Рекомендации по усилению безопасности
Windows 2000 Professional
Безопасность реестра
В целях усиления безопасности реестра Microsoft официально
рекомендует ограничивать доступ к следующим ключам реестра: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion. Установка разрешений производится в regedt32 раздел
Безопасность. Для группы Everyone (Все) достаточно иметь права доступа
Query Value (Запрос значения), Enumerate Subkeys (Перечисление подразделов),
Notify (Уведомление) и Read Control (Чтение разрешений) к ключу
реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion
и следующим вложенным подключам, имеющимся в его составе: AeDebug,
Compability, Drivers, Embedding, Font Drivers, FontCache, FontMapper,
Fonts, FontSubstitutes, GRE_Initialize, MCI, MCI Extensions, Ports
(и всем вложенным ключам в составе ключа Ports), Type 1 Installer,
Windows 3.1 MigrationStatus (и всем вложенным ключам в составе этого
ключа), WOW (вложенным ключам в составе этого ключа).
Microsoft также рекомендует ограничить доступ пользователей
к ключу реестра, управляющему данными о производительности системы
- это ключ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Perflib.
Доступ к этому ключу должны иметь только операционная система (System),
создатели ключа (Creator owner), члены группы Администраторы (Administrators)
и пользователи, зарегистрировавшиеся в системе интерактивно (Interactive).
Группа Everyone (Все) должна иметь ограниченные права доступа (только
права типа Query Value, Enumerate Subkeys, Notify, Read Control)
к следующим ключам реестра: HKEY_CLASSES_ROOT и для всех его вложенных
ключей HKEY_USERS\DEFAULT. Защищая эти ключи, вы защищаете
систему от изменения ряда системных параметров и параметров настройки
рабочего стола. Для запрета несанкционированного использования разделяемых
ресурсов системы и применения параметра ImagePath в составе ключа
UPS для запуска нежелательного программного обеспечения: Доступ
типа Full Control к ключам HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Shares
и HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UPS должны
иметь только операционная система (System) и члены группы
Администраторы (Administrators).
При работе с сервисом удаленного доступа система
выводит диалоговые окна, в которых пользователи должны ввести регистрационную
информацию - входное имя и пароль. В этих диалоговых окнах имеются
флажки, установка которых позволяет запомнить пароль. Хотя сохранение
паролей очень удобно для конечного пользователя, эта практика представляет
собой определенную опасность, поскольку пароли хранятся так, чтобы
система могла быстро их извлечь. Таким образом, извлечь этот пароль
несложно и взломщику. Для того чтобы не дать такой возможности взломщику,
раскройте ключ реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Parameters
и добавьте в него параметр DisableSavePassword с типом данных REG_DWORD.
Теперь система никогда не будет предлагать пользователю сохранить
введенный пароль.
Защита ульев (hive) SAM и Security
Доступ к ульям SAM (в этом разделе реестра хранятся
данные о пользователях и хэши их паролей) и Security получают многие
пользователи - например, пользователи из группы Backup Operators
(операторы архива). Ульи SAM и Security хранятся на диске точно
так же, как и другие файлы, и единственное, что требуется для взлома
- это раздобыть их копии. Если Windows NT/2000 установлена на томе
FAT, то потенциальную опасность представляют любые пользователи,
обладающие правом на выполнение перезагрузки системы и получившие
физический доступ к компьютеру.
Для предотвращения доступа рядовых пользователей
домена к файлам SAM и Security следует:
1. Использовать файловую систему NTFS.
2. Лишить конечных пользователей права локальной
регистрации на серверах.
3. Обеспечить надлежащую физическую защиту для серверов.
В системах Windows NT 4.0 и тех системах Windows 2000, где операционная
система устанавливалась как обновление предыдущей версии Windows
NT, следует ужесточить права доступа к каталогу \repair (обычно
это C:\winnt\repair). Обеспечить безопасные условия хранения резервных
копий и дисков аварийного восстановления (Windows NT 4.0), а также
копий данных из набора System State Data (Windows 2000).
Для защиты каталога \repair необходимо, используя
программу Windows Explorer (Проводник), сделать следующее:
1. Откройте Windows Explorer (Проводник).
2. Перейдите в каталог repair (обычно это C:\winnt\repair),
нажмите правую клавишу мыши и выберите в открывшемся меню Properties
(Свойства).
3. Выберите закладку Security (Безопасность).
4. Выберите Permissions (Разрешения).
5. Отметьте Replace Permissions on Subdirectories
(Переносить разрешения на поддиректории) и Replace Permissions on
Existing Files (Переносить разрешения на файлы).
6. Удалите из списка всех пользователей, кроме Administrators
(Администраторы) и SYSTEM (Система).
7. Убедитесь, что и Administrators (Администраторы),
и SYSTEM (Система) имеют права Full Control (Полный контроль).
8. Нажмите OK.
Теперь вы назначили пользователям Administrators
(Администраторы) и SYSTEM (Система) права Full Control (Полный контроль)
на данный каталог и все файлы, которые в нем содержатся. Поскольку
режим редактирования ACL выбран не был, права всех остальных пользователей
удалены системой.
