Добавил:
Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:
Скачиваний:
52
Добавлен:
17.04.2013
Размер:
104.96 Кб
Скачать

Безопасная Windows XP

Физическая защита

К физическим средствам защиты относится:

• обеспечение безопасности помещений, где размешены серверы сети;

• ограничение посторонним лицам физического доступа к серверам, концентраторам, коммутаторам, сетевым кабелям и другому оборудованию;

• использование средств зашиты от сбоев электросети.

Администрирование учетных записей

В функции Менеджера учетных записей входит поддержка механизма идентификации и проверки подлинности пользовате­лей при входе в систему. Все необходимые настройки хранятся в базе данных Менеджера учетных записей. К ним относится:

• учетные записи пользователей;

• учетные записи групп;

• учетные записи компьютеров домена;

• учетные записи доменов.

База данных Менеджера учетных записей представляет со­бой куст системного реестра, находящегося в ветви HKEY_ LOCALMACHINE, и называется SAM. Как и все остальные ку­сты, он хранится в отдельном файле в каталоге % Systemroot %\Sys-tem32\Con fig, который также носит название SAM. В этом ката­логе обычно находятся минимум два файла SAM: один без расширения — сама база учетных записей; второй имеет расшире­ние .log — журнал транзакций базы.

Наиболее интересным является раздел учетных записей пользователей: в них хранится информация об именах и паролях. Следует заметить, что пароли не хранятся в текстовом виде. Они защищены процедурой хеширования. Это не значит, что не зная пароля в текстовом виде, злоумышленник не проникнет в систе­му. При сетевом подключении не обязательно знать текст пароля, достаточно хешированного пароля. Поэтому достаточно получить копию базы данных SAM и извлечь из нее хешированный пароль.

При установке системы Windows XP доступ к файлу %Sys-temroot%\Systern32\Config\sam для обычных программ заблокиро­ван. Однако, используя утилиту Ntbackup, любой пользователь с правом Back up files and directories может скопировать его. Кроме того, злоумышленник может попытаться переписать его копию (Sam.sav) из каталога %Systemroot%\System32\Config или архив­ную копию (Sam._) из каталога %Systemroot%\Repair.

Поэтому для зашиты информации, хранящейся в базе дан­ных SAM, необходимо следующее:

- исключить загрузку серверов в DOS-режиме (все разделы установить под NTFS, отключить загрузку с флоппи- и компакт-дисков, желательно установить на BIOS пароль (хотя эта мера уже давно устарела, поскольку некоторые версии BIOS имеют «дырки» для запуска компьютера без пароля, все-таки злоумышленник потеряет на этом время для входа в систему)

- ограничить количество пользователей с правами Backup Operators и Server Operators;

- после установки или обновления удалить файл Sam.sav;

- отменить кэширование информации о безопасности на компьютерах домена (имена и пароли последних десяти пользователей, регистрировавшихся ранее на данном компьютере, сохраняются в его локальном реестре). Используя утилиту Regedt32, добавить в реестр в раздел HKEY LOCAL MACHINE\Microsoft Windows NT\CurrentVersion\WinLogon: параметр CachedLogonsCount, тип REG SZ, значение О.

Один из популярных методов проникновения в систему — подбор пароля. Для борьбы с этим обычно устанавливают блоки­ровку учетной записи пользователя (Account Lockout) после опре­деленного числа неудачных попыток входа, используя для этого утилиту User Manager в диалоговом окне Account Policy, доступ­ном через меню Polcies/Accounts.

Приятным исключением является учетная запись админис­тратора. И если он имеет право на вход через сеть, это открыва­ет лазейку для спокойного угадывания пароля.

• для защиты рекомендуется переименовать пользователя Administrator, установить блокировку учетных записей, запретить администратору вход в систему через сеть, запретить передачу SMB пакетов через TCP/IP (порты 137.138,139). установить протоколирование неудачных входов.

• необходимо ввести фильтрацию вводимых пользователем паролей, установить Service Pack 2 или 3 (используется динамическая библиотека Pass-nit.dll). Данная библиотека при создании нового пароля проверяет, что:

• длина пароля не менее шести символов;

• содержит три набора из четырех существующих:

• прописные группы латинского алфавита А. В. С, ..., Z;'

• строчные группы латинского алфавита а, Ъ, с, ..., z;

• арабские цифры 0, 1,2, ..., 9;

• не арифметические (специальные) символы, такие, как знаки препинания.

