Забезпечення безпеки у Windows NT. Редагування існуючих шаблонів. Створення нового шаблону безпеки

Віктор Кулагін, Сергій Матвєєв, Олександр Осадчук

Проблема комп'ютерної безпеки не є новою. Кожен, хто використовує комп'ютерні мережі, потребує засобів безпеки. Статистика показує, що у більшості випадків несанкціонованого проникнення в систему можна уникнути, якщо системний адміністратор приділяє належну увагу засобам захисту. Ефективність безпеки комп'ютерних систем завжди залежить від якості налаштування програмно-апаратних засобів. Операційна система Windows NT має багатий набір засобів захисту. Однак встановлені за замовчуванням значення параметрів захисту не завжди задовольняють вимоги, що висуваються. Розглянемо основні засоби та методи забезпечення безпеки, що входять до складу Windows NT 4.0 та 5.0.

Фізичний захист

До фізичних засобів захисту належить:

  • забезпечення безпеки приміщень, де розміщено сервери мережі;
  • обмеження стороннім особам фізичного доступу до серверів, концентраторів, комутаторів, мережевих кабелів та іншого обладнання;
  • використання засобів захисту від збоїв електромережі

Адміністрація облікових записів

Функція Менеджера облікових записів включає підтримку ідентифікації та автентифікації користувачів під час входу до системи. Усі необхідні настройки зберігаються у базі даних Менеджера облікових записів. До них належить:

  • Облікові записи користувачів;
  • облікові записи груп;
  • облікові записи комп'ютерів домену;
  • облікові записи доменів.

База даних Менеджера облікових записів є кущ системного реєстру, що у гілки HKEY_LOCAL_MACHINE, і називається SAM (рис. 1). Як і всі інші кущі, він зберігається в окремому файлі в каталозі %Systemroot% System32 Con fig, який також носить назву SAM. У цьому каталозі зазвичай є мінімум два файли SAM: один без розширення - сама база облікових записів; другий має розширення.log – журнал транзакцій бази.

Найцікавішим є розділ облікових записів користувачів: у них зберігається інформація про імена та паролі. Слід зазначити, що паролі не зберігаються у текстовому вигляді. Вони захищені процедурою хешування. Це не означає, що, не знаючи пароля в текстовому вигляді, зловмисник не проникне до системи. При підключенні до мережі не обов'язково знати текст пароля, достатньо хешованого пароля. Тому достатньо отримати копію бази даних SAM та витягти з неї хешований пароль.

Під час інсталяції Windows NT доступ до файлу %Systemroot%\System32\Config\sam для звичайних програм заблоковано. Проте, використовуючи утиліту Ntbackup, будь-який користувач із правом Back up files and directories може скопіювати його. Крім того, зловмисник може спробувати переписати його копію (Sam.sav) із каталогу %Systemroot%\System32\Config або архівну копію (Sam._) із каталогу %Systemroot%\Repair.

Тому для захисту інформації, що зберігається в базі даних SAM, необхідно:

  • виключити завантаження серверів у DOS-режимі (всі розділи встановити під NTFS, відключити завантаження з флоппі- та компакт-дисків, бажано встановити на BIOS пароль (хоча цей захід вже давно застарів, оскільки деякі версії BIOS мають «дірки» для запуску комп'ютера без пароля) , Все-таки зловмисник втратить на цей час для входу в систему);
  • обмежити кількість користувачів із правами Backup Operators та Server Operators;
  • після інсталяції або оновлення видалити файл Sam.sav;
  • скасувати кешування інформації про безпеку на комп'ютерах домену (імена та паролі останніх десяти користувачів, що реєструвалися раніше на цьому комп'ютері, зберігаються в його локальному реєстрі). Використовуючи утиліту Regedt32, додати до реєстру в розділ
  • HKEY_LOCAL_MACHINE\Microsoft|Windows NT\CurrentVersion\WinLogon:
  • Параметр CachedLogonsCount
  • Тип REG_SZ
  • Значення 0

Один із найпопулярніших методів проникнення в систему - підбір пароля. Для боротьби з цим зазвичай встановлюють блокування облікового запису користувача (Account Lockout) після певної кількості невдалих спроб входу, використовуючи утиліту User Manager у діалоговому вікні Account Policy, доступному через меню Polcies/Accounts (рис. 2).

Приємним винятком є ​​обліковий запис адміністратора. І якщо він має право на вхід через мережу, це відкриває лазівку для спокійного вгадування пароля. Для захисту рекомендується перейменувати користувача Administrator, встановити блокування облікових записів, заборонити адміністратору вхід до системи через мережу, заборонити передачу SMB (розглянуто далі) пакетів через TCP/IP (порти 137,138,139), встановити протоколювання невдалих входів;

  • необхідно ввести фільтрацію паролів, що вводяться користувачем, встановити Service Pack 2 або 3 (використовується динамічна бібліотека Passfilt.dll). Дана бібліотека під час створення нового пароля перевіряє, що:
    • довжина пароля не менше шести символів;
    • містить три набори з чотирьох існуючих:
  • великі групи латинського алфавіту A, B, C, ..., Z;
  • малі групи латинського алфавіту a,b,c,…,z;
  • арабські цифри 0,1,2,...,9;
  • не арифметичні (спеціальні) символи, такі, як розділові знаки.
    • пароль не складається з імені користувача чи будь-якої його частини.

Для включення даної фільтрації необхідно у реєстрі у розділі

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

додати

Захист файлів та каталогів (папок)

Операційна система Windows NT 4.0 підтримує файлові системи FAT (File Allocation Table) та NTFS (New Technology File System). Нагадаємо, що перша підтримується такими відомими операційними системами як MS-DOS, Windows 3.X, Windows 95/98 і OS/2, друга - тільки Windows NT. У FAT і NTFS різні характеристики продуктивності, різний спектр можливостей і т.д. Основна відмінність файлової системи NTFS від інших (FAT, VFAT (Virtual File Allocation Table), HPFS) полягає в тому, що тільки одна задовольняє стандарту безпеки C2, зокрема, NTFS забезпечує захист файлів і каталогів при локальному доступі.

Захист ресурсів за допомогою FAT можна організувати за допомогою прав доступу: Читання, Запис, Повний.

Таким чином можна рекомендувати створювати дискові розділи NTFS замість FAT. Якщо все ж таки необхідно використовувати розділ FAT, то його треба зробити окремим розділом для додатків MS-DOS і не розміщувати в ньому системні файли Windows NT.

Оскільки файли та каталоги Windows NT є ​​об'єктами, контроль безпеки здійснюється на об'єктному рівні. Дескриптор безпеки будь-якого об'єкта у розділі NTFS містить два списки контролю доступу (ACL) – дискреційний (discretionary ACL (DACL)) та системний (system ACL (SACL)).

У операційній системі Windows NT керування доступом до файлів і каталогів NTFS покладається не на адміністратора, а на власника ресурсу та контролюється системою безпеки за допомогою маски доступу (access mask), що міститься в записах списку контролю доступу ACL.

Маска доступу включає стандартні (Synchronize, Write_Owner, Write_Dac, Read_Control, Delete), специфічні (Read (Write) _Data, Append_Data, Read(Write)_Attributes, Read(Write)_ExtendedAttributes, Execute) та родові (Gene права доступу. Усі ці права входять до дискреційного списку контролю доступу (DACL). Також маска доступу містить біт, який відповідає праву Access_System_Security. Це право контролює доступ до системного списку контролю доступу (SACL).

У списку DACL визначається, яким користувачам та групам дозволено чи заборонено доступ до цього ресурсу. Саме цим списком може керувати власник об'єкта.

Список SACL визначає певний власником тип доступу, що змушує систему генерувати записи перевірки в системному протоколі подій. Лише системний адміністратор керує цим списком.

Насправді для адміністрування використовуються не окремі права доступу, а дозволи (permissions) NTFS. Дозволи поділяються на:

індивідуальні – набір прав, що дозволяє надавати користувачеві доступ того чи іншого типу (табл. 1.1);

стандартні – набори індивідуальних дозволів для виконання над файлами чи каталогами дій певного рівня (табл. 1.2);

спеціальні – комбінація індивідуальних дозволів, що не збігаються з жодним стандартним набором (табл. 1.3).

За умовчанням при інсталяції Windows NT і файлової системи NTFS встановлюються досить «вільні» дозволи, що дозволяють звичайним користувачам отримувати доступ до системних файлів і каталогів. Наприклад:

Каталоги %systemroot% та %systemroot%\system32 мають за промовчанням дозвіл Change для групи Everyone. Якщо після інсталяції Windows NT FAT згодом було перетворено на NTFS, то цей дозвіл для цієї групи встановлюється на всі файли та підкаталоги каталогу %systemroot%. Захист даних каталогів полягає у грамотній установці дозволів. У табл. 2 наведено значення дозволів для каталогів. Замість групи Everyone необхідно створити групу Users та використовувати саме її.

