Защита реестра

Системный реестр (registry) Windows XP — это база данных, содержащая информацию о конфигурации и значениях парамет­ров всех компонентов системы (устройствах, операционной сис­теме и приложениях). Основные кусты реестра находятся в ветви HKEY_LOCAL_MACHINE и называются SAM, SECURITY, SOFTWARE и SYSTEM.

Куст SAM - это база данных Менеджера учетных записей, SECURITY хранит информацию, используемую локальным Мене­джером безопасности (LSA). В кусте SOFTWARE находятся пара­метры и настройки программного обеспечения, а в SYSTEM со­держатся данные, о конфигурации, необходимые для загрузки операционной системы (драйверы, устройства и службы).

Доступ пользователей к полям реестра следует разграничить. Это можно осуществить с помощью утилиты Regedt32.

Установленные в системе по умолчанию разрешения на до­ступ к разделам реестра нельзя модифицировать рядовым пользо­вателям. Поскольку некоторые разделы реестра доступны членам группы Everyone, после установки Windows XP необходимо изме­нить разрешения в разделе.

Для доступа к разделу HKEYJLOCAL_MACHINE\Software\ Microsoft\Windows NT\CurrentVersion\PerfLib можно вообще уда­лить группу Everyone, а вместо нее добавить группу INTERAC­TIVE с правом Read.

Для ограничения удаленного доступа к системному реестру Windows XP используется запись в разделе HKEY_LOCAL_ MACHINE\System\CurrentcontrolSet\Control\SecurePipeServers\ winreg. По умолчанию право удаленного доступа к реестру имеют члены группы Administrators. В Workstation этот раздел отсутству­ет, и его необходимо создать. Право удаленного доступа к реест­ру получают только пользователи и группы, указанные в списке прав доступа к указанному разделу. К некоторым разделам реест­ра необходимо предоставить доступ по сети другим пользователям или группам; для этого эти разделы можно указать в параметрах Machine и Users подраздела НKEY LOCAL MACHlNE\System\ CurrentControlSet\Contro\SecurePipeServers\winreg\AllowedPaths.

Безопасность сервера smb

Доступ к файлам и принтерам по сети в операционной си­стеме Windows XP обеспечивает сервер SMB (Server Message Block), называемый просто сервером или LAN Manager сервером. SMB осуществляет проверку подлинности клиента, пытающегося получить доступ к информации по сети. Существует два режима работы системы контроля: проверка на уровне ресурса (Share Level) и проверка на уровне пользователя (User Level). Windows ХР не поддерживает доступ на уровне ресурса.

При проверке на уровне пользователя сервер выполняет идентификацию пользователя на основе базы учетных записей. Протокол SMB обеспечивает защиту в начальный момент сеанса, затем все данные пользователя передаются по сети в открытом ви­де. Если вы хотите обеспечить конфиденциальность информации, необходимо использовать программные или аппаратные средства шифрования транспортного канала (например, РРТР, входящего в Windows NT).

Сеансы протокола SMB можно подделать или перехватить. Шлюз может перехватить сеанс SMB и получить такой же доступ к файловой системе, как и легальный пользователь, инициирую­щий сеанс. Но шлюзы редко используются в локальных сетях. А если такую попытку предпримет компьютер в сети Ethernet или Token Ring, в которой находится клиент или сервер SMB, то это вряд ли удастся, поскольку перехватывать пакеты достаточно трудно.

Возможность передачи по сети пароля пользователя в от­крытом виде делает систему уязвимой. После установки Service Pack 3 в операционной системе автоматически отключает возмож­ность передачи пароля в открытом виде, но существуют SMB-cep-веры, не принимающие шифрованный пароль (например, Lan Manager для UNIX). Чтобы включить передачу «открытого» паро­ля, необходимо установить в реестре в разделе HKEY_LOCAL MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\ Parametrs параметр EnablePlainTextPassword, тип REG_DWORD, значение 1.

Следует отметить, что корпорация Microsoft модифицирова­ла протокол 8MB, который назван 8MB Signing. При этом клиент и сервер проверяют подлинность каждого сообщения, поступаю­щего по протоколу SMB. Для этого в каждое сообщение 8MB по­мещается электронная подпись, удостоверяющая знание пароля пользователя клиентом или сервером, пославшим это сообщение. Таким образом, электронная подпись удостоверяет, что команда SMB, во-первых, создана стороной, владеющей паролем пользо­вателя; во-вторых, создана в рамках именно этого сеанса; и, в-третьих, сообщение, передаваемое между сервером и клиентом, — подлинник.

Для включения проверки электронных подписей в сообще­ния SMB необходимо установить Service Pack 3 и произвести ус­тановку параметров в реестре сервера и клиента, для серверa- в разделе HKEYLOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\LanManServer\Parametrs параметр EnableSecuritySignature, тип REG_DWORD, значение 1.

Если значение равно 0 (по умолчанию), то поддержка SMB Signing на сервере выключена. В отличие от сервера у клиента зна­чение EnableSecuritySignature по умолчанию уже равно 1.

При инициализации сервера образуются папки администра­тивного назначения (Administrative shares), которые обеспечивают доступ к корневому каталогу тома. Доступ к этим ресурсам по умолчанию разрешен только членам групп Administrators, Backup Operators, Server Operators и Power Users. Если вы хотите отменить доступ к ним, то необходимо в реестре в разделе HKEY LOCAL MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\ Parametrs параметр AutoShareServer, тип REG_DWORD, значение 0 или, используя утилиту System Policy Editor, снять флажки с па­раметров Create Hidden Drive Shares в разделе Windows XP Net-work\Sharing.

Необходимо ограничить права анонимного пользователя. Инсталляция Service Pack 3 закрывает доступ к реестру системы для анонимного пользователя.