<< Главная страница

Безопасность Windows 2000


Введение

На сегодняшний день, в качестве рабочего места, наиболее популярна ОС Windows 2000. Эта статья охватывает все основные настройки безопасности клиаетской ОС, применение которых способно предотвратить взлом и кражу или порчу информации, а так же несанкционированный доступ в сеть.

Рекомендации по усилению безопасности

При установке необходимо предусмотреть использование файловой системы NTFS (на файловой системе FAT16 и FAT 32 нельзя устанавливать настройки безопасности). Нельзя устанавливать на одном компьютере две операционных системы (Windows2000 и Windows98), так как при этом необходимо использование файловой системы FAT16 или FAT 32, что существенно облегчает взлом системы. В целях безопасности необходимо переименовать учетную запись "Администратор". Для этого зайти в "Панель управления" - "Администрирование" - "Управление компьютером" - "Локальные пользователи" и группы - "Пользователи". На учетной записи "Администратор" нажать правую клавишу и из появившегося меню выбрать пункт "Переименовать". Это необходимо для того, чтобы затруднить подбор имени и пароля администратора.

Папка Администрирование
Папка Администрирование

Управление компьютером
Управление компьютером

Рекомендуется для работы на компьютере завести пользователя с расширенными правами (рекомендуемая группа "Опытный пользователь"), а под учетной записью с правами администратора заходить только по мере необходимости. Члены группы опытных пользователей могут создавать учетные записи пользователей, но могут изменять и удалять только созданные ими учетные записи. Они могут создавать локальные группы и удалять пользователей из локальных групп, которые они создали. Они также могут удалять пользователей из групп "Опытные пользователи", "Пользователи" и "Гости".
Они не могут изменять группы "Администраторы" и "Операторы архива", не могут являться владельцами файлов, не могут выполнять архивирование и восстановление каталогов, не могут загружать и выгружать драйверы устройств или управлять журналами безопасности и аудита.
Для аварийного восстановления системы необходим диск аварийного восстановления. Создание диска аварийного восстановления производится с помощью команды ntbackup.
Создание загрузочных дискет для возможного восстановления системы производится путем распаковывания из образов (каталог Bootdisk) на дистрибутивном диске с помощью утилиты Makeboot.exe (при работе под управлением MS-DOS) или Makebt32.exe при работе под управлением MS Windows 9x или MS Windows NT/2000.

Локальная политика безопасности

Политика паролей

Локальные параметры безопасности
Локальные параметры безопасности

Для того чтобы пользователь использовал лишь предложенную политику паролей необходимо в разделе Локальные параметры безопасности в подразделе Политика паролей установить:

  • Максимальный срок действия пароля 35 дней (по умолчанию 42)
  • Минимальная длина паролей - 8 символов (по умолчанию 0)
  • Минимальный срок действия пароля 0 дней (по умолчанию 0)
  • Пароли должны отвечать требованиям сложности - Включить (по умолчанию Отключено)
  • Требование неповторяемости паролей 6 (по умолчанию 0)
  • Хранить пароли всех пользователей в домене, используя обратимое шифрование (Отключено по умолчанию). Значение этого пароля задается в зависимости от того, используете ли вы домены или нет.

Политика блокировки учетной записи

  • Блокировка учетной записи 30 минут (по умолчанию)
  • Пороговое значение блокировки - 3 попытки входа (по умолчанию - 0)
  • Сброс счетчика блокировки через 30 минут (по умолчанию)

Политика аудита

По умолчанию журнал аудита не включен. Для отслеживания происходящих событий рекомендуются следующие настройки:

  • Аудит входа в систему - успех (отслеживать попытки входа)
  • Аудит доступа к службе каталогов - отказ
  • Аудит изменения политики - успех, отказ
  • Аудит использования привилегий - нет аудита (по умолчанию)
  • Аудит отслеживания процессов - нет аудита (по умолчанию)
  • Аудит системных событий - нет аудита (по умолчанию)
  • Аудит событий входа в систему - успех
  • Аудит управления учетными записями - успех, отказ

При этом журнал аудита рекомендуется просматривать не реже 1 раза в неделю.