Існує кілька файлів операційної системи, які розташовані в кореневій директорії системного розділу, які також необхідно захистити, призначивши такі дозволи (табл. 3).

Майте на увазі, що такі дозволи ускладнюють користувачам встановлення програмного забезпечення. Також буде неможливим запис в.ini файли в системному каталозі.

Кількість користувачів з правами адміністратора рекомендується мінімізувати. Обліковий запис Guest краще взагалі видалити, хоча він при установці (за замовчуванням) і так відключений, а замість цього облікового запису створити для кожного користувача свій тимчасовий обліковий запис з відповідними дозволами та правами.

Захист реєстру

Системний реєстр (registry) Windows NT - це база даних, що містить інформацію про конфігурацію та значення параметрів всіх компонентів системи (пристроях, операційній системі та додатках). Основні кущі реєстру знаходяться у гілці HKEY_LOCAL_MACHINE і називаються SAM, SECURITY, SOFTWARE та SYSTEM. Кущ SAM, як ми вже знаємо, це база даних Менеджера облікових записів, SECURITY зберігає інформацію, що використовується локальним Менеджером безпеки (LSA). У кущі SOFTWARE знаходяться параметри та налаштування програмного забезпечення, а в SYSTEM містяться дані про конфігурацію, необхідні для завантаження операційної системи (драйвери, пристрої та служби).

Доступ користувачів до полів реєстру слід розмежувати. Це можна здійснити за допомогою утиліти Regedt32.

Встановлені за промовчанням дозволи на доступ до розділів реєстру не можна модифікувати рядовим користувачам. Оскільки деякі розділи реєстру доступні членам групи Everyone, після інсталяції Windows NT необхідно змінити дозволи у розділі (табл. 4).

Для доступу до розділу

HK EY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\PerfLib можна взагалі видалити групу Everyone, а замість неї додати групу INTERACTIVE з правом Read.

Для обмеження віддаленого доступу до системного реєстру Windows NT використовується запис у розділі H KEY_LOCAL_MACHINE\System\CurrentcontrolSet\Control\SecurePipeServers\winreg. За промовчанням право віддаленого доступу до реєстру мають члени групи Administrators. У Workstation цього розділу немає, і його необхідно створити. Право віддаленого доступу до реєстру отримують лише користувачі та групи, зазначені у списку прав доступу до зазначеного розділу. До деяких розділів реєстру необхідно надати доступ до мережі іншим користувачам чи групам; для цього ці розділи можна вказати в параметрах Machine та Users підрозділу HKEY_LOCAL_MACHINE\System\CurrentControlSet\Contro\SecurePipeServers\winreg\AllowedPaths.

Безпека сервера SMB

Доступ до файлів та принтерів по мережі в операційній системі Windows NT забезпечує сервер SMB (Server Message Block), який називається просто сервером або LAN Manager сервером. SMB здійснює перевірку автентичності клієнта, який намагається отримати доступ до інформації в мережі. Існує два режими роботи системи контролю: перевірка на рівні ресурсу (Share Level) та перевірка на рівні користувача (User Level). Windows NT не підтримує доступ на рівні ресурсу.

Під час перевірки на рівні користувача сервер виконує ідентифікацію користувача на основі бази облікових записів. Протокол SMB забезпечує захист у початковий момент сеансу, потім усі дані користувача передаються через мережу у відкритому вигляді. Якщо ви бажаєте забезпечити конфіденційність інформації, необхідно використовувати програмні або апаратні засоби шифрування транспортного каналу (наприклад, PPTP, що входить до Windows NT).

Сеанси SMB можна підробити або перехопити. Шлюз може перехопити сеанс SMB і отримати такий доступ до файлової системи, як і легальний користувач, що ініціює сеанс. Але шлюзи рідко використовують у локальних мережах. А якщо таку спробу зробить комп'ютер у мережі Ethernet або Token Ring, в якій знаходиться клієнт або сервер SMB, це навряд чи вдасться, оскільки перехоплювати пакети досить важко.

Можливість передачі через мережу пароля користувача у відкритому вигляді робить систему вразливою. Після інсталяції Service Pack 3 в операційній системі автоматично відключає можливість передачі пароля у відкритому вигляді, але існують SMB-сервери, які не приймають шифрований пароль (наприклад, Lan Manager для UNIX). Щоб увімкнути передачу "відкритого" пароля, необхідно встановити в реєстрі в розділі

HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Services\LanManServer\Parametrs

Параметр EnablePlainTextPassword
Тип REG_DWORD
Значення 1

Слід зазначити, що Microsoft модифікувала протокол SMB, який названий SMB Signing. При цьому клієнт і сервер перевіряють справжність кожного повідомлення, що надходить за протоколом SMB. Для цього в кожне повідомлення SMB міститься електронний підпис, що засвідчує знання пароля користувача клієнтом або сервером, який надіслав це повідомлення. Таким чином, електронний підпис засвідчує, що команда SMB, по-перше, створена стороною, яка володіє паролем користувача; по-друге, створена у рамках саме цього сеансу; і, по-третє, повідомлення, що передається між сервером та клієнтом, - оригінал.

Для увімкнення перевірки електронних підписів у повідомлення SMB необхідно встановити Service Pack 3 і зробити установку параметрів у реєстрі сервера та клієнта, для сервера - у розділі HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Services\LanManServer\Parametrs

Параметр EnableSecuritySignature
Тип REG_DWORD
Значення 1

Якщо значення дорівнює 0 (за умовчанням), то підтримка SMB Signing на сервері вимкнена. На відміну від сервера у клієнта значення EnableSecuritySignature за умовчанням дорівнює 1.

При ініціалізації сервера утворюються папки адміністративного призначення (Administrative shares), які забезпечують доступ до кореневого каталогу тома. Доступ до цих ресурсів дозволено лише членам груп Administrators, Backup Operators, Server Operators та Power Users. Якщо ви хочете скасувати доступ до них, необхідно в реєстрі в розділі HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parametrs

Безпека сервера IIS

Microsoft Internet Information Server (IIS) створено для уніфікації роботи всіх служб Internet . Він є високоінтегрованим пакетом серверних служб підтримки HTTP, FTP і Gopher.

Захист IIS заснований на засобах безпеки Windows NT. До них входять:

  • Облікові записи користувачів.Щоб запобігти несанкціонованому доступу до вузла IIS, слід контролювати облікові записи користувачів. До основних методів захисту також відносяться: застосування формуляра «Гість з Internet», реєстрація на ім'я та пароль користувача (за схемою автентифікації Windows NT) і вибір складних для вгадування паролів;
  • встановлення NTFS;
  • права доступу.Основним механізмом доступу через сервер IIS є анонімний доступ. З механізмів автентифікації лише Windows NT Challenge-Response, використовуваний сервером HTTP, вважатимуться щодо захищеним. Тому не застосовуйте для аутентифікації базову схему, оскільки ім'я користувача та пароль при цьому передаються через мережу відкритим способом;
  • зменшення кількості протоколів та вимкнення служби Server.Зменшивши кількість протоколів, якими користуються мережеві адаптери, ви помітно посилите захист. Щоб користувачі не змогли переглядати розділені ресурси IIS, відключіть службу Server. Відключення цієї служби ускладнить зловмисникам пошук слабких місць у вашій системі;
  • захист інформації у FTP. FTP завжди використовує захист на рівні користувача. Це означає, що для доступу до FTP-сервера користувач повинен пройти процедуру реєстрації. Сервіс FTP сервера IIS для ідентифікації користувачів, які бажають отримати доступ, може використовувати базу даних бюджетів користувача Windows NT Server. Однак при цій процедурі FTP передає всю інформацію лише відкритим текстом, що створює небезпеку перехоплення імен і паролів користувача.

Проблема розкриття паролів усувається за таких конфігурацій сервера FTP, коли він дозволяє анонімний доступ. При анонімному вході користувач повинен ввести як ім'я користувача anonymousі свою поштову (e-mail) адресу - як пароль. Анонімні користувачі отримують доступ до тих самих файлів, доступ до яких дозволено бюджету lVSR_computemame.

Крім того, до сервісу FTP сервера IIS Windows NT можна дозволити лише анонімний доступ. Такий варіант хороший тим, що при ньому відсутня можливість розсекречення паролів у спільній мережі. Анонімний доступ до FTP дозволено за замовчуванням;

  • контроль доступу за IP-адресою. Існує додаткова можливість контролю доступу до сервера IIS – дозвіл або заборона доступу з конкретних IP-адрес (рис. 5). Наприклад, можна заборонити доступ до свого сервера з певної IP-адреси; так само можна зробити сервер недоступним для цілих мереж. З іншого боку, можна дозволити доступ до сервера лише певним вузлам;
  • схеми шифруванняЩоб забезпечити безпеку пакетів під час їх пересилання мережею, доводиться застосовувати різні схеми шифрування. Необхідність такого захисту викликана тим, що при пересиланні пакетів по мережі не виключено перехоплення кадрів. Більшість схем шифрування працює всередині прикладного та транспортного рівня моделі OSI. Деякі схеми можуть працювати і на нижчих рівнях. Використовуються такі протоколи як: SSL, PCT, SET, PPTP, PGP.

