 2000. WIN ME продолжает традиции своих предшественниц и предоставляет минимальные возможности защиты, чтобы повысить совместимость оборудования и простоту использования системы. С точки зрения обеспечения безопасности эта операционная система очень похожа на WIN 9x. Следовательно, нет никаких причин подробно рассматривать WIN ME.
Для удаленною проникновения WIN ME по-прежнему не представляет никакого интереса. В этой операционной системе не появилось ни одной новой службы. По умолчанию режим совместного использования файлов и принтеров отключен, как и служба удаленного управления системным реестром. Если конечный пользователь не изменит режимы, установленные по умолчанию, то удаленное проникновение в систему WIN ME окажется практически невозможным.
В WIN ME имеется усовершенствованный компонент, позволяющий совместно не пользовать подключение к Internet (ICS – Internet Connection Sharing). Аналогичное средство появилось еще в системе WIN 98, однако теперь его гораздо проще установить и настроить с помощью многочисленных мастеров. Благодаря компоненту ICS компьютер под управлением системы WIN ME может функционировать в качестве маршрутизатора, когда несколько компьютеров совместно используют единственное подключение к Internet. Такой режим в WIN 9x отсутствовал, так что в WIN ME он открывает для взломщиков интересные возможности.
Компонент ICS устанавливается с помощью аплета Add/Remove Programs панели управления, во вкладке Windows Setup открывшегося диалогового окна. Настроить новую службу можно с помощью мастера Home Networking Wizard, который позволяет установить режим, когда ресурсы компьютера требуется предоставить в совместное пользование. В процессе установки имеется возможность ввести пароль, однако делать это необязательно. После перезагрузки будет установлен режим совместного использования файлов и принтеров. Если пароль не был задан, то папка My Documents или My Shared Documents (C:\A11 Users\Documents, имя ресурса Documents) будет доступна для совместного использования без ограничений и без пароля. Однако совместно используемые ресурсы будут доступны лишь с "внутренней" стороны сети.
Хотя служба ICS не должна повышать уязвимость интерфейса с внешним миром, она разрабатывалась для маршрутизации трафика исходящих сообщений из внутренней во внешнюю сеть (даже посредством удаленных соединений). По-видимому, взломщик, проникнувший в систему WIN ME или подключившийся к удаленной сети через службу ICS, получит практически неограниченный доступ к компьютерам этой сети. Нет смысла предполагать, что удаленные клиенты Windows не повлияют на безопасность сетей, к которым они подключены.
В терминах локального проникновения система WIN ME аналогична 9х. Стоит еще раз подчеркнуть: устанавливайте пароли BIOS на общедоступных компьютерах (особенно переносных), задайте пароль экранной заставки, а также подсистемы управления питанием. В справочной системе WIN ME содержится информация о новой возможности шифрования папок, однако в используемой нами версии этой системы после щелчка правой кнопкой на имени папки она остается недоступной. Нам не удалось собрать никакой дополнительной информации о поддерживаемых алгоритмах и местах хранения ключей шифрования.
Резюме
Время идет вперед, и WIN 9х становится все менее и менее интересной в качестве потенциальной жертвы. Взломщиков все больше интересуют более новые операционные системы, такие как Windows 2000. Для тех, кто остался приверженцем WIN 9x, следует принять во внимание следующее.
- С точки зрения сетевого взломщика, система Windows 9x/ME несколько инертна, поскольку в ней отсутствует встроенная поддержка регистрации в сети. Практически единственной угрозой сетевой целостности WIN 9х/МЕ является совместное использование файлов, что можно легко исправить путем выбора хорошего пароля, и опасности возникновения условия DoS, что так же в большинстве случаев легко решается путем установки пакета обновления DUN 1.3 и системы Windows ME. Однако в любом случае мы настоятельно рекомендуем не подключать незащищенные системы WIN 9x/ME непосредственно к Internet. Простота, с которой такие компьютеры могут оказаться в руках взломщиков, и недостаток адекватных средств защиты – верные источники возникновения проблем.
- Гуляющие по просторам Internet Back Orifice и NetBus, а также многочисленные коммерческие пакеты, предназначенные для удаленного управления (см. главу 13), могут сделать гораздо больше, чем простое расширение недостающей WIN 9х/MЕ сетевой функциональности. Убедитесь, что они не установлены на компьютере без вашего ведома (например, через известные изъяны клиентского программного обеспечения Internet, как будет описано в главе 16), а также в том, что легально установленные программы настроены на максимальный уровень безопасности (т.е. используются хорошие пароли).
- Постоянно обновляйте программное обеспечение, поскольку в пакетах обновления зачастую содержатся исправления различных модулей системы защиты. Для получения более подробной информации о степени уязвимости необновленного программного обеспечения, а также о способах повышения их надежности читайте главу 16.
- Если кто-то получит физический доступ к вашему компьютеру под управлением WIN 9x, вам конец (впрочем, то же самое можно сказать и о большинстве других операционных систем). Единственным решением этой проблемы может быть защита с помощью пароля BIOS, а также использование программного обеспечения сторонних производителей.
- Если вы занимаетесь хакингом WIN 9х из любопытства, вам будет чем поразвлечься, особенно, если вспомнить о количестве рассмотренных утилит. Если же вы администратор сети, то не забывайте, что в PWL-файлах могут содержаться данные пользовательских учетных записей, используемых для регистрации в сети. Поэтому не нужно относиться к утилитам такого рода пренебрежительно, особенно, если физический доступ к компьютерам пользователей с системой WIN 9х в вашей организации слабо ограничен или совсем не контролируется.