Параметры безопасности

Рекомендуется изменить следующие параметры:

  • Запретить пользователям установку драйвера принтера - включить (по умолчанию - отключен).
  • Напоминать пользователям об истечении срока действия пароля - 14 дней (по умолчанию).
  • Не отображать последнего имени пользователя в диалоге входа - включен (по умолчанию - отключен).
  • Отключить CTRL+ALT+DEL запрос на вход в систему - отключен (по умолчанию не установлен).
  • Очистка страничного файла виртуальной памяти - включить (по умолчанию - отключен).

Просмотр событий

Просмотр событий
Просмотр событий

Рекомендуется изменить следующие параметры журналов:

  • размер не менее 10 Mb (по умолчанию 512 Kb)
  • затирать события по необходимости (по умолчанию - 7 дней)

Эти изменения можно сделать, щелкнув правой кнопкой мыши по имени журнала и выбрав в меню пункт Свойства.

Безопасность реестра

ВНИМАНИЕ! Если вы никогда не работали с реестром - будьте предельно внимательны! Не забудьте перед началом работы сделать резервную копию файла реестра!
В целях усиления безопасности необходимо ограничить доступ к следующим ключам реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows \CurrentVersion
Установка разрешений производится в regedt32 раздел Безопасность.
Для группы Everyone (Все) достаточно иметь права доступа Query Value (Запрос значения), Enumerate Subkeys (Перечисление подразделов), Notify (Уведомление) и Read Control (Чтение разрешений) к ключу реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion и следующим вложенным подключам, имеющимся в его составе: AeDebug, Compability, Drivers, Embedding, Font Drivers, FontCache, FontMapper, Fonts, FontSubstitutes, GRE_Initialize, MCI, MCI Extensions, Ports (и всем вложенным ключам в составе ключа Ports), Type 1 Installer, Windows 3.1 MigrationStatus (и всем вложенным ключам в составе этого ключа), WOW (вложенным ключам в составе этого ключа).
Необходимо ограничить доступ пользователей к ключу реестра, управляющему данными о производительности системы - это ключ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Perflib
Доступ к этому ключу должны иметь только операционная система (System), создатели ключа (Creator owner), члены группы Администраторы (Administrators) и пользователи, зарегистрировавшиеся в системе интерактивно (Interactive).
Группа Everyone (Все) должна иметь ограниченные права доступа (только права типа Query Value, Enumerate Subkeys, Notify, Read Control) к следующим ключам реестра:

  • HKEY_CLASSES_ROOT и для всех его вложенных ключей
  • HKEY_USERS\.DEFAULT

Защищая эти ключи, вы защищаете систему от изменения ряда системных параметров и параметров настройки рабочего стола.
Для запрета несанкционированного использования разделяемых ресурсов системы и применения параметра ImagePath в составе ключа UPS для запуска нежелательного программного обеспечения:

  • Доступ типа Full Control к ключам HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Shares и HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UPS должны иметь только операционная система (System) и члены группы Администраторы (Administrators).

При работе с сервисом удаленного доступа система выводит диалоговые окна, в которых пользователи должны ввести регистрационную информацию - входное имя и пароль. В этих диалоговых окнах имеются флажки, установка которых позволяет запомнить пароль. Хотя сохранение паролей очень удобно для конечного пользователя, эта практика представляет собой определенную опасность, поскольку пароли хранятся так, чтобы система могла быстро их извлечь. Таким образом, извлечь этот пароль несложно и взломщику.
Для того чтобы не дать такой возможности взломщику, раскройте ключ реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Parameters и добавьте в него параметр DisableSavePassword с типом данных REG_DWORD. Теперь система никогда не будет предлагать пользователю сохранить введенный пароль.

Защита ветвей реестра (hive) SAM и Security

Доступ к ветви реестра SAM (в этом разделе реестра хранятся данные о пользователях и хэши их паролей) и Security получают многие пользователи - например, пользователи из группы Backup Operators (операторы архива). Ветви реестра SAM и Security хранятся на диске точно так же, как и другие файлы, и единственное, что требуется для взлома - это раздобыть их копии.
Если Windows NT/2000 установлена на томе FAT, то потенциальную опасность представляют любые пользователи, обладающие правом на выполнение перезагрузки системы и получившие физический доступ к компьютеру. Для предотвращения доступа рядовых пользователей домена к файлам SAM и Security следует:

  1. Использовать файловую систему NTFS.
  2. Лишить конечных пользователей права локальной регистрации на серверах.
  3. Обеспечить надлежащую физическую защиту для серверов.

