Защита реестра от несанкционированного удаленного доступа

Опция доступа к реестру удаленного компьютера представляет собой очень удобный метод, позволяющий администратору эффективно выполнять свои задачи по поддержке пользователей непосредственно с собственного рабо­чего места. Однако в ряде случаев эта возможность может быть источником проблем, поскольку удаленный доступ к реестру локального компьютера должен быть санкционированным.

Когда пользователь пытается установить соединение с реестром удаленного компьютера, работающего под управлением Windows NT/2000, действующий на этом компьютере сервис Server в первую очередь выполняет провер­ку существования ключа HKEY_LOCAL_MACHINE\System\CurrentControlSet \Control\SecurePipeServers\Winreg (рис. 9.3). Возможность получения удаленным пользователем доступа к реестру защищаемого компьютера опреде­ляется следующими факторами:

□ Если ключ \Winreg не существует, то доступ к реестру сможет пол О Если ключ \Winreg существует в реестре, то список контроля доступа, установленный для этого подключа, и будет определять, какие пользова­тели могут получать доступ к реестру с удаленного компьютера.

Это означает, что для обеспечения безопасности удаленного доступа к рее­стру локального компьютера Windows требуется сконфигурировать список контроля доступа для ключа HKLM\System\CurrentControlSet\Control\SecurePipeServers\Winreg.

Если список контроля доступа (ACL) ключа Winreg предоставляет удален­ному пользователю доступ с правом чтения или записи (явно или как члену одной из групп), этот пользователь может подключиться к реестру Windows . После установления такого соединения действия пользовате­ля, манипулирующего реестром, будут ограничены только правами доступа к отдельным его ключам. Таким образом, даже если пользователь имеет только право на чтение ключа Winreg, он сможет модифицировать другие ключи реестра, если их ACL это позволяют.

Создавать подключ \Winreg требуется только на компьютерах Windows NT 4.0 Workstation. На компьютерах Windows NT 4.0 Server, а также Windows Server Proffetional этот ключ создается по умолчанию

Защита ульев SAM и Security

Информация безопасности Windows/Windows Serverхранится в ульях реестра SAM (Security Accounts Manager) и Security. Улей SAM содержит пользовательские пароли в виде таблицы хэш-кодов, а улей Security — информацию о безо­пасности локального компьютера, в том числе — права пользователей, по­литику в отношении паролей, членство пользователей в локальных группах.

Примечание

Существует целый набор утилит, с помощью которых можно осуществить взлом улья SAM. Наиболее известными из них являются PWDUMP, NT Crack и LOphtCrack.

Как защитить улей SAM

Microsoft официально утверждает, что лучший способ защиты Windows/Windows Server— это защита административных паролей, но этого явно недостаточно. Доступ к ульям SAM и Security получают многие пользовате­ли — например, пользователи из группы Backup Operators, в обязанности которых входит резервное копирование реестра.

По умолчанию ни один пользователь (даже администратор) не имеет необ­ходимых прав доступа, которые позволили бы ему получить доступ или хотя бы просмотреть базу данных SAM Windows/Windows Serverс помощью редактора реестра. Но, тем не менее, ульи SAM и Security хранятся на диске точно так же, как и другие файлы, и единственное, что требуется для взлома — это раздобыть копии этих ульев. Обычным копированием этого не сделать — при попытке копирования реестра работающей системы Windows/Windows Serverвы получите сообщение об ошибке

Однако в составе программных продуктов имеются утилиты (Regback в Windows NT 4.0 Resource Kit и REG — в Windows Server Resource Kit), при помощи которых пользователи, принадлежащие к группам администраторов или операторов резервного копирования, могут получать копии реестра ра­ботающей системы

Если Windows/Windows Serverустановлена на томе NTFS, то пользователь, желающий незаконно скопировать ульи SAM и Security, может воспользоваться утилитой NTFSDOS (http://www.sysinternals.com/ntfs30.htm), поторая позволяет монти­ровать тома NTFS в DOS. Эта утилита и другие ее модификации (имеется так­же утилита NTFS for Windows 98) вызывают у многих противоречивую реакцию (именно из-за потенциального риска для системы безопасности). После появ­ления первых версий NTFSDOS корпорация Microsoft официально заявила, что истинная безопасность — это физическая безопасность. Тем не менее, эта утилита весьма полезна и может оказаться просто незаменимой при выполне­нии процедур аварийного восстановления (особенно если надо сделать эту работу быстро). Лично меня она не раз выручала.

