B. Основные этапы создания учетных записей.
Созданием, модификацией и аудитом состояния учетных записей занимается пользователь, обладающий правами администратора, учетная запись которого обычно использует набор разрешений FullTrust.
Для обслуживания базы данных администратор обычно использует удобные утилиты, такие как «Диспетчер пользователей для доменов» (User Manager for Domains - UMD) если речь идет о контроллере домена или «Диспетчер пользователей» (User Manage r) если конфигурируется рабочая станция. Известно, что «рабочая группа» представляет собой более простой вариант организации сети, в котором каждый из компьютеров самостоятельно играет роль контроллера доступа к своим ресурсам. Управление базой учетных записей в рабочей группе содержит те же инструменты, что и в контроллере домена, за исключением некоторых специфических для домена опий.
Создание нового пользователя начинается с процедур установки параметров, напрямую не связанных с описанной выше технологией работы Монитора безопасности. Эти параметры определяют жизненный цикл учетной записи и ее составных частей. Так, в диалоговом окне «Новый пользователь» (New User) устанавливаются следующие опции:
· Пользователь должен изменить пароль при следующем входе(User must change password at next logon) – мера безопасности, позволяющая уменьшить вероятность несанкционированного доступа по документу администратора, содержащему список предоставленных пользователям паролей.
· Пользователь не может изменить пароль (User cannot change password) - мера безопасности, позволяющая уменьшить вероятность несанкционированного доступа при низком уровне ответственности пользователей, или при необходимости использовать одну учетную запись для группы лиц.
· Постоянный пароль (Password Never Expires) – мера безопасности, отменяющая правило установки истечения срока действия пароля, обычно устанавливаемого в политике учетной записи, обсуждение которой представлено ниже. Эта опция полезна для записей с существенно ограниченными правами, например, для гостевых пользователей с набором прав Nothing.
· Кроме того, имеется возможность отключить учетную запись (Account Disabled), установив соответствующую опцию.
Различные настройки, связанные с учетной записью могут группироваться по функциональному назначению и носят названия политик безопасности. Так политика паролей учетной записи, помимо собственно значения пароля сопровождается установкой таких параметров, как:
· Максимальный срок действия пароля (Maximum Password Age) – срок, действие которого понятно из названия параметра. Этот параметр может принимать как конкретное значение (в днях) так и значение «бессрочный».
· Минимальный срок действия пароля (Minimum Password Age) – мера безопасности, создающая трудности в «заметании следов» после несанкционированного изменения пароля.
· Минимальная длина пароля (Minimum Password Length). Препятствует созданию ненадежных паролей безответственными пользователями.
· Уникальность пароля (Password Uniqueness). Заставляет пользователя каждый раз менять пароль на новое уникальное (ранее не встречавшееся) значение. Нерадивый пользователь лишается возможности повторить ранее введенный пароль. Его придется «придумать» заново.
· Блокировка учетной записи (Account Lockout). Определяет способ блокировки при попытке взлома. Установка этого параметра предотвращает прямую атаку на пространство ключей для паролей.
· Блокировка после…(Lockout After). Определяет допустимое количество ошибочных обращений. Обычно -3.
· Сброс счетчика через…(Reset Count After). Задает временной интервал, в котором две неудачные попытки рассматриваются вместе. По истечении этого интервала очередная попытка рассматривается как первая. Обычно – 5 минут для избегания лобовой атаки.
· Длительность блокировки (Lockout Duration). Этот параметр может принимать значение «навсегда» (forever). В этой ситуации блокировку может снять только администратор. Конечное значение определяется из модели поведения хакера – он должен потерять интерес к повторению атаки. Разумеется, следует учесть и предел терпения пользователя.
· Принудительно отключать удаленного пользователя от сервера при завершении времени регистрации (Forcibly Disconnect Remote Users from Server When Logon Hours Expire). Удерживает пользователей от желания постоянно оставаться зарегистрированным в системе. Параметр направленный скорее не на безопасность, а на корректное поведение пользователей.