В системах Windows NT 4.0 и тех системах Windows 2000, где операционная система устанавливалась как обновление предыдущей версии Windows NT, следует ужесточить права доступа к каталогу \repair (обычно это C:\winnt\repair).
Обеспечить безопасные условия хранения резервных копий и дисков аварийного восстановления (Windows NT 4.0), а также копий данных из набора System State Data (Windows 2000).
Для защиты каталога \repair необходимо, используя программу Windows Explorer (Проводник), сделать следующее:

  1. Откройте Windows Explorer (Проводник).
  2. Перейдите в каталог repair (обычно это C:\winnt\repair), нажмите правую клавишу мыши и выберите в открывшемся меню Properties (Свойства).
  3. Выберите закладку Security (Безопасность).
  4. Выберите Permissions (Разрешения).
  5. Отметьте Replace Permissions on Subdirectories (Переносить разрешения на поддиректории) и Replace Permissions on Existing Files (Переносить разрешения на файлы).
  6. Удалите из списка всех пользователей, кроме Administrators (Администраторы) и SYSTEM (Система).
  7. Убедитесь, что и Administrators (Администраторы), и SYSTEM (Система) имеют права Full Control (Полный контроль).
  8. Нажмите OK.

Теперь вы назначили пользователям Administrators (Администраторы) и SYSTEM (Система) права Full Control (Полный контроль) на данный каталог и все файлы, которые в нем содержатся. Поскольку режим редактирования ACL выбран не был, права всех остальных пользователей удалены системой.
В зависимости от конфигурации операционной системы помимо каталогов \repair и \config информация, относящаяся к SAM, может быть записана в следующие файлы: pagefile.sys, memory.dmp или user.dmp. Чтобы уменьшить опасность, связанную с использованием файлов user.dmp и memory.dmp, необходимо предпринять одно из следующих действий:

  • написать командный файл, который будет удалять указанные файлы при входе в систему;
  • установить права для этих файлов так, что только администраторы смогут иметь доступ к ним;
  • установить в реестре ключ, указывающий на необходимость удаления системного файла pagefile при завершении работы операционной системы;
  • в конфигурации программы Dr. Watson отключить режим создания файлов.

Чтобы отключить создание файлов user.dmp программой Dr. Watson запустите утилиту drwtsn32.exe, отключите параметр Create Crash Dump File и закройте программу.
Чтобы отключить в параметрах настройки NT создание файла memory.dmp, запустите в Панели Управления (Control Panel) раздел Система (System) и выберите закладку Загрузка/восстановление (Startup/Shutdown).
Затем отключите параметр Запись отладочной информации (Write debugging information to). Если вам все же необходимо иметь образы памяти на момент аварийного завершения работы NT, постарайтесь настроить параметры ОС и программы Dr. Watson таким образом, чтобы файлы, содержащие образ памяти, помещались в защищенный каталог, доступный только администраторам.
Что касается файла pagefile.sys, то его открывает и защищает от попыток непосредственного доступа со стороны взломщиков только операционная система. Можно сконфигурировать Windows так, чтобы pagefile удалялся при нормальном завершении работы системы.
В ситуациях, когда условия эксплуатации системы требуют установки и использования нескольких копий ОС, удаление файла pagefile при нормальном завершении работы можно считать достаточной мерой безопасности. Для удаления файла pagefile.sys необходимо сделать следующее: Пуск - Панель управления - Администрирование - Локальные политики безопасности - Локальные политики - Параметры безопасности - Очистка страничного файла виртуальной памяти при завершении работы включить.
По умолчанию, NT кэширует необходимые для регистрации атрибуты для 10 последних пользователей, входивших в систему интерактивно.
Чтобы отключить кэширование, установите в 0 значение параметра реестра CachedLogonsCount (типа REG_DWORD) в ключе HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon.
Для затруднения взлома паролей необходимо применять пароли длиной не менее 8 символов с включением в состав пароля не менее 2 наборов символов (буквы, цифры, спецсимволы).


На главную
Комментарии
Войти
Регистрация