Аудит

Аудит - один із засобів захисту мережі Windows NT. З його допомогою можна відстежувати дії користувачів та ряд системних подій у мережі. Фіксуються наступні параметри, що стосуються дій, які здійснюють користувачі:

  • виконану дію;
  • ім'я користувача, який виконав дію;
  • дата та час виконання.

Аудит, реалізований одному контролері домену, поширюється попри всі контролери домену. Налаштування аудиту дозволяє вибрати типи подій, які підлягають реєстрації, та визначити, які саме параметри будуть реєструватися.

У мережах з мінімальними вимогами безпеки піддавайте аудиту:

  • успішне використання ресурсів лише в тому випадку, якщо ця інформація вам необхідна для планування;
  • У мережах із середніми вимогами безпеки піддавайте аудиту:
  • успішне використання важливих ресурсів;
  • вдалі та невдалі спроби зміни стратегії безпеки та адміністративної політики;
  • успішне використання важливої ​​та конфіденційної інформації.
  • У мережах з високими вимогами безпеки піддавайте аудиту:
  • вдалі та невдалі спроби реєстрації користувачів;
  • вдале та невдале використання будь-яких ресурсів;
  • вдалі та невдалі спроби зміни стратегії безпеки та адміністративної політики.

Аудит призводить до додаткового навантаження на систему, тому реєструйте лише події, які дійсно становлять інтерес.

Windows NT записує події у три журнали:

  • Системний журнал(system log) містить повідомлення про помилки, попередження та іншу інформацію, що походить від операційної системи та компонентів сторонніх виробників. Список подій, що реєструються в цьому журналі, визначено операційною системою та компонентами сторонніх виробників і не може бути змінено користувачем. Журнал знаходиться у файлі Sysevent.evt.
  • Журнал безпеки(Security Log) містить інформацію про успішні та невдалі спроби виконання дій, що реєструються засобами аудиту. Події, які реєструються в цьому журналі, визначаються заданою вами стратегією аудиту. Журнал знаходиться у файлі Secevent.evt.
  • Журнал додатків(Application Log) містить повідомлення про помилки, попередження та іншу інформацію, що видається різними програмами. Список подій, що реєструються у цьому журналі, визначається розробниками додатків. Журнал знаходиться у файлі Appevent.evt.

Усі журнали розміщені у папці %Systemroot%\System32\Config.

При виборі подій щодо аудиту слід враховувати можливість переповнення журналу. Для налаштування журналу використовуйте діалогове вікно Event Log Settings (мал. 6).

За допомогою цього вікна можна керувати:

  • розміром журналів, що архівуються (розмір за замовчуванням - 512 Кбайт, можна змінити розмір від 64 до 4 194 240 Кбайт);
  • методикою заміщення застарілих записів журналу;
    • Overwrite Events as Need - у разі заповнення журналу під час запису нових подій операційна система видаляє найстаріші події;
    • Overwrite Events Older then X Days - у разі заповнення журналу при запису нових подій видаляються самі події, але тільки якщо вони старші за Х днів, інакше нові події будуть проігноровані;
    • Do not Overwrite Events – у разі заповнення журналу нові події не фіксуються. Очищення журналу виконується вручну.

Для перегляду інформації про помилки та попередження, а також про успішні та невдалі запуски завдань використовується програма Event Viewer. Організація доступу до журналів описана у табл. 5 .

За замовчуванням аудит вимкнено, і журнал безпеки не ведеться.

Перший етап планування стратегії аудиту - вибір подій, що підлягають аудиту в діалоговому вікні Audit Policy утиліти User Manager for Domains (User Manager) (рис. 7).

Наведемо типи подій, які можуть реєструватися:

  • Logon and Logoff - реєстрація користувача в системі або вихід з неї, а також встановлення та розрив мережного з'єднання;
  • File and Object Access - доступ до папок, файлів та принтерів, що підлягають аудиту;
  • Use of User Rights - використання привілеїв користувачів (крім прав, пов'язаних із входом та виходом із системи);
  • User and Group Management - створення, зміна та видалення облікових записів користувачів та груп, а також зміни в обмеженнях облікового запису;
  • Security Policy Changes - зміни у привілеях користувачів, стратегії аудиту та політиці довірчих відносин;
  • Restart, Shutdown and System - перезапуск чи вимкнення комп'ютера користувачем; виникнення ситуації, що впливає безпеку системи;
  • Process Tracking - події, які викликають запуск та завершення програм.

Налаштування функцій аудиту описано в документації Windows NT. Додатково розглянемо такі типи аудиту:

Аудит базових об'єктів. Крім файлів і папок, принтерів та розділів системного реєстру в Windows NT є ​​базові об'єкти, які пересічному користувачеві не видно. Вони доступні лише розробникам програм або драйверів пристроїв. Для включення аудиту цих об'єктів необхідно дозволити аудит подій типу File and Object Access у диспетчері користувачів та за допомогою редактора реєстру встановити значення параметра:

Гілка HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
Ім'я AuditBaseObjects
Тип REG_DWORDЗначення 1

Аудит привілеїв. Серед можливих прав користувача є деякі привілеї, які в системі не перевіряються навіть тоді, коли аудит на використанні привілею включений. Ці привілеї наведено у табл. 6 .

Для включення аудиту даних привілеїв необхідно за допомогою редактора реєстру додати наступний параметр:

Гілка HKEY_LOCAL_MACHINE\System\ CurrentControlSet\Control\Lsa:
Ім'я FullPrivilegeAuditing
Тип REG_BINARY
Значення 1

Служби безпеки Windows NT 5.0

Система безпеки Windows NT 5.0 дозволяє реалізувати нові підходи до перевірки автентичності користувача та захисту даних. До її складу входить:

  • повне інтегрування з активним каталогом Windows NT 5.0 для забезпечення масштабованого керування обліковими записами у великих доменах з гнучким контролем доступу та розподілом адміністративних повноважень;
  • протокол автентифікації Kerberos версії 5 - стандарт безпеки для Internet, що реалізується як основний протокол автентифікації входу в мережу;
  • автентифікація із застосуванням сертифікатів, заснованих на відкритих ключах;
  • безпечні мережеві канали, що базуються на стандарті SSL;
  • файлова система із шифруванням.

Служби безпеки Windows NT 5.0 зберігають відомості про облікові записи в активному каталозі. Переваги активного каталогу:

  • Облікові записи користувачів та груп можна розподілити за контейнерами - підрозділам(Organization Unit, OU). Домен у межах ієрархічного простору імен може містити будь-яку кількість підрозділів. Це дозволяє організаціям домогтися узгодження між іменами, що використовуються в мережі, і структурою підприємства.
  • Активний каталог підтримує набагато більше об'єктів і з більшою продуктивністю, ніж реєстр. Дерево об'єднаних доменів Windows NT здатне підтримувати значно складніші організаційні структури.
  • Адміністрування облікових записів покращено завдяки новим графічним засобам управління активним каталогом, а також сценаріям, що звертаються до СОМ-об'єктів активного каталогу.
  • Служби тиражування каталогу підтримують численні копії облікових записів. Тепер оновлення інформації можна виконати для будь-якої копії облікового запису (не потрібно розділення контролерів домену на головний та резервні). Протокол Light-weight Directory Access Protocol (LDAP) та служби тиражування забезпечують механізми зв'язку каталогу Windows NT 5.0 з іншими заснованими на Х.500 і LDAP каталогами для підприємства.

Для того, щоб забезпечити сумісність з існуючими клієнтами, надати більш ефективні механізми безпеки та уможливити взаємодію в гетерогенних мережах, у Windows NT підтримується кілька протоколів безпеки. Архітектура Windows NT не встановлює обмежень щодо застосування тих чи інших протоколів безпеки.

Windows NT 5.0 підтримуватиме:

  • протокол автентифікації Windows NT LAN Manager (NTLM), що використовується в Windows NT 4.0 і в попередніх версіях Windows NT;
  • протокол автентифікації Kerberos версії 5, що замінює NTLM у ролі основного протоколу для мережного доступу до ресурсів доменів Windows NT 5.0;
  • протокол розподіленої автентифікації паролів (Distributed Password Authentication, DPA); завдяки DPA користувач, який отримав один пароль під час реєстрації, може приєднуватися до будь-якого вузла Інтернету, що обслуговується цією організацією;
  • протоколи, що базуються на відкритих ключах і використовуються в основному для зв'язку між програмами перегляду та Web-серверами. Стандартом de facto став протокол Secure Sockets Layer (SSL).