· Для смены пароля пользователь должен войти в систему (User Must Log in to Change Password). При окончании действия пароля и выходе из системы пользователь лишается возможности войти самостоятельно. Придется воспользоваться услугами администратора. Дисциплинирует контроль пользователя за актуальностью пароля.
Установка политики обычно производится из меню Политики (Polices) Диспетчера пользователей или Диспетчера пользователей для доменов. Для установки политики паролей нужно выбрать Политика паролей (Password Policy).
Далее, при определении прав пользователя устанавливается принадлежность его к той или иной группе или нескольким группам. Основные условия, которыми пользуется администратор при выборе состава групп определяются конкретной политикой безопасности предприятия. При этом пользователь относится по возможности к меньшему количеству групп, так, чтобы его права не превышали права, установленные политикой безопасности предприятия, но, вместе с тем, обеспечивали необходимый доступ к ресурсам. Эта задача - задача классификации групп пользователей и назначение конкретным пользователям соответствующих групп представляет собой важную часть разработки политики безопасности сети.
Следующий этап, обычно, состоит в определении ограничений по времени при доступе в сеть. Соответствующее диалоговое окно Часы работы (Logon Hours) позволяет определить рабочий график доступа. Эта опция доступна из диалога Новый пользователь через соответствующую кнопку и обеспечивает меры безопасности, ограничивающие возможности доступа выделенным рабочим временем, которое создает определенные неудобства при попытках несанкционированного доступа.
Диалоговое окно Вход в систему (Logon To) также доступно из диалога Новый пользователь через соответствующую кнопку и предоставляет возможность установить список рабочих станций, с которых пользователь получает доступ к сетевым ресурсам. Эта мера безопасности также создает определенные неудобства для несанкционированного доступа, так как только с известных и удобных для пользователя рабочих станций возможен вход в сеть с данными его учетной записи.
Как уже отмечалось, имеется возможность установить Время истечения действия учетной записи (Account Expires) и тем самым ограничить ее использование. Соответствующее диалоговое окно доступно с помощью соответствующей кнопки в окне Новый пользователь. Этот механизм в основном предназначен для временных пользователей. Не следует путать время ограничения учетной записи с временем ограничения использования пароля. Ограниченный по времени пароль после потери актуальности не может быть восстановлен. Продление актуальности учетной записи – в руках администратора.
Теперь следует установить Контроль удаленного доступа к сети. Кнопка Связь (Dialing) в окне Новый пользователь. Диалоговое окно Сведения удаленного доступа (Dialing Information) предоставляет возможность установить пользователю возможность удаленного доступа, который создает удобство пользователю и массу проблем для безопасности системы.
Стандартное решение в организации удаленного доступа состоит в использовании специализированной Службы удаленного доступа (Remote Access Service – RAS). При инициировании сеанса удаленного доступа RAS –сервер действует как Маршрутизатор для сетевого трафика по коммутируемой линии. В связи с значительной опасностью неорганизованного удаленного доступа следует постоянно следить за уничтожением всех сервисных программ удаленного доступа и связи по коммутируемым линиям на всех клиентских компьютерах сети. Сервер удаленного доступа позволяет контролировать соединения с помощью обратного дозвона. Администратор имеет возможность занести телефонный номер в список номеров, разрешенных для доступа. При вызове пользователь посылает свой телефонный номер на сервер и разрывает связь. Получив телефонный номер, сервер, сверив его со списком, разрешает доступ и использует его для обратного дозвона. Тем самым гарантируется коммутация только с доверенными клиентами. Конкретные настройки для каждого пользователя осуществляются с помощью диалогового окна Администратор удаленного доступа (Remote Access Administrator). Кроме того, контроль удаленного доступа осуществляется с помощью опции Выбора протокола(Protocol selection). В этой опции можно задать один из трех протоколов сетевого обмена – TCP/IP – протокол интернет, IPX (NWLink) – протокол NetWare, NetBEUI – исходный протокол IBM и Microsoft – сетей. Выбор протокол, отличного от TCP/IP существенно ограничивает