В зависимости от конфигурации операционной системы
помимо каталогов \repair и \config информация, относящаяся к SAM,
может быть записана в следующие файлы: pagefile.sys, memory.dmp
или user.dmp. Чтобы уменьшить опасность, связанную с использованием
файлов user.dmp и memory.dmp, необходимо предпринять одно из следующих
действий:
-
написать командный файл, который будет удалять
указанные файлы при входе в систему;
-
установить права для этих файлов так, что только
администраторы смогут иметь доступ к ним;
-
установить в реестре ключ, указывающий на необходимость
удаления системного файла pagefile при завершении работы операционной
системы;
-
в конфигурации программы Dr. Watson отключить
режим создания файлов.
Чтобы отключить создание файлов user.dmp программой
Dr. Watson запустите утилиту drwtsn32.exe, отключите параметр Create
Crash Dump File и закройте программу.
Чтобы отключить в параметрах настройки NT создание
файла memory.dmp, запустите в Панели Управления (Control Panel)
раздел Система (System) и выберите закладку Загрузка/восстановление
(Startup/Shutdown). Затем отключите параметр Запись отладочной информации
(Write debugging information to). Если вам все же необходимо иметь
образы памяти на момент аварийного завершения работы NT, постарайтесь
настроить параметры ОС и программы Dr. Watson таким образом, чтобы
файлы, содержащие образ памяти, помещались в защищенный каталог,
доступный только администраторам.
Что касается файла pagefile.sys, то его открывает
и защищает от попыток непосредственного доступа со стороны взломщиков
только операционная система. Можно сконфигурировать Windows так,
чтобы pagefile удалялся при нормальном завершении работы системы.
В ситуациях, когда условия эксплуатации системы требуют установки
и использования нескольких копий ОС, удаление файла pagefile при
нормальном завершении работы можно считать достаточной мерой безопасности.
Для удаления файла pagefile.sys необходимо сделать
следующее: Пуск-> Панель управления-> Администрирование-> Локальные
политики безопасности-> Локальные политики-> Параметры безопасности->
Очистка страничного файла виртуальной памяти при завершении работы
включить.
По умолчанию, NT кэширует необходимые для регистрации
атрибуты для 10 последних пользователей, входивших в систему интерактивно.
Чтобы отключить кэширование, установите в 0 значение параметра реестра
CachedLogonsCount (типа REG_DWORD) в ключе HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon.
Для затруднения взлома паролей необходимо применять
пароли длиной не менее 8 символов с включением в состав пароля не
менее 2 наборов символов (буквы, цифры, спецсимволы).
Локальная политика
безопасности
Политика паролей
-
Для того чтобы пользователь использовал лишь
предложенную политику паролей необходимо в разделе Локальные
параметры безопасности в подразделе Политика паролей установить:
-
Максимальный срок действия пароля 35 дней (по
умолчанию 42)
-
Минимальная длина паролей - 8 символов (по умолчанию
0)
-
Минимальный срок действия пароля 0 дней (по
умолчанию 0)
-
Пароли должны отвечать требованиям сложности
- Включить (по умолчанию Отключено)
-
Требование неповторяемости паролей 6 (по умолчанию
0)
-
Хранить пароли всех пользователей в домене,
используя обратимое шифрование (Отключено по умолчанию). Значение
этого пароля задается в зависимости от того, используете ли
вы домены или нет.
Политика блокировки учетной записи
-
Блокировка учетной записи 30 минут (по умолчанию)
-
Пороговое значение блокировки - 3 попытки входа
(по умолчанию - 0)
-
Сброс счетчика блокировки через 30 минут (по
умолчанию)
Политика аудита
-
Аудит входа в систему - успех (отслеживать попытки
входа)
-
Аудит доступа к службе каталогов - отказ
-
Аудит изменения политики - успех, отказ
-
Аудит использования привилегий - нет аудита (по
умолчанию)
-
Аудит отслеживания процессов - нет аудита (по
умолчанию)
-
Аудит системных событий - нет аудита (по умолчанию)
-
Аудит событий входа в систему - успех
-
Аудит управления учетными записями - успех, отказ
Назначение прав пользователя
Параметры политики можно оставить по умолчанию, либо
выбирать в каждом конкретном случае.
Параметры безопасности
Рекомендуется изменить следующие параметры:
-
Запретить пользователям установку драйвера принтера
- включить (по умолчанию - отключен).
-
Напоминать пользователям об истечении срока действия
пароля - 14 дней (по умолчанию).
-
Не отображать последнего имени пользователя в
диалоге входа - включен (по умолчанию - отключен).
-
Отключить CTRL+ALT+DEL запрос на вход в систему
- отключен (по умолчанию не установлен).
-
Очистка страничного файла виртуальной памяти
- включить (по умолчанию - отключен).
Просмотр событий
Рекомендуется изменить параметры журналов:
-
размер не менее 5 Mb (по умолчанию 512 Kb)
-
затирать события старее 90 дней (по умолчанию
- 7)
|