Подводя итоги, скажем, что для обеспечения должной защиты файлов SAM и Security от незаконного копирования следует установить защищаемые компьютеры в охраняемом помещении, а также !!!

ЛИШИТЬ ПОЛЬЗОВАТЕЛЕЙ ПРАВА НА ПЕРЕЗАГРУЗКУ КОМПЬЮТЕРА.

Чтобы отредактировать права пользователей в Windows, зарегистрируйтесь в системе от имени пользователя с правами администратора, раскройте окно Control Panel, выполните двойной щелчок мышью на значке Administrative Tools, и выберите опцию Local Security Policy. Разверните дерево консоли ММС, и выберите опцию User Rights Assignment. В правой части окна появится список пользовательских прав, доступных для редактирова­ния списка пользовательских групп, имеющих право на перезагрузку компьютера.

Можно ли теперь сказать, что реестр Windows теперь защищен? Нет, нельзя, потому что еще остаются резервные копии реестра. В системах Windows сразу же после успешной установки операционной системы или в любое время при запуске утилиты Rdisk с ключом /s создаются ре­зервные копии ульев реестра, которые сохраняются в каталоге %SystemRoot% \Repair. Резервные копии реестра Windows Server создаются при каждом ре­зервном копировании системных конфигурационных данных (System State Data), и эта информация сохраняется в каталоге %SystemRoot%\Repmv\Regba.ck Данные файлы не открыты системой, и поэтому, если пользователь зареги­стрировался локально (или если каталог с резервной копией является разде­ляемым), эти файлы могут быть беспрепятственно скопированы В системах Windows права доступа к объектам файловой системы NTFS никак не защищают каталог %SystemRoot%\Repair, все пользователи имеют к этому каталогу доступ с правом чтения, и этого достаточно для копирования фай­лов. В Windows Server группа Users по умолчанию имеет только право просмотра (List) этого каталога, что не дает возможности копирования файлов. Тем не менее, как уже говорилось в этой главе, если вы выполняли обнов­ление предыдущей версии Windows NT до Windows Server, то права доступа к объектам реестра и файловой системы наследуются от предыдущей версии Windows NT.

Подводя итоги, скажем, что для предотвращения доступа рядовых пользова­телей домена к файлам SAM и Security следует:

- лишить конечных пользователей права локальной регистрации на серверах; - использовать файловую систему NTFS;

- обеспечить надлежащую физическую защиту для серверов;

- в системах Windows NT 4.0 и тех системах Windows Server, где операционная система устанавливалась как обновление предыдущей версии Windows NT, следует ужесточить права доступа к каталогу %SystemRoot%\repair,

- обеспечить безопасные условия хранения резервных копий и дисков ава­рийного восстановления (Windows NT 4.0), а также копий данных из на­бора System State Data (Windows Server).

Для взлома похищенных ульев SAM и Security больших усилий не требуется. Имея эти файлы в своем распоряжении, пользователь может в свободное время провести на них такое количество словарных атак, какое требуется для взлома паролей. Если в его распоряжении имеются такие утилиты, как PWDUMP, PWDUMP2, NT Locksmith (http://www.wintemals.com), LOphtCrack (http://www.10pht.com/10phtcrack) и т. п, то успех проведенной атаки зависит, в основном, от качества используемого для взлома словаря —- чем большее количество слов, дат, чисел, словосочетаний, используемых чаще всего в качестве пароля, содержится в этом файле, тем выше шансы успешного взлома (рис. 9.6).

Таким образом, чтобы защитить систему, следует запретить пользователям использовать пустые пароли и задать системную политику в отношении па­ролей. Минимальная длина паролей в любом случае не должна быть меньше 8 символов. Помимо этого, в качестве пароля рекомендуется использовать произвольные комбинации букв и цифр, а также задать политику в отноше­нии минимально допустимой сложности паролей.