возможности несанкционированного доступа со стороны Интернет. Далее опция Шлюзование (Gateway isolation) позволяет определить для каждого протокола возможность установления соединения только с сервером и возможность пропуска соединения к остальным компонентам сети. Ограничение доступа в сеть уменьшает риск проникновения по линии удаленного доступа, но одновременно и ограничивает доступ внутренних пользователей к ресурсам, находящимся на сервере. Разрешение сетевого доступа по существу превращает сервер удаленного доступа в Маршрутизатор, работающий аналогично межсетевому шлюзу. Следующая опция Присвоение IP адресов позволяет точно установить, какие IP адреса будут присвоены удаленным пользователям. Это позволяет применить специализированные Экраны защиты(брандмауэры) для удаленных пользователей. Следующая опция Шифрование и аутентификация сообщений(Authentication Encryption) позволяет регулировать вопросы шифрования аутентификационных сообщений, содержащих пароли удаленных пользователей. В ней предусмотрена возможность устанавливать режим с использованием незашифрованной передачи пароля – Любая аутентификация, включая открытый текст. Этот режим и соответствующий протокол аутентификации (Password Authentication Protocol –PAP) использовались в старых операционных системах, связь с которыми возможно предусмотрена в выбранной модели сети. Разумеется незашифрованная передача пароля – прямой путь к несанкционированному доступу. Поэтому этот вариант следует исключить. Правильнее провести обновление средств клиентов. Стандартная настройка этой опции – Аутентификация с шифрованием (Require Encrypted Authentication). Эта установка позволяет осуществлять аутентификацию с любым поддерживаемым методом шифрования. Это может быть протокол PAP, разработанный фирмой Shiva - Shiva PAP, стандарт шифрования данных (Data Encryption Standard – DES), Challenge Handshake Authentication Protocol – CHAP или MS – CHAP – версия Microsoft протокола RSA Message Digest 4, устанавливаемая по умолчанию. Можно также установить Аутентификацию с Microsoft - шифрованием (Require Microsoft Encrypted Authentication), которая установит шифрование только по этому протоколу. Следующая настройка RAS –сервера состоит в установке Шифрования данных(Data Encryption), которая используется вместе с аутентификацией с Microsoft – шифрованием и позволяет передавать данные в шифрованном виде по соответствующему протоколу. Опция Использование порта (Port Usage) устанавливает ответственность за инициализацию соединения. Можно предоставить возможность инициализировать соединения RAS - Серверу, клиенту или им обоим. При этом следует придерживаться правила по которому серверы не должны инициировать исходящие соединения по линиям автоматической связи (за исключением, возможно, выхода в глобальную сеть). Опция Отключение (Disconnection) позволяет отключить конкретного пользователя при обнаружении нарушений правил доступа. Эта опция доступна из утилиты Администратор удаленного доступа (Remote Access Administrator). При этом можно воспользоваться какие – ни будь средства распознавания некорректного поведения, например на основе обучаемых нейро - компьютеров. Последняя опция RAS – Сервера позволяет установить Разрешение на удаленный доступ(Dial-in Permission). Эта опция устанавливает разрешение на удаленный доступ к сети только тем пользователям, которым он необходим. На администраторе лежит обязанность постоянно контроля над состоянием этой опции. Разрешение должно даваться только на действительно необходимый интервал времени.
Существует множество других методов удаленного доступа. Все устройства или службы предназначенные для внешних соединений должна быть проверены на возможность проникновения в сеть. Альтернативный подход состоит в использовании Дистанционного управления. Дистанционно управление означает управление мощным многопользовательским центральным компьютером с удаленного «домашнего» компьютера, аналогично тому, как использовались терминалы для управления большими компьютерами. При этом происходит обмен командами, посылаемыми с клавиатуры или с помощью мыши и видеоинформацией, отображаемой на дисплее. Каналы связи не используются для передачи непосредственно данных. Такие сетевые компьютеры носят название «тонких клиентов». Удаленный пользователь создает «черный вход в сеть» и управление безопасностью обеспечивается только самими средствами удаленного доступа. Это означает, что операционная система не различает удаленного и обычного пользователя.