Для одноманітного звернення до різних протоколів розроблено новий інтерфейс прикладного програмування Win32 інтерфейс постачальників підтримки безпеки(Security Support Provider Interface, SSPI). SSPI дозволяє ізолювати перевірку автентичності користувача, яка може здійснюватися за різними протоколами - від застосовуваних її служб та додатків. Інтерфейс SSPI є кілька наборів доступних прикладних програм процедур, що виконують:

  • управління мандатами(Credential Management) роботу з інформацією про клієнта (пароль, білет тощо);
  • управління контекстом(Context Management) – створення контексту безпеки клієнта;
  • підтримку передачі повідомлень(Message Support) – перевірку цілісності переданої інформації (працює в рамках контексту безпеки клієнта);
  • управління пакетами(Package Management) – вибір протоколу безпеки.

Протокол автентифікації Kerberos визначає взаємодію між клієнтами та службою автентифікації Центром розподілу ключів(Key Distribution Center, KDC). Домен Windows NT 5.0 еквівалентний царству Kerberos(Kerberos realm), але в цій операційній системі, як і раніше, називатиметься доменом. Реалізація Kerberos у Windows NT 5.0 ґрунтується на документі RFC1510. Порівняно з NTLM протокол автентифікації Kerberos має такі переваги:

  • більш швидке приєднання клієнта до сервера; оскільки сервер для автентифікації користувача не повинен зв'язуватися з контролером домену, поліпшення масштабованості комп'ютерної мережі;
  • транзитивні довірчі відносини між доменами полегшують адміністрування складної мережі.

У Windows NT 5.0 з'явиться новий засіб захисту інформації файлова система із шифруванням(Encrypted File System, EFS), що дозволяє зберігати файли та папки у зашифрованому вигляді. Завдяки цьому корпоративні та індивідуальні користувачі вирішать проблему можливого витоку секретної інформації при крадіжці переносного комп'ютера або жорсткого диска із сервера. Зашифрована інформація навіть у разі фізичного доступу до жорсткого диска залишиться недоступною.

Комп'ютерПрес 2"1999

Оснащення у консолі MMC допомагає отримувати інформацію про налаштування безпеки локального комп'ютера. Якщо користувач не в змозі виконувати певні локальні або віддалені завдання, причиною цього можуть бути занадто жорсткі налаштування безпеки, які застосував користувач.

Хоча ймовірність цього мала, ніколи не варто недооцінювати користувача. Не варто навіть згадувати, що існують ситуації, коли новий адміністратор, який дізнався, що існує таке поняття, як "безпека", обмежує доступ до сервера настільки, що ніхто не може отримати до сервера доступ. Саме в таких ситуаціях виявляється корисним оснащення Аналіз та налаштування безпеки (Security Configuration and Analysis).

Аналіз та налаштування безпеки (Security Configuration and Analysis)є оснасткою MMC, тому для її відкриття необхідно завантажити оснастку в консоль керування. Для цього виконайте таку послідовність дій:

1. Виберіть Пуск > Виконати (Start > Run), введіть mmcу діалоговому вікні Виконати (Run)та клацніть на кнопці OK.

2. У консолі MMC натисніть комбінацію клавіш для додавання нового оснащення.

3. Клацніть на кнопці Додати (Add).

5. Клацніть на кнопці Закрити (Close)у діалоговому вікні Додати ізольоване оснащення (Add Standalone Snap-in). Після цього клацніть на кнопці OKу діалоговому вікні Додати/Видалити оснастку (Add/Remove Snap-in).

Після цього все готове до виконання аналізу системи. Аналіз вимагає перевірки системи щодо відомого шаблону безпеки. З метою діагностики найпростіше під час аналізу використовувати шаблон, прийнятий за умовчанням. У Windows Server 2003 і Windows XP шаблон, прийнятий за умовчанням, зберігається у файлі setup security.inf(або DC Security.infдля контролерів домену) і представляє параметри безпеки, які будуть використовуватися відразу після встановлення операційної системи.

Шаблон Setup Security є аналогом шаблонів Basic, які використовувалися в операційній системі Windows 2000 та більш ранніх операційних системах.

Для аналізу параметрів безпеки системи виконайте таку послідовність дій:

1. Клацніть правою кнопкою миші на оснащенні Аналіз та налаштування безпеки (Security Configuration and Analysis)та виберіть команду .


2. Для тестування можна створити нову базу даних, тому в полі Ім'я файлу (File Name)діалогового вікна Відкрити базу даних (Open Database)введіть testта клацніть на кнопці Відкрити (Open).

3. Тепер, у діалоговому вікні Імпорт шаблону (Import Template)виберіть файл setup security.infта клацніть на кнопці Відкрити (Open).


4. Після імпортування шаблону можна розпочати аналіз параметрів безпеки системи. Для цього клацніть правою кнопкою на оснащенні Аналіз та налаштування безпеки (Security Configuration and Analysis)та виберіть команду Аналіз комп'ютера (Analyse Computer Now).


5. У діалоговому вікні Виконати аналіз (Perform Analysis)введіть новий шлях до файлу журналу помилок або залиште старий шлях файлу і натисніть кнопку OK.

Виконання аналізу системи потребує кількох хвилин. Після завершення аналізу в оснастці буде показано перелік параметрів безпеки. Відмінності від шаблону безпеки дуже легко помітити, оскільки відмінності виділені червоним символом X.

Ніколи не відомо, з чим доведеться зіткнутися, особливо під час роботи в чужій мережі. Приклад із практики: якось автору статті не вдалося зв'язатися з певним сервером, хоча необхідні папки були надані для загального доступу. Як виявилося, сервер вимагав використання шифрованого каналу для передачі даних, а клієнти не могли надати шифрований канал, навіть якщо про це просив користувач.

Іншими словами, клієнт намагався почати сеанс роботи з сервером і сервер відповідав: "Спілкуватимемося тільки по шифрованому каналу". Клієнт заперечував: "Ні, не буде жодного шифрованого каналу". На що сервер відповідав: "Поспілкуйся зі своїм користувачем". Хоча така аналогія може здатися дурною, не забувайте, що цю проблему вдалося легко виявити, розглядаючи звіт оснастки Аналіз та налаштування безпеки (Security Configuration and Analysis)на предмет відмінності у налаштуваннях шифрованого каналу на сервері та клієнтських комп'ютерах.

Іноді достатньо знати, що потрібний інструмент існує. Багато хто рідко, якщо взагалі хоч раз, використовують оснастку Аналіз та налаштування безпеки (Security Configuration and Analysis)Але саме знання про існування такого оснащення може зробити користувача героєм дня.

Шаблони безпеки (Security Templates)

При розгляді оснастки Аналіз та налаштування безпеки (Security Configuration and Analysis)з'ясувалося, що для аналізу налаштувань безпеки необхідна наявність відомого шаблону безпеки, з яким виконується порівняння.

Якщо потрібно переглянути та налаштувати параметри шаблону до виконання аналізу системи, можна скористатися оснащенням Шаблони безпеки (Security Templates). Для завантаження оснастки можна скористатися процедурою, описаною в попередньому розділі, якщо цього не було зроблено раніше.

Як тільки оснастка буде завантажена в консоль, можна розпочати перегляд та аналіз параметрів кожного шаблону безпеки.

Сторінка 13 з 15

Налаштування системи безпеки Windows XP

Операційна система Windows XP має розвинену систему безпеки, яка, тим не менш, потребує налаштування (за умовчанням Windows XP Professional надають користувачеві дуже спрощений інтерфейс безпеки, що дозволяє встановлювати значення дуже обмеженої кількості параметрів доступу на основі членства у вбудованих групах). Ми сподіваємося, що ви розумієте, що Windows XP повинна встановлюватися на розділах NTFS, що застосування файлової системи FAT32 не рекомендується, виходячи з принципів безпеки (вбудовані засоби безпеки просто не можуть бути реалізовані при застосуванні FAT32). У разі застосування файлової системи FAT32 багато тверджень даного розділу втрачають вам будь-яке значення. Єдиний спосіб увімкнути всі дозволи файлової системи – перетворити диск у формат NTFS.
Після чистої установки Windows XP параметри безпеки, що пропонуються за умовчанням, працюють як перемикачі типу «включити-вимкнути». Такий інтерфейс має за промовчанням назву Простий загальний доступ (Simple File Sharing).
Така конфігурація має низький рівень безпеки, що практично співпадає зі стандартною конфігурацією Windows 95/98/Me.
Якщо вас не влаштовує така конфігурація, ви можете скористатися всією міццю дозволів для файлів у стилі Windows 2000. Для цього відкрийте довільну папку у Провіднику та виберіть Сервіс - Властивості папки (Tools - Folder options). Перейдіть на вкладку Вигляд знайдіть у списку прапорець Використовувати простий спільний доступ до файлів (рекомендується) (Use File Sharing (recommended) та зніміть його (Щоб змінити цей параметр ви повинні бути членом групи Адміністратори).