• пароль не состоит из имени пользователя или любой его части.

Для включения данной фильтрации необходимо в реестре в разделе HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Control\Lsa добавить параметр Notification Packages, тип REG_ MULT1_SZ, значение PASSF1LT.

Если этот параметр уже существует и содержит величину FPNWCLNT (File Personal NetWare Client), то допишите новую строку под FPNWCLNT. Если же вам мало наборов фильтра, то создайте свою библиотеку, используя статью Q151082 в Microsoft KnowledgeBase, где приведен пример написания модуля фильтра.

Защита файлов и каталогов (папок)

Операционная система Windows XP поддерживает файловые системы FAT (File Allocation Table) и NTFS (New Technology File System). Напомним, что первая поддерживается такими известны­ми операционными системами, как MS-DOS, Windows 2000, Win­dows 95/98 и OS/2, вторая — только Windows XP. У FAT и NTFS различные характеристики производительности, разный спектр предоставляемых возможностей и т.д. Основное отличие файло­вой системы NTFS от других (FAT, VFAT (Virtual File Allocation Table), HPFS) состоит в том, что только она одна удовлетворяет стандарту безопасности С2, в частности, NTFS обеспечивает за­щиту файлов и каталогов при локальном доступе.

Защиту ресурсов с использованием FAT можно организо­вать с помощью прав доступа:

• Чтение

• Запись

• Полный.

Таким образом, можно рекомендовать создавать дисковые разделы NTFS вместо FAT. Если все же необходимо использовать раздел FAT, то его надо сделать отдельным разделом для прило­жений MS-DOS и не размешать в нем системные файлы Windows ХР.

Поскольку файлы и каталоги в Windows XP являются объ­ектами, контроль безопасности осуществляется на объектном уровне. Дескриптор безопасности любого объекта в разделе NTFS содержит два списка контроля доступа (ACL) — дискреционный (discretionary ACL (DACL)) и системный (system ACL (SACL)).

В операционной системе Windows XP управление доступом к файлам и каталогам NTFS возлагается не на администратора, а на владельца ресурса и контролируется системой безопасности с помощью маски доступа (access mask), содержащейся в записях списка контроля доступа ACL.

Маска доступа включает стандартные (Synchronize, Write_ Owner, Write_Dac, Read_Control, Delete), специфические (Read (Write)_Data, Append_Data, Read(Write)_Attributes, Read(Write)_ ExtendedAttributes, Execute) и родовые (Generic_Read(Write), Generic_Execute) права доступа. Все эти права входят в дискреционный список контроля доступа (DACL). Вдобавок маска доступа содер­жит бит, который соответствует праву Access_System_Security. Это право контролирует доступ к системному списку контроля досту­па (SACL).

В списке DACL определяется, каким пользователям и груп­пам разрешен или запрещен доступ к данному ресурсу. Именно этим списком может управлять владелец объекта.

Список SACL задает определенный владельцем тип досту­па, что заставляет систему генерировать записи проверки в сис­темном протоколе событий. Только системный администратор уп­равляет этим списком.

На самом же деле для администрирования используются не отдельные права доступа, а разрешения (permissions) NTFS. Раз­решения подразделяются на:

• индивидуальные — набор прав, позволяющий предоставлять пользователю доступ того или иного типа;

• стандартные — наборы индивидуальных разрешений для выполнения над файлами или каталогами действий определенного уровня;

• специальные — комбинация индивидуальных разрешений, не совпадающие ни с одним стандартным набором.

По умолчанию при инсталляции Windows XP и файловой системы NTFS устанавливаются довольно «свободные» разреше­ния, позволяющие обычным пользователям получать доступ к ря­ду системных файлов и каталогам. Например, каталоги %system-root% и %systemroot%\system32 имеют по умолчанию разрешение Change для группы Everyone. Если после установки Windows XP FAT впоследствии был преобразован в NTFS. то данное разреше­ние для этой группы устанавливается на все файлы и подкатало­ги каталога %systemroot%. Защита данных каталогов заключается в грамотной установке разрешений.

Количество пользователей с правами администратора реко­мендуется свести к минимуму. Учетную запись Guest лучше вооб­ще удалить, хотя она при установке (по умолчанию) и так отклю­чена, а вместо этой учетной записи создать для каждого пользователя свою временную учётную запись с соответствующи­ми разрешениями и правами.

Соседние файлы в папке Другие сети от другого Малова