Регистраторы нажатия клавиш. Политика групп.
Резюме
В этой главе мы лишь слегка коснулись многочисленных изменений, относящихся к WIN 2000, однако проверка программ взлома для NT 4 показала существенное повышение безопасности в новой версии операционной системы. Вселяет оптимизм также добавление распределенной политики безопасности в WIN 2000. Однако окончательные выводы о защищенности этой операционной системы можно будет сделать только в процессе ее широкого использования. Для полного выявления всех брешей системы NT 4 понадобилось несколько лет. Примерно столько же времени потребуется и для досконального изучения WIN 2000. Приведем несколько советов, основанных на материале этой главы, главы 5, а также материалах многочисленных ресурсов Internet по безопасности WIN 2000.
- Изучите резюме к главе 5, где приводится перечень мер по защите NT. Практически все эти советы применимы и к WIN 2000. (Местоположение некоторых параметров изменилось. Некоторые из них нашли отражение в интерфейсе пользователя, в частности объект политики групп Computer Configuration Windows Settings\Security Settings\Local Policies\Security Options).
- Воспользуйтесь рекомендациями по обеспечению безопасности IIS5, приведенными по адресу http://www.microsoft.com/security. Загрузите также средство конфигурирования IIS5, обеспечивающее возможность настройки пользовательских шаблонов.
- Информация по защите SQL Server 7.0 для WIN 2000 содержится по адресу http://www.microsoft.com/technet/SQL/Technote/secure.asp.
- Помните, что атаки, как правило, не совершаются на системном уровне. Чаще различным угрозам подвержен уровень приложений, особенно это касается современных приложений на основе Web-технологий. На основе приведенной в этой главе информации необходимо, конечно, защитить уровень операционной системы, но основные усилия следует сосредоточить на защите уровня приложений.
- Может это покажется смешным, но удостоверьтесь в корректности версии WIN 2000. Продукты WIN 2000 Server и Advanced Server задействуют множество служб (особенно в качестве контроллеров домена для службы Active Directory), поэтому их необходимо ограждать от недоверенных сетей, пользователей и других ненадежных объектов.
- Для обеспечения хорошей зашиты применяйте принцип минимализма: если нечего атаковать, то атака невозможна. Отключите все необязательные службы (с помощью services.msc). Обеспечьте необходимую безопасность для оставшихся обязательных служб. Например, настройте службу DNS таким образом, чтобы ограничить возможности переноса зоны.
- Если службы файлов и печати необязательны, запустите аплет Network and Dial-up Connections, а затем выберите команду Advanced › Advanced Settings и сбросьте флажок File And Printer Sharing for Microsoft Networks для каждого адаптера, чтобы отключить использование протокола NetBIOS поверх TCP/IP, как показано на рис. 6.1 в начале этой главы. Это наилучший способ настройки внешних интерфейсов подключенного к Internet сервера.
- Используйте фильтры TCP/IP и IPSec (описанные в этой главе) для блокировки доступа к прослушиваемым портам, за исключением минимально необходимого набора открытых портов.
- Защитите серверы, имеющие выход в Internet, с помощью брандмауэра или маршрутизатора, чтобы ограничить DoS-атаки. Кроме того, с помощью описанных в этой главе методов защититесь от стандартных DoS-атак.
- Регулярно устанавливайте сервисные пакеты и модули обновления. Расширяющийся с каждым днем список этих средств можно найти по адресу http://www.microsoft.соm/security.
- Ограничьте привилегии интерактивных учетных записей, чтобы в зародыше предотвратить атаки, направленные на расширение привилегий.
- По возможности завершайте терминальные сеансы, а не просто отключайтесь от терминального сервера и не оставляйте открытых сеансов на "растерзание" взломщикам, получившим права администратора.
- Используйте новые средства типа Group Policy (gpedit.msc) и Security Configuration and Analysis с дополнительными шаблонами для реализации распределенной схемы защиты среды WIN 2000.
- Придерживайтесь строгих правил физической защиты от атак в автономном режиме против файла SAM и средства EFS, описанных в этой главе. Храните системный ключ на гибком носителе или защищайте его паролем. Обеспечьте физическую защищенность жизненно важных серверов, установите для них пароли на BIOS и отключите дисководы для съемных носителей, которые можно использовать для загрузки в систему с помощью альтернативной операционной системы.
- Воспользуйтесь информацией из справочной системы по рациональному использованию шифрования файловой системы. Реализуйте шифрование на уровне каталогов для максимального числа пользователей, особенно для пользователей переносных компьютеров. Не забудьте экспортировать ключ агента восстановления, а затем удалить его с локальной машины, чтобы не подвергать зашифрованные файлы атакам в автономном режиме.
- Подпишитесь на бюллетень NTBugtraq (http://www.ntbugtraq.com), чтобы быть в курсе обсуждения последних новостей, касающихся безопасности NT/2000. Если объем информации в этом бюллетене для вас слишком велик, подпишитесь на дайджест, чтобы получать все важнейшие сообщения за данный период. Для подписки на дайджест нужно отправить по адресу listserv@listserv.ntbugtraq.com сообщение следующего содержания "set NTSecurity digest" (тему сообщения задавать не надо).
- Бюллетень Win2KsecAdvice по адресу http://www.ntsecurity.net во многом дублирует NTBugtraq, но может содержать и новую информацию. Для него тоже существует компактный вариант дайджеста.