Коли ви вимикаєте простий спільний доступ, у діалоговому вікні властивостей будь-якої папки з'являється вкладка Безпека.
Аналогічно здійснюється видача дозволів на файли. Усі дозволи зберігаються у списках керування доступом (Access Control List - ACL).
Під час встановлення та видалення дозволів керуйтеся такими основними принципами:

  • Працюйте за схемою «згори донизу».
  • Зберігайте спільні файли даних разом.
  • Працюйте з групами скрізь, де це можливо.
  • Не користуйтеся особливими дозволами.
  • Не давайте користувачам більшого рівня повноважень, ніж це необхідно (принцип мінімізації повноважень).

Встановлення дозволу з командного рядка

Утиліта командного рядка cacls.exe дозволяє переглядати та змінювати дозволи файлів та папок. Cacls – скорочення від Control ACLs – управління списками управління доступом.
Ключі командного рядка утиліти cacls
/T- Зміна дозволів доступу до вказаних файлів у поточній папці та всіх підпапках
/E- Зміна списку керування доступом (а не повна його заміна)
/C- Продовжити у разі виникнення помилки «відмовлено в доступі»
/G користувач:дозвіл- Виділення користувачеві зазначеного дозволу. Без ключа /E повністю замінює поточні дозволи
/R користувач- Скасує права доступу для поточного користувача (використовується лише з ключем /E)
/P користувач:дозвіл- Заміна вказаних дозволів користувача
/D користувач- Забороняє користувачеві доступ до об'єкту
З ключами /G і /P потрібно використовувати одну з наведених нижче літер (замість слова дозвіл):
  • F (повний доступ) - еквівалентно установці прапорця Дозволити повний доступ (Full Control) на вкладці Безпека.
  • C (змінити) - тотожно встановити прапорець Дозволити Змінити (Modify)
  • R (читання) - еквівалентно установці прапорця Дозволити Читання та виконання (Read & Execute)
  • W (запис) - рівнозначно установці прапорця Дозволити запис (Write)
Microsoft Windows XP дозволяє запобігти попаданню конфіденційних даних у чужі руки. Шифруюча файлова система (Encrypting File System – EFS) шифрує файли на диску. Однак, слід мати на увазі, що якщо ви втратите ключ для розшифровки, дані можна вважати загубленими. Тому, якщо ви вирішите скористатися перевагами EFS, необхідно створити обліковий запис агента відновлення, резервну копію власного сертифіката та сертифіката агента відновлення.
Якщо ви віддаєте перевагу командному рядку, то можете скористатися програмою cipher.exe. Команда cipher без параметрів виводить інформацію про поточну папку та розміщені в ній файли (зашифровані вони чи ні). Нижче наведено список найчастіше використовуваних ключів команди cipher
/E- Шифрування зазначених папок
/D- Розшифрування зазначених папок
/S:папка- Операція застосовується до папки та всіх вкладених підпапок (але не файлів)
/A- Операція застосовується до зазначених файлів та файлів у зазначених папках
/K- Створення нового ключа шифрування для користувача, який запустив програму. Якщо цей ключ заданий, всі інші ігноруються
/R- Створення ключа та сертифіката агента відновлення файлів. Ключ і сертифікат розміщуються у файл.CFX, а копія сертифіката у файлі.CER
/U- Оновлення ключа шифрування користувача або агента відновлення всіх файлів на всіх локальних дисках
/U /N- Виведення списку всіх зашифрованих файлів на локальних дисках без будь-яких інших дій

Агент відновлення даних

Агентом відновлення даних (Data Recovery Agent) зазвичай призначається адміністратор. Для створення агента відновлення потрібно спочатку підтвердити сертифікат відновлення даних, а потім призначити одного з користувачів таким агентом.
Щоб створити сертифікат, потрібно зробити наступне:
1. Потрібно увійти до системи під ім'ям Адміністратор
2. Ввести командний рядок cipher /R: ім'я файла
3. Введіть пароль для новостворених файлів Файли сертифіката мають розширення .PFX та .CER та вказане вами ім'я.
УВАГА ці файли дозволяють будь-якому користувачеві системи стати агентом відновлення. Обов'язково скопіюйте їх на дискету та зберігайте у захищеному місці. Після копіювання видаліть сертифікат із жорсткого диска.
Для призначення агента відновлення:
1. Увійти в систему під обліковим записом, який має стати агентом відновлення даних
2. У консолі Сертифікати перейдіть до розділу Сертифікати - Поточний користувач - Особисті (Current User - Personal)
3. Дія - Усі завдання - Імпорт (Actions - All Tasks - Import) для запуску майстра імпорту сертифікатів
4. Проведіть імпорт сертифіката відновлення При неправильному використанні засобів шифрування ви можете отримати більше шкоди, ніж користі.
Короткі рекомендації щодо шифрування:
1. Зашифруйте всі папки, в яких зберігаються документи
2. Зашифруйте папки %Temp% та %Tmp%. Це забезпечить шифрування всіх тимчасових файлів
3. Завжди вмикайте шифрування папок, а не файлів. Тоді шифруються і всі файли, що створюються в ній, що виявляється важливим при роботі з програмами, що створюють свої копії файлів при редагуванні, а потім перезаписують копії поверх оригіналу
4. Експортуйте та захистіть особисті ключі облікового запису агента відновлення, після чого видаліть їх з комп'ютера
5. Експортуйте особисті сертифікати шифрування всіх облікових записів
6. Не видаляйте сертифікати відновлення при зміні політик агентів відновлення. Зберігайте їх, доки не будете впевнені, що всі файли, захищені з урахуванням цих сертифікатів, не будуть оновлені.
7. Під час друку не створюйте тимчасових файлів або зашифруйте папку, в якій вони будуть створюватися
8. Захистіть файл підкачування. Він повинен автоматично видалятися під час виходу з Windows

Конструктор шаблонів безпеки

Шаблони безпеки є звичайними файлами ASCII, тому теоретично їх можна створювати за допомогою звичайного текстового редактора. Однак краще скористатися оснащенням Security Templates консолі Microsoft Management Console (MMC). Для цього в командному рядку потрібно ввести mmc/a у цій консолі вибрати меню File - Add/Remove. У діалоговому вікні Add Standalone Snap-in вибрати Security Templates - Add.
Управління оснащенням
Шаблони безпеки розташовані в папці \%systemroot%\security\templates. Кількість вбудованих шаблонів змінюється залежно від версії операційної системи та встановлених пакетів оновлень.
Якщо розкрити будь-яку папку в Security Templates, то у правій панелі будуть показані папки, які відповідають контрольованим елементам:
  • Account Policies - управління паролями, блокуваннями та політиками Kerberos
  • Local Policies - управління параметрами аудиту, правами користувача та налаштуваннями безпеки
  • Event Log - керування параметрами системного журналу
  • Restricted Groups - визначення елементів різних локальних груп
  • System Services - включення та відключення служб та надання права модифікації системних служб
  • Registry - призначення дозволів на зміну та перегляд розділів реєстру
  • File System - управління дозволами NTFS для папок та файлів

Захист підключення до Інтернету

Для забезпечення безпеки при підключенні до Інтернету необхідно:
  • Активізувати брандмауер підключення до Інтернету (Internet Connection Firewall) або встановити брандмауер третіх фірм
  • Вимкнути Службу доступу до файлів та принтерів мереж Microsoft
Брандмауером підключення до Інтернету називається програмний компонент, що блокує небажаний трафік. Активація Брандмауера підключення до Інтернету:
  • Відкрийте Панель керування - Мережеві підключення
  • Клацніть правою кнопкою миші на з'єднанні, яке ви хочете захистити, і виберіть з меню пункт Властивості
  • Перейдіть на вкладку Додатково, поставте галочку Захистити моє підключення до Інтернету

Використовуючи оснастку Security Templates (Шаблони безпеки), ви можете створювати текстові файли, які містять усі налаштування безпеки для безпечних областей, що підтримуються локальною політикою безпеки. Це зручно для використання всіх елементів захисту, доступних у Windows XP Professional. У цьому розділі ми розповімо про те, як створювати шаблон, модифікувати існуючий шаблон та застосовувати його у Windows XP Professional.

Створення шаблону

Щоб запустити оснастку Security Templates (Шаблони безпеки) та переглянути налаштування політики безпеки, виконайте такі кроки.

  1. Відкрийте ММС.
  2. У меню File (Файл) клацніть Add/Remove Snap-in (Додати або видалити оснастку), а потім клацніть Add (Додати).
  3. У списку Available Standalone Snap-ins (Доступні ізольовані оснащення) виберіть Security Templates (Шаблони безпеки).
  4. Натисніть кнопку Add (Додати), а потім натисніть Close (Закрити).
  5. Натисніть кнопку ОК. Оснащення Security Templates показано на рис. 9.5.
  6. У правому вікні клацніть на "+", щоб розгорнути Security Templates (Шаблони безпеки).
  7. Розгорніть C:\Windows\security\templates (С: це позначення диска, на якому зберігається система Windows).
  8. Для створення шаблону клацніть двічі на Security Templates, правою кнопкою миші клацніть на папці шаблонів за промовчанням, а потім клацніть на New Template (Новий шаблон).

Таким чином, ви створите порожній шаблон, в який можна внести все, що стосується політики безпеки організації. Щоб зберегти шаблон, відкрийте меню File (Файл) та натисніть Save As (Зберегти як).


Мал. 9.5.

Редагування існуючих шаблонів

Система Windows XP Professional спочатку включає ряд шаблонів. Вони створюють добрий фундамент для побудови власної безпекової політики. У вас може бути готова політика безпеки, яку ви захочете покращити та застосувати пізніше. Для відкриття та редагування будь-якого шаблону двічі клацніть на ньому у лівому вікні оснастки Security Templates (Шаблони безпеки).

Примітка. Хоча Security Templates має вже готові шаблони, непогано уважно вивчити їх заздалегідь і переконатися, що вони підходять для потреб вашої організації.

Існує чотири основні типи шаблонів:

  • Основний;
  • безпечний;
  • високого ступеня безпеки;
  • змішаний.

Ці шаблони є діапазоном засобів безпеки, починаючи зі стандартних (Basic) і закінчуючи засобами підвищеної безпеки (High Secure). Шаблони Miscelleneous (змішані) надають налаштування безпеки для деяких категорій, для яких важко визначити місце в рамках ієрархії Basic, Secure та High Secure. Вони містять параметри для таких опцій, як Terminal Services (Служби терміналів) та Certificate Services (Служби сертифікації). Нижче наведено деякі шаблони, що містяться в межах кожної категорії.

  • Basicsv Встановлює базовий рівень безпеки для сервера друку та файлового сервера.
  • Securews Встановлює середній рівень безпеки для робочих станцій.
  • Hisecdc Встановлює найвищу безпеку для контролерів доменів.
  • Ocfiless Встановлює політику безпеки файлових серверів.

Кожен із десяти зразків шаблонів добре підходить для початку розробки мережної безпеки. Однак при модифікації шаблону є сенс зберегти його під новим ім'ям, щоб старий шаблон не було переписано.

Застосування шаблонів безпеки

Створення або редагування вже існуючого шаблону не змінює параметри системи безпеки. Щоб зробити такі зміни, слід застосувати шаблон до комп'ютера. Для використання новоствореного або відредагованого шаблону виконайте наведене нижче.

  1. У комплекті Group Policy (Групова політика) двічі клацніть Computer Configuration (Конфігурація комп'ютера) та розгорніть Windows Settings (Конфігурація Windows).
  2. Клацніть правою кнопкою миші на Security Settings (Параметри безпеки), а потім натисніть Import Policy (Імпорт політики) (мал. 9.6).
  3. Виберіть шаблон, яким потрібно скористатися.
  4. Натисніть кнопку ОК.

Однією з найпоширеніших клієнтських операційних систем є Microsoft Windows XP. Саме про захист клієнтського комп'ютера (комп'ютера домашнього чи офісного користувача) і йтиметься. Не секрет, що будь-яку атаку простіше розпочинати з клієнтського робочого місця, оскільки основну увагу у питаннях захисту адміністратори традиційно приділяють серверам локальних мереж. Безперечно, на робочих місцях необхідний і антивірусний захист, і посилені заходи ідентифікації та автентифікації користувачів. Проте в першу чергу необхідно все ж таки забезпечити захист за допомогою вбудованих засобів операційної системи.

Налаштування системи безпеки Windows XP

Операційна система Windows XP має розвинену систему безпеки, яка, тим не менш, потребує налаштування. Сподіваємося, ви розумієте, що Windows XP повинна встановлюватися на розділах NTFS, що застосування файлової системи FAT32 не рекомендується, виходячи з принципів безпеки (вбудовані засоби безпеки просто не можуть бути реалізовані за умови застосування FAT32). У разі застосування файлової системи FAT 32 багато тверджень даного розділу втрачають вам будь-яке значення. Єдиний спосіб увімкнути всі дозволи файлової системи – це перетворити диск у формат NTFS. Після чистої установки Windows XP параметри безпеки, що пропонуються за умовчанням, працюють як перемикачі типу "включити-вимкнути". Такий інтерфейс має за промовчанням назву "Простий загальний доступ" (Simple File Sharing). Така конфігурація має низький рівень безпеки, що практично співпадає зі стандартною конфігурацією Windows 95/98/Me. Якщо вас не влаштовує така конфігурація, ви можете скористатися всією потужністю дозволів для файлів у стилі Windows 2000. Для цього відкрийте довільну папку у Провіднику та виберіть Сервіс > Властивості папки(Tools > Folder options). Перейдіть на вкладку Вид, знайдіть у списку прапорець Використовувати простий доступ до файлів(рекомендується) (Use File Sharing (recommended)) - та зніміть його.

Властивості папки

Коли ви вимикаєте простий спільний доступ, у діалоговому вікні властивостей будь-якої папки з'являється вкладка Безпека. Аналогічно здійснюється видача дозволів на файли. Усі дозволи зберігаються у списках керування доступом (Access Control List - ACL). Під час встановлення та видалення дозволів керуйтеся такими основними принципами:

  • Працюйте за схемою "згори донизу"
  • Зберігайте спільні файли даних разом
  • Працюйте з групами скрізь, де це можливо
  • Не користуйтеся особливими дозволами
  • Не давайте користувачам більшого рівня повноважень, ніж це необхідно (принцип мінімізації повноважень).

Налаштування операційної системи

Як уже було сказано, не можна настроювати вбудовані засоби безпеки на файловій системі FAT32. У зв'язку з цим необхідно або на етапі встановлення операційної системи (розмітки диска) вибрати файлову систему NTFS, або розпочати перетворення файлової системи відразу ж після установки ОС.

Перетворення файлової системи

Щоб перетворити диск із FAT (FAT32) на NTFS, скористайтеся утилітою Convert. Синтаксис команди: CONVERT том: /FS:NTFS де:

  • том- Визначає літеру диска (з наступним двокрапкою) точку підключення або ім'я тома;
  • /FS:NTFS- Кінцева файлова система: NTFS;
  • /V- Увімкнення режиму виведення повідомлень;
  • /CVTAREA:ім'я_файлу- Вказує безперервний файл у кореневій папці для резервування місця для системних файлів NTFS;
  • /NoSecurity- параметри безпеки для файлів і папок, що перетворюються, будуть доступні для зміни всім;
  • /X- примусове зняття цього тому (якщо його було підключено). Усі відкриті дескриптори цього тому стануть неприпустимими.
Якщо у вашій організації використовується багато комп'ютерів, необхідно продумати процес автоматизації установки ОС. Існує два варіанти автоматизації процесу встановлення:
  • Автоматизована установка. У цьому випадку використовується пакетний файл і сценарій (званий файлом відповідей) - завдяки цьому відключаються запити операційної системи, а необхідні дані вибираються з відповідних файлів автоматично. Існує п'ять режимів автоматичного встановлення.
  • Копіювання диска(клонування). У цьому випадку запускається утиліта підготовки системи до копіювання ( sysprep.exe), яка видаляє ідентифікатор безпеки (Security Identifier – SID). Потім диск копіюється за допомогою програми клонування дисків, наприклад Ghost(www.symantec.com/ghost) або Drive Image(www.powerquest.com/driveimage). Після копіювання буде виконано "стиснуту" процедуру установки (5-10 хвилин).
Ви встановили операційну систему, проте найважча та найтриваліша частина роботи ще попереду.

Встановлення необхідних оновлень

Згідно з документацією, установка ОС займає близько години - але насправді установка, налаштування, установка всіх критичних патчів (оновлень) займе щонайменше 4-5 годин (це за умови, що всі патчі вже є на жорсткому диску або CD-ROM і вам не потрібно витягувати їх із інтернету). Отже, операційну систему ви встановили. Для подальшої установки патчів є два шляхи:

  • скористатись службою автоматичного оновлення Windows Update. Цей шлях досить добре описаний у літературі та якихось зусиль з боку програміста не вимагає. Однак припустимо, що у вашій організації хоч би 20 комп'ютерів. У такому разі вам доведеться скористатися цією службою 20 разів. Це не найкращий спосіб, але якщо у вас швидкий канал і керівництво не проти такого способу викидання грошей, цей шлях вам може і підійти. Однак врахуйте, що при перевстановленні ОС все доведеться витягувати заново;
  • скористатися будь-яким сканером безпеки для пошуку необхідних патчів (оновлень). Наприклад розглянемо безкоштовний сканер Microsoft Base Security Analyzer (у цій статті не буде докладно розглядатися питання про методи роботи з цим сканером). Цей сканер можна безкоштовно завантажити з сайту Microsoft із розділу TechNet.
    До початку тестування необхідно буде витягти файл mssecure.xml файл з http://download.microsoft.com/download/xml/security/1.0/nt5/en-us/mssecure.cab Файл mssecure.xml повинен бути поміщений у ту саму папку , де розгорнуть Microsoft Base Security Analyzer Результатом сканування буде перелік необхідних патчів, які ви повинні встановити на конкретному ПК.
На мій погляд, зручніше використовувати комерційні сканери безпеки типу LAN Guard Network Scanner або XSpider.

LAN Guard Network Scanner

Цей сканер призначений для пошуку вразливостей у комп'ютерних мережах не лише на базі Windows. Однак у нашому випадку можна легко скористатися ним для пошуку вразливостей на окремому комп'ютері. Рекомендовано відвідати конкретні сторінки бюлетеня безпеки від Microsoft.


Результат роботи LAN Guard Network Scanner

У такому випадку набагато простіше встановлювати оновлення, з'являється також можливість дізнатися, для усунення якої саме вразливості створено це оновлення. Аналіз процесу встановлення патчів наведено на рис.


Процес керування встановленням оновлень

Варто досліджувати ці кроки докладніше:

  • Аналіз. Подивіться на поточне середовище та потенційні загрози. Визначте патчі, які слід інсталювати, щоб скоротити кількість загроз вашому середовищу.
  • План. Встановіть, які патчі потрібно інсталювати, щоб стримувати потенційні загрози та "прикрити" виявлені вразливі місця. Визначтеся, хто здійснюватиме тестування та інсталяцію та які кроки слід зробити.
  • Тестування. Перегляньте доступні патчі та розділіть їх на категорії для вашого середовища.
  • Інсталяція. Інсталюйте потрібні патчі, щоб захистити це середовище.
  • Моніторинг. Перевірте всі системи після інсталяції патчів, щоб переконатися у відсутності небажаних побічних ефектів.
  • Перегляд. Важливою частиною всього процесу є ретельний перегляд нових патчів та вашого середовища, а також з'ясування того, які саме патчі потрібні вашій компанії. Якщо під час перегляду ви знайдете необхідність нових патчів, почніть знову з першого кроку.
Примітка: рекомендується зробити резервну копію всієї робочої системи до інсталяції патчів.

Перевірка середовища щодо відсутніх патчів

Оскільки цей процес неперервний, вам слід переконатися в тому, що ваші патчі відповідають останнім установкам. Рекомендується постійно стежити, щоб мати нову інформацію про патчі. Іноді випускається новий патч – і вам необхідно встановити його на всіх станціях. В інших випадках у мережі з'являється нова станція, і на ній потрібно встановити всі необхідні оновлення. Вам слід продовжувати перевірку всіх ваших станцій, щоб переконатися, що на них встановлені всі необхідні та актуальні патчі. Взагалі, питання встановлення патчів не таке просте, як це здається на перший погляд. Однак, повний розгляд цього питання виходить за межі нашої статті. Слід врахувати, що іноді після встановлення наступного патчу виникає потреба у перевстановленні попереднього. Принаймні у моїй практиці таке зустрічалося неодноразово. Отже, припустимо, що всі патчі встановлені і дірок у вашій системі немає. Врахуйте, що цей стан тільки на даний момент часу - цілком можливо, що завтра вам доведеться встановлювати нові патчі. Процес цей, на жаль, безперервний.

Відновлення системних файлів

Корисна функція - якщо ваш комп'ютер не використовується виключно для ресурсомістких завдань типу ігор. Так що краще залишити її увімкненою. При цьому комп'ютер періодично створює зліпки критичних системних файлів (файли реєстру, COM+ база даних, профілі користувачів тощо) та зберігає їх як точку відкату. Якщо будь-яка програма знесе систему або якщо щось важливе буде зіпсовано, ви зможете повернути комп'ютер у попередній стан - до точки відкату. Ці точки автоматично створюються службою Відновлення системи(System Restore) при виникненні деяких ситуацій типу інсталяції нової програми, оновлення Windows, інсталяції непідписаного драйвера і т.п. Точки відкату можна створювати і вручну – через інтерфейс Відновлення системи(System Restore): Пуск > Програми > Стандартні > Службові > Відновлення системи(Start > Programs > Accessories > System Tools > System Restore). Аналогічний результат можна отримати і за допомогою утиліти msconfig, яка запускається з режиму командного рядка або через Пуск > Виконати.


Відновлення системи

Відновлення системних файлів спирається на фонову службу, яка мінімально позначається на швидкодії та записує знімки, які забирають частину дискового простору. Ви можете вручну відвести максимальний об'єм дискового простору для цієї служби. Можна також повністю відключити службу для всіх дисків (поставивши галочку Вимкнути службу відновлення). Оскільки служба відновлення системних файлів може впливати на результати тестових програм, перед тестуванням її зазвичай відключають.

Автоматичне очищення диска

Для очищення жорсткого диска від непотрібних файлів використовується програма cleanmgr.exe. Ключі програми:

  • /d driveletter: - вказує букву диска, яка очищатиметься;
  • /sageset: n- ця команда запускає майстер очищення диска та створює у реєстрі ключ для збереження параметрів. Параметр n може набувати значення від 0 до 65535;
  • /sagerun: n- використовується для запуску майстра очищення диска з певними параметрами, які були заздалегідь задані за допомогою попереднього ключа.
Для автоматизації цього процесу можна скористатися планувальником завдань.

Видалення "прихованих" компонентів

У процесі інсталяції Windows XP (на відміну від випадку з Windows 9*/NT) не передбачено можливості вибору необхідних компонентів. На мій погляд, це правильне рішення: спочатку слід встановити операційну систему з усіма її примхами - а вже потім, попрацювавши з нею, вирішувати, що залишити, а чого позбутися. Однак при цьому у вікні Add/Remove Windows Components, що є в аплеті Add or Remove Programsконтрольної панелі, видаляти практично нічого - багато з складових Windows приховані від пустотливих ручок не дуже досвідчених користувачів. Для вирішення цієї проблеми відкриваємо системну папку Inf(за замовчуванням - C:\Windows\Inf), знаходимо там файл sysoc.inf, відкриваємо його та видаляємо у всіх його рядках слово HIDE. Головне при цьому - залишити незмінним формат файлу (тобто видаленню підлягає тільки HIDE, коми до і після цього слова чіпати не слід). Для прикладу - вихідний рядок і те, що має вийти: msmsgs=msgrocm.dll,OcEntry,msmsgs.inf,hide,7 msmsgs=msgrocm.dll,OcEntry,msmsgs.inf,7Зберігаємо файл sysoc.inf, відкриваємо Add/Remove Windows Components- і бачимо вже набагато довший список, ніж той, що був спочатку (рис.). Щоправда, і в цьому випадку багато видалити не вийде. До речі, таким самим чином можна вчинити і у випадку з Windows 2000.


Вікно компонентів Windows XP

Ви можете поставити резонне питання: а яке відношення має все це до безпеки? По-перше, якщо у вашій організації існує корпоративна політика в галузі використання програмного забезпечення і в ній як поштовий клієнт обраний, наприклад, The Bat! або поштовий клієнт Mozilla (Opera), то не варто залишати на комп'ютері наскрізь дірявий Outlook Express і вводити користувача в спокусу користуватися цим клієнтом. По-друге, якщо у вас не прийнято використовувати службу миттєвих повідомлень, Windows Messenger краще видалити. І, нарешті, позбавтеся просто непотрібних вам компонент. Менше невикористовуваного ПЗ - менше можливостей використовувати його за призначенням (а, отже, вільно чи мимоволі завдати шкоди вашої організації).