Следующий шаг – это установление Политики учетной записи(Account Policy). Это одна из доступных в Диспетчере пользователей политик. Следует сразу отметить, что некоторые параметры влияют сразу на все учетные записи пользователей – вот почему политика не устанавливается в окне Новый пользователь. Все параметры этой политики имеют прямое отношение к безопасности. Эти установки уже обсуждались в качестве приведенного выше примера установок Политики паролей учетной записи.
Политика прав пользователей –доступна из меню Политики - Права пользователей в Диспетчере пользователей. Эта политика позволяет настроить некоторые важные права пользователей или групп пользователей. При этом можно расширить список доступных прав, установив опцию «Показать дополнительные права» (Show Advanced Users Rights). Однако, как уже отмечалось, права пользователям следует предоставлять только в крайних случаях и на временной основе. Разумеется за исключением пользователей стандартных групп, таких как, например Администраторы (Administrators). К таким «специальным» правам можно отнести:
· Доступ к компьютеру из сети (Access This Computer from Network). Это просто право войти в домен, которое по умолчанию предоставлено группе «Все» (Everyone).
· Добавление рабочей станции к домену (Add Workstations to the Domain). При этом добавленная в домен рабочая станция получает доступ к списку пользователей домена и глобальным группам. По умолчанию это право принадлежит членам группы Администраторы и группы Операторы сервера.
· Архивирование файлов и каталогов (Back up Files and Directories). Это опасное для сети право, так как разрешает чтение всех файлов, независимо от прав файловой системы, назначенных пользователю. По умолчанию им обладают члены групп Администраторы, Операторы сервера и Операторы архива.
· Обход перекрестной проверки (Bypass Traverse Checking). Позволяет перемещаться по структуре каталогов, даже если это запрещено правами файловой системы. Видеть можно, но ничего делать нельзя. Обычно это право предоставлено группе Все, поскольку напрямую не связано с реальной угрозой ресурсам.
· Изменение системного времени (Change the System Time). Системное время оказывает влияние на процессы, происходящие в режиме реального времени и использовать его можно, как обычно, только по необходимости. По умолчанию это право групп Администраторы и Операторы сервера.
· Принудительное завершение с удаленной системы (Force Shutdown from Remote System). Возможность завершить работу системы с соединения удаленного доступа. По умолчанию это право групп Администраторы и Операторы сервера.
· Вход в качестве службы (Log on as Service). Право, позволяющее зарегистрироваться в контроллере домена в качестве службы. Нестандартная ситуация. По умолчанию право никому не принадлежит.
· Локальный вход в систему (Log on Locally). Пользователь может воспользоваться этим правом для входа в контроллер домена с сервера (компьютера с серверной операционной системой). Достаточно опасное право, которое предоставлено группам Администраторы и Операторы сервера.
· Управление аудитом и журналом безопасности (Manage Auditing and Security Log). Позволяет пользователям проводить аудит объектов файловой системы и обычно предоставлено группе Администраторы. Следует отметить, что обладателям этого права НЕ ДОСТУПНА настройка Политики аудита, то есть аудит такого пользователя невозможен. Право обычно предоставлено Администраторам.
· Восстановление файлов и каталогов (Restore Files and Directories). Используется как дополнение к праву Архивирование файлов и каталогов и позволяет восстанавливать файлы и каталоги. Поскольку источник «восстановления» может оказаться «некорректным» это крайне опасное право по умолчанию принадлежит Администраторам, Операторам архива и сервера.
· Завершение работы системы (Shut Down the System). Позволяет установить допуск пользователей к меню выключения. Актуально только для пользователей на контроллере домена. Пользователи рабочих станций используют это право без ограничений. По умолчанию принадлежит Администраторам и всем группам операторов.
· Владение файлами и другими объектами (Take Ownership of Files or other Objects). Позволяет пользователям стать владельцами объектов. Оно полезно, если владелец файла по какой-либо причине лишился права владения – например, истек срок действия его учетной записи. По умолчанию принадлежит Администраторам.
Теперь можно перейти к созданию Политики аудита.
Аудит.