Рекомендация для домашней отработки темы

Попробуйте представить себя на месте злоумышленника, и взломайте свой собственный улей SAM (при этом учтите, что ваши задачи существенно проще, чем задачи, стоящие перед этим человеком — вам ведь не надо проводить удаленную атаку с целью похищения ульев SAM и Security). С пользователями, пароли которых будут вскрыты автоматически, следует провести разъяснительную работу. Помимо этого, рекомендуется установить правила периодической смены паролей.

Ограничение анонимного доступа к компьютеру

Компьютер Windows Server можно сконфигурировать таким образом, чтобы предотвратить доступ анонимно регистрирующихся пользователей ко всем ресурсам, за исключением тех, доступ к которым был предоставлен таким пользователям явным образом. Это можно сделать как с помощью оснастки ММС Local Security Policy, так и с помощью редактирования реестра.

Использование оснастки ММС Local Security Policy

1. Выполните команды Programs | Administrative Tools | Local Security Policy меню Start.

2. Выберите опции Security Settings \ Local Policies \ Security Options.

В правой части окна выполните двойной щелчок мышью на опции Additional restrictions for anonymous connections и в раскрывшемся окне установите опцию No access without explicit anonymous permissions under Local policy setting (рис. 9.7)

Редактирование реестра

Вызовите редактор реестра Regedt32.exe, найдите ключ HKEY_LOCAL_ MACHlNE\SYSTEM\CurrentControlSet\Control\LSA, и создайте параметр RestrictAnonymous с типом данных REG_DWORD. Установите для этого па­раметра значение 0x2 (Hex).

Если параметр RestrictAnonymous имеет такое значение, то маркер доступа (access token) для неаутентифицированных пользователей не включает в свой состав группу Everyone, и доступ к ресурсам, по умолчанию предостав­ляемым группе Everyone, будет отклонен.

( Примечание ^

Microsoft официально рекомендует тщательно проанализировать преимущества, предоставляемые этой настройкой с точки зрения безопасности по сравнению с возможными проблемами, которые могут быть вызваны такт ограничением прав анонимного пользователя. Причина заключается в том что некоторые сервисы Windows Server и прикладные программы зависят с возможностей анонимного пользователя. В частности, не рекомендуете устанавливать это значение в смешанных сетевых средах, включающих только компьютеры Windows Server, Устанавливать значек 0x2 для параметра RestrictAnonymous рекомендуется только в сетях Windows Server и только после тщательного тестирования, которое не выявит нарушений в работе сервисов и прикладных программ.

Стандартный шаблон безопасности High Secure включает это ограничение, поэтому его применение может также вызвать нежелательные проблемы

Системный планировщик как еще одна потенциальная угроза безопасности

Системный планировщик (Task Scheduler), который имеется на каж компьютере Windows NT/2000, можно использовать для запуска некото] средств ММС или других программ на компьютере пользователя в кони сте учетной записи SYSTEM. Эта учетная запись имеется во всех систе Windows NT/2000, но ее наличие не афишируется (по крайней мере, вь увидите ее ни в утилитах User Manager и User Manager for Domains, yn ляюших созданием учетных записей пользователей Windows NT, ни в оси ках ММС, выполняющих ту же задачу в Windows Server). Это позволяет ai нистратору дать обычному пользователю однократную возможность вы нить некоторые задачи по администрированию его клиентского компьк без предоставления ему прав выполнения других административных зад:

Например, чтобы дать пользователю возможность запустить оснастку Disk Management, можно дать следующую команду at <\\machine_name> 1:00pm /interactive %SystemRoot%\system32\diskmgmt .msc где <\\machine_name> — ИМЯ компьютера.

Тем не менее, эта возможность представляет потенциальную угрозу для безопасности системы, поскольку системный планировщик по умолчанию использует права учетной записи SYSTEM, и поэтому любая программа, запущенная таким образом, будет иметь полный набор системных приви­легий, включая доступ к базе данных SAM.

Чтобы защититься от данной опасности, можно или заблокировать сервис Task Scheduler (но это не всегда возможно, поскольку этот сервис может быть нужен для запуска других заданий), или сконфигурировать его таким образом, чтобы сервис работал от имени учетной записи пользователя.