Налаштування програм, що автоматично виконуються

Одна з типових проблем, пов'язаних з безпекою, це запуск програм типу "троянський кінь" під час завантаження Windows XP. Програма може бути запущена автоматично одним із таких способів:

для цього користувача;для всіх користувачів;
  • ключ Run(комп'ютера) ключ реєстру HKLM\Software\Microsoft\Windows\CurrentVersion\Run;
  • ключ Run(користувача) ключ реєстру HKCU\Software\Microsoft\Windows\CurrentVersion\Run;
  • ключ RunServices. Різниця між RunServices і просто Run у тому, що при запуску програми в ключі RunServices вона буде запущена як обслуговуючий процес і під час роботи їй буде виділено менше пріоритетного процесорного часу. При запуску ж у ключі Run програма запуститься як завжди з нормальним пріоритетом;
  • папки Планувальник задач;
  • win.ini. Програми, призначені для 16-розрядних версій Windows, можуть додати рядки типу Load і Run цього файлу;
  • ключі RunOnceі RunOnceEx. Група ключів реєстру, яка містить список програм, які виконуються одноразово під час запуску комп'ютера. Ці ключі можуть ставитися і до конкретного облікового запису даного комп'ютера HKLMSoftwareMicrosoftWindowsCurrentVersionRunOnce Windows\CurrentVersion\RunOnceEx;
  • групова політика. Містить дві політики (з іменами Запуск програм при вході користувача до системи). Перебувають у папках Конфігурація комп'ютера > Конфігурація Windows > Адміністративні шаблони > Система > Вхід у систему(Computer configuration > Administrative Templates > System > Logon) та Конфігурація користувача > Конфігурація Windows > Адміністративні шаблони > Система > Вхід у систему(User configuration > Administrative Templates > System > Logon);
  • сценарії входу до системи. Налаштовуються Групова політика: Конфігурація комп'ютера > Конфігурація Windows > Сценарії та Конфігурація користувача > Конфігурація Windows > Сценарії(Входу в систему та виходу із системи);
  • файл autoexec.batу кореневому каталозі завантажувального диска. Усі програми, які ви хочете запустити з нього, повинні виконуватись у реальному режимі DOS, оскільки виконання цього командного файлу відбувається до завантаження графічної оболонки. Використовується для того, щоб знову і знову копіювати в Автозапуск із прихованої папки рекламні модулі, які видалив користувач.
    • Для налаштування списку програм, що автоматично викликаються, до складу Windows XP входить утиліта Налаштування системи(System Configuration Utility) – Msconfig.exe. Ця утиліта дозволяє вивести список всіх програм, що автоматично завантажуються. Робоче вікно програми наведено на рис.


    Робоче вікно програми Msconfig

    Установки Internet Explorer

      Панель керування браузером \ Вимкнути сторінку "Додатково"

      Панель керування оглядачем \ Вимкнути сторінку "Безпека"

      Автономні сторінки \ Вимкнути додавання каналів

      Автономні сторінки \ Вимкнути додавання розкладів для автономних сторінок

      Автономні сторінки \ Вимкнути усі розклади для автономних сторінок

      Автономні сторінки \ Повне відключення інтерфейсу користувача каналів

      Автономні сторінки \ Вимкнути завантаження вмісту передплати

      Автономні сторінки \ Вимкнути редагування та створення нових груп розкладів

      Автономні сторінки \ Вимкнути зміну розкладів для автономних сторінок

      Автономні сторінки \ Вимкнути протоколювання звернень до автономних сторінок

      Автономні сторінки \ Вимкнути видалення каналів

      Автономні сторінки \ Вимкнути видалення розкладів для автономних сторінок

      Налаштування Outlook Express

      Вимкнути зміну параметрів сторінки "Додатково"

      Вимкнути зміну параметрів автоналаштування

      Вимкнути зміну параметрів сертифікатів

      Вимкнути зміну параметрів підключень

      Вимкнути зміну параметрів проксі

      Вимкнути майстер підключення до інтернету

      Заборонити автозаповнення збереження паролів

    Хотілося б рекомендувати розмір кешу Internet Explorer виставляти в мінімум: якщо в кеші тисяч сто дрібних файлів розміром два-три кілобайти, то будь-який антивірус при скануванні цієї папки буде працювати дуже повільно. Для захисту Internet Explorer від "винахідних" користувачів можна скористатися таким: IExplorer: Hide General Page from Internet PropertiesЩоб сховати вкладку Загальніу параметрах Internet Explorer"a, додайте до реєстру:
    "GeneralTab"=dword:1     IExplorer: Hide Securiry Page від Internet PropertiesЩоб сховати вкладку Безпекау параметрах Internet Explorer"a, до реєстру слід додати:
    "SecurityTab"=dword:1     IExplorer: Hide Programs Page from Internet PropertiesЩоб сховати вкладку Програмиу параметрах Internet Explorer"a:
    "ProgramsTab"=dword:1     IExplorer: Hide Advanced Page from Internet PropertiesЩоб сховати вкладку Додатково, додайте:
    "AdvancedTab"=dword:1     IExplorer: Hide Connections Page from Internet PropertiesІ, нарешті, щоб приховати вкладку Підключенняу параметрах Internet Explorer"a, до реєстру внесіть:
    "ConnectionsTab"=dword:1     Захист підключення до ІнтернетуДля забезпечення безпеки при підключенні до Інтернету необхідно:
    • активізувати брандмауер підключення до Інтернету (Internet Connection Firewall) або встановити брандмауер третіх фірм;
    • вимкнути Службу доступу до файлів та принтерів мереж Microsoft.

    Активація брандмауера

      Відкрийте Панель керування > Мережеві підключення;

      клацніть правою кнопкою миші на з'єднанні, яке ви хотіли б захистити, та виберіть з меню пункт Властивості;

      Перейдіть на вкладку Додатково, поставте галочку Захистити моє підключення до Інтернету.

    Політика обмеженого використання програм

    Політика обмеженого використання програм дає змогу адміністратору визначити програми, які можуть бути запущені на локальному комп'ютері. Політика захищає комп'ютери під керуванням Microsoft Windows XP Professional від відомих конфліктів та запобігає запуску небажаних програм, вірусів та "троянських коней". Політика обмеженого використання програм повністю інтегрована з Microsoft Active Directory та груповою політикою. Її можна також використовувати на автономних комп'ютерах.

    Адміністратор спочатку визначає набір програм, які дозволяється запускати на клієнтських комп'ютерах, а потім встановлює обмеження, які застосовуватимуться політикою до клієнтських комп'ютерів.

    Політика обмеженого використання програм у вихідному вигляді складається із заданого за умовчанням рівня безпеки для необмежених чи заборонених параметрів та правил, визначених для об'єкта групової політики.

    Політика може бути використана в домені, для локальних комп'ютерів або користувачів. Політика обмеженого використання програм передбачає кілька способів визначення програми, а також інфраструктуру на основі політики, що забезпечує застосування правил виконання певної програми.

    Запускаючи програми, користувачі повинні керуватись принципами, встановленими адміністратором у політиці обмеженого використання програм.

    Політики обмеженого використання програм застосовуються для виконання таких дій:

      визначення програм, дозволених для запуску на клієнтських комп'ютерах;

      обмеження доступу користувачів до конкретних файлів на комп'ютерах, де працює кілька користувачів;

      визначення кола осіб, які мають право додавати до клієнтських комп'ютерів довірених видавців;

      визначення впливу політики на всіх користувачів або користувачів на клієнтських комп'ютерах;

      заборона запуску виконуваних файлів на локальному комп'ютері, підрозділі, вузлі або домені.

    Архітектура політики обмеженого використання програм забезпечує низку можливостей.

    Політика обмеженого використання програм дозволяє адміністратору визначати та контролювати програми, які запускаються на комп'ютерах під керуванням Windows XP Professional у рамках домену. Можливе створення політик, які блокують виконання несанкціонованих сценаріїв, які додатково ізолюють комп'ютери або перешкоджають запуску додатків. Оптимальним варіантом для управління політикою обмеженого використання програм на підприємстві є використання об'єктів групової політики та адаптація кожної політики до вимог груп користувачів і комп'ютерів організації.

    Не вдається спробувати керувати групами користувачів в автономному середовищі. Результатом правильного застосування політики обмеженого використання програм буде покращення цілісності, керованості - і, зрештою, зниження сукупної вартості володіння та підтримки операційних систем на комп'ютерах організації.

    Політика паролів

    Використання складних паролів, що регулярно змінюються, знижує ймовірність їх злому. Параметри політики паролів служать визначення рівня складності і тривалості використання паролів. У цьому розділі наведено всі параметри політики безпеки для оточень "ПК на підприємстві" та "Система з високим рівнем безпеки".

    За допомогою редактора групової політики налаштовуються відповідні параметри групової політики домену.

    додаткові відомості

      Для отримання додаткових відомостей про налаштування параметрів безпеки в Microsoft Windows XP рекомендується ознайомитися з посібником "Threats and Countermeasures: Security Settings in Windows Server 2003 and Windows XP", яке можна завантажити за адресою: http://go.microsoft.com/fwlink/ ?Linkld=15159.

    Висновок



    ПОХОДЖЕННЯ СТАТТІ