Аудит предназначен для анализа произошедших в системе событий с целью обнаружения некорректного поведения процессов. Аудит основан на сборе информации об объектах с помощью настройки Политики аудита в Диспетчере пользователей аналогично настройкам других политик. В результате при включенном аудите определенные события будут регистрироваться в Журнале безопасности. Анализ Журнала безопасности (автоматизированный или ручной) может позволить обнаружить несанкционированные действия со стороны тех или иных процессов и поставить заслон на пути вредоносных программ. Как уже отмечалось, настройка политики аудита осуществляется с помощью Диспетчера пользователей. С помощью этой политики можно установит контроль над успешными и неудачными событиями в системе. Для этого в диалоговом окне Политики аудита необходимо выбрать события, доступные для аудита. Это могут быть следующие опции:
· Вход и выход (Logon and Logoff). Эта опция включает записи всех возможных попыток входа в сеть и выхода из нее. Данные позволяют контролировать историю обращений в сеть.
· Доступ к файлам и объектам (File and Object Access). Отслеживает доступ к файлам и другим объектам. При этом контролируются как отдельные файлы, для которых включен режим аудита, так и объекты, например диск или каталог.
Защита паролей
Первоначальная установка пароля пользователя, как уже отмечалось, осуществляется при создании учетной записи с помощью Диспетчера пользователей. При этом, можно заставить пользователя изменить установленный пароль при первом входе, разрешить ему менять пароль по его усмотрению или запретить ему изменение. В политике паролей предусмотрены срок действия, длина и уникальность пароля, а также параметры учетной записи, описывающие реакцию на некорректное использование пароля. Все эти меры, однако, могут быть уничтожены неправильным выбором пароля. Поэтому в Политике безопасности предприятия следует уделить самое пристальное внимание требованиям к выбору и смене паролей. Для группы администраторов, естественно, должны устанавливаться самые высокие требования по защите паролей.
Следующие правила позволяют избежать появления известных, связанных с самим паролем лазеек.
· Длину пароля следует ограничить снизу значением, соответствующим возможностям пользователя распоряжаться ресурсами. Как уже отмечалось, эта длина должна быть в любом случае не менее 6 символов. При наличии особо охраняемых групп пользователей длина должна быть увеличена вдвое. Пользователей можно группировать в соответствии с степенью секретности информации, к которой у них имеется доступ. Можно предложить следующие 5 уровней секретности материалов:
o Неклассифицированные – материалы этого уровня секретности не ограничены по распространению и изменению.
o Важные – раскрытие или изменение этих материалов может нанести некоторый вред. Для сохранения этих материалов требуются специальные меры. Важные материалы могут быть градуированы по различным степеням важности. Обычно степени устанавливаются, если размер ущерба от несанкционированного доступа меняется в разы для различных степеней.
o Секретные – раскрытие или изменение этой информации затрагивает вопросы существования организации или связанных с ней контрагентов.
o Совершенно секретные – раскрытие или изменение этой информации безусловно приведет к гибели организации или связанных с ней контрагентов.
Каждое повышение класса опасности обычно сопровождается увеличением вдвое длины пароля.
· Пароль – это набор символов, цифр и букв. Пароль - всегда шифр. Хороший пароль – это хорошо зашифрованный пароль. Поэтому в Политике безопасности предприятия следует предусмотреть правило шифрования для создания паролей. Пользователи всех групп опасности должны создаваться только с соблюдением этого правила.
· В Политике безопасности предприятия следует предусмотреть не только правила изменения, но и правила хранения и передачи паролей. Файл, содержащий зашифрованные пароли называется SAM и хранится в подкаталоге SYSTEM32/CONFIG. Этот файл находится в общем использовании всех пользователей, но постоянно открыт и поэтому к нему нет доступа. Однако резервные копии этого файла с расширением .SAV находятся в этом же каталоге. Кроме того, резервную копию этого файла содержит вспомогательный аварийный загрузочный диск (если он создан администратором). Далее команда <NET USER> показывает список пользователей в домене, а команда <NET LOCALGROUP Administrators> предоставит список членов группы администраторов. Команда <FINGER> (для систем на которой запущена служба Finger) осуществляет вывод сведений о пользователях удаленной системы, указанных в параметрах команды. Таким образом, следует предусмотреть защиту от доступа к указанным файлам, от вредоносного кода, исполняющего указанные команды, и от запуска нарушающих безопасность служб.
Эти меры помогут избежать несанкционированного проникновения в систему методами лобовой атаки.
Лобовая атака – процесс вскрытия паролей в файле паролей простым перебором с использованием списка сгенерированных паролей. Такая атака нередко называется также атакой на пространство ключей.
Словарная атака - близкий по смыслу термин – вариант лобовой атаки, при котором список паролей создается на основе использования вероятных, семантически оправданных терминов или слов обычного языка.
Системная политика
Ранее уже приводились примеры политик безопасности, связанных с учетной записью пользователя - политика учетной записи: политика паролей учетной записи, политика прав пользователей, политики аудита. Этого оказывается недостаточно при решении задач контроля за распределением доступа к ресурсам в конкретной сети. Необходимо иметь удобный инструмент организации собственных политик для тех или иных групп компьютеров или групп пользователей, регулируя, например, доступ к значениям ключей в реестре операционной системы. Такие, дополнительно созданные политики носят название Системных политик, поскольку имеют отношение к регламенту взаимодействия пользователей с Операционной системой.
Создание и редактирование Системных политик осуществляется с помощью Редактора системных политик (System Policy Editor), расположенного в группе мастеров администрирования и доступного из меню Пуск - Администрирование.
Политикой может называться любой набор установок, ограничивающих возможности пользователей и делающий более удобным процесс администрирования. Вообще говоря, все настройки в той или иной политике с помощью Редактора системных политик могут быть проделаны «вручную», например, с помощью Редактора реестра. Однако, Редактор системной политики предоставляет более удобный и, следовательно, надежный способ управления безопасностью компьютеров.
Системные опции, которые можно установить в той или иной политике представлены в виде древовидной структуры. Каждая ветвь соответствует определенному набору параметров системы.
Файлы, созданные редактором системной политики и предназначенные для конкретных компьютеров, групп компьютеров, пользователей, групп пользователей или всей сети в целом имеют расширение .POL. Можно подготовить несколько различных вариантов политик в независимом пространстве с тем, чтобы использовать разные политики при разных обстоятельствах.
Следует отметить, что изменения в реестре, установленные с помощью Редактора политик реализуются не сразу, а только после того, как политика записывается в определенное место при установлении связи с удаленным компьютером и пользователь входит в систему.
Существуют политики двух типов – компьютерные и пользовательские ( в том числе групповые). При этом, установки, предусмотренные компьютерной политикой затрагивают всех пользователей этого компьютера. Установки пользовательской политики затрагивают только определенного пользователя (группу пользователей). Для Windows NT группирование компьютеров при реализации политик не предусмотрено.
Всегда существуют политики по умолчанию Компьютерная политика по умолчанию (Default Computer Policy) и Пользовательская политика по умолчанию (Default User Policy). Эти политики предназначены для исполнения в том случае, если отсутствуют другие настроенные для этого пользователя или этого компьютера политики.
Как уже отмечалось, политики вступают в силу во время входа пользователя в систему, при этом процесс аутентификации выполняет необходимые изменения в реестре компьютера. Поэтому, после входа в систему, можно только менять политики для локального пользователя или локального компьютера, импорт новой политики с контроллера домена без повторного входа невозможен.
Файлы политик обычно располагаются в совместно используемом сетевом каталоге контроллера домена – winnt\system32\repl\export\. Следует отметить, что это стандартное место расположения можно изменить. Для этого следует установить новое место расположения файла политик в ключе реестра HKEY_LOCAL_MASHINE\System\CurrentControlSet\Control\Update, установив элемент UpdateMode = 2 и соответствующее значение элементы NetworkPath. (По умолчаию UpdateMode =1 и политика располагается в каталоге общих сетевых ресурсов Netlogon). NetworkPath должен представлять собой UNC путь, то есть иметь формат \\computername\sharename\filename.pol.
Создание новой политики с помощью Редактора политик начинается с выбора компьютера, для которого эта политика предназначена (выбор в меню редактора опции Edit-Add Computer). Любой компьютер при входе на сервер вначале будет искать компьютерную политику с именем, которым обладает подключаемый компьютер. Обнаружив политику, он применит эту политику к реестру компьютера. В противном случае он применит Компьютерную политику по умолчанию (Default Computer Policy).
Каждая политика может быть установлена в одно из следующих состояний:
· Контролируется (Checked). Политика в действии. Возможно внесение изменений в свойства.
· Очищено (Clear). Политика не задействована.
· Серый фон (Gray). Опцию политики нельзя изменить клиентским компьютером и она сохраняет значение, установленное на сервере.
Политики по умолчанию (Default Computer Policy, Default User Policy) установлены в состояние Серый фон - опции этих политик нельзя изменить клиентским компьютером.
Установки политик имеют древовидную структуру, аналогичную структуре реестра. Устанавливая параметры ключей из различных разделов можно осуществить необходимую модификацию политики. Дерево компьютерной политики , в том числе политики Default Computer, для Windows NT включает в себя следующие разделы:
· Сеть (Network)
· Система (System)
· Сеть Windows NT (Windows NT Network)
· Принтеры Windows NT (Windows NT Printers)
· Удаленный доступ Windows NT (Windows NT Remote Access)
· Оболочка Windows NT (Windows NT Shell)
· Система Windows NT (Windows NT System)
· Профили пользователей Windows NT (Windows NT User Profiles)
Каждый раздел содержит набор ключей, которые позволяют модифицировать различные параметры. Список этих ключей приводится ниже. При этом, в качестве заголовка используется название представленного выше раздела политики, в качестве подзаголовков – имена ключей, содержащихся в соответствующем разделе. Подзаголовки следующего уровня – названия параметров (установок) и соответствующие им описания.
Сеть (Network)
· Удаленная модификация (Remote Update) – ключ, содержащий описание места расположения файла Config.nt. Этот ключ содержит следующие установки:
o Режим модификации (Update mode). По умолчанию UpdateMode =1 и политика располагается в каталоге общих сетевых ресурсов Netlogon. При UpdateMode = 2, операционная система выполнит поиск в указанном месте. (Естественно, структура файла политики аналогична с соответствующему разделу реестра HKEY_LOCAL_MASHINE\System\CurrentControlSet\Control\ Update, рассмотренного выше.)
o Путь для ручной модификации (Path for manual update) – это место расположения файла политики в виде \\servrer\share\file.pol.
o Показать сообщение об ошибках (Display error message). Разрешает отображать окно диагностики ошибок при доступе к файлу политик.
o Баланс при загрузке (Load balancing) устанавливает возможность загружать файл политик с альтернативного (не основного) контроллера домена, минуя основной контроллер. Обычно используется в случаях перегруженности основного домена.
Система (System)
В реестре содержит 2 ключа:
· SNTP Простой протокол управления сетью (Simple Network Management Protocol). Этот протокол описывает, как устройства на базе технологии Интернет – файловые серверы и клиенты – используют протокол TCP/IP. При этом службу SNMTP следует предварительно установить в системе и только после этого устанавливать следующие опции:
o Объединения (Communities) позволяет добавлять устройства в SNTPобъединения
o Допущенные менеджеры (Permitted Managers) устанавливает список тех, кто получит право управлять службой SNMP.
o Внутренние прерывания для общедоступного объединения (Traps for Public Community) устанавливает список общедоступных объединений, получающих сообщения о внутренних прерываниях. Устанавливается обычно, если объединения не охватывают данный компьютер.
· Выполнение (RUN) – ключ, содержащий список программ, которые выполняются при включении компьютера. Это могут быть как программы как ответственные за безопасность, так и административные действия – от поиска вирусов до восстановления содержимого диска в исходное состояние.
o Пункты для выполнения (Items to run) устанавливает список программ, выполняемых при запуске операционной системы. В частности, для включения программ поиска вирусов в меню начальной загрузки следует установить опцию RUN Security Policy.
Сеть Windows NT (Windows NT Network)
Содержит два ключа, которые контролируют скрытые совместно используемые ресурсы Windows NT – скрытые общие диски. (Важная цель для хакера). Следует по - возможности избегать использования общих ресурсов, пока не возникнет особая необходимость для их создания (например, для использования Административных средства контроля).
· Создание скрытых общих дисков (Рабочая станция) (Create Hidden Drive Shares (Workstation)). При выборе этой опции рабочие станции Windows NT начинают создавать административные ресурсы C$, D$ и другие скрытые общие ресурсы, а также каталог Admin$. Обнуление этой опции запрещает их создание.
· Создание скрытых общих дисков (Сервер) (Create Hidden Drive Shares (Server)) При выборе этой опции сервер Windows NT начинает создавать административные ресурсы C$, D$ и другие скрытые общие ресурсы, а также каталог Admin$. Обнуление этой опции запрещает их создание.
Принтеры Windows NT (Windows NT Printers)
Только одна из трех опций для принтеров имеет непосредственное отношение к безопасности – это опция Отключения управления просмотром (Disable Browse Thread).
· Отключения управления просмотром на этом компьютере (Disable Browse Thread on this Computer). При выборе этой опции компьютер не сообщает программам просмотра сетевых ресурсов о существовании подключенных к нему принтеров. В списках принтер будет отсутствовать, однако, при этом сохраняется возможность обращения к принтеру непосредственно по его адресу в сети.
· Приоритет планировщика (Scheduler Priority) устанавливает приоритетность печати по отношению к прикладным программам.
· Звуковой сигнал оповещения ошибки (Beep for Error Enabled) Установка этой опции заставит компьютер при возникновении ошибки печати подавать каждые 10 с звуковой сигнал.
Удаленный доступ Windows NT (Windows NT Remote Access)
Установки действуют на компьютерах с установленной службой удаленного доступа (Remote Access Service – RAS).
· Служба удаленного доступа (Remote Access Service – RAS).
o Максимальное число неудачных попыток аутентификации (Max Number of Unsuccessful Authentication Retries) определяет число попыток пользователя ввести свое имя и пароль. Значение по умолчанию равно 2. Это означает, что пользователь имеет три попытки ввода пароля при каждом соединении. Чем меньше количество попыток при каждом соединении, тем сложнее хакеру подобрать пароль.
o Максимальный интервал времени для аутентификации (Max Time Limit for Authentication) определяет предел времени ожидания ввода пользователем имени и пароля. Значение по умолчанию равно 2 мин.
o Время ожидания обратного вызова (Wait Interval for Callback) это время, в течение которого сервер будет задерживать обратный вызов клиента. Технология обратного вызова обсуждалась ранее. См. Контроль удаленного доступа к сети
o Автоматическое разъединение(Auto Disconnect)значение, установленное в качестве времени автоматического разъединения связи устраняет возможность монопольного соединения.
Оболочка Windows NT (Windows NT Shell)
· Заказные общие папки (Custom Shared Folders) устанавливает места хранения компонентов рабочего стола, что напрямую не связано с безопасностью, но, тем не менее доступно в редакторе. Этот ключ имеет следующие опции.
o Заказные общие папки (Custom Shared Folders) представляет собой путь к месту хранения совместно используемых программ. По умолчанию это %SystemRoot\Profiles\AllUsers\StartMenu\Programs\
o Заказные общие пиктограммы (Custom Shared Desktop Icons) представляет собой путь к месту хранения совместно используемых пиктограмм рабочего стола. По умолчанию это %SystemRoot\Profiles\AllUsers\StartMenu\ Desktop \
o Заказное общее главное меню (Custom Shared Start Menu) путь к месту хранения совместно используемых элементов меню Start. По умолчанию это %SystemRoot\Profiles\AllUsers\StartMenu\
o Заказная общая папка Автозагрузка (Custom Shared Start Folder) путь к месту хранения совместно используемых элементов Начальная загрузка (SturtUp) По умолчанию это %SystemRoot\Profiles\AllUsers\StartMenu\Programs\Sturtup\
Система Windows NT (Windows NT System)
В этом разделе можно установить параметры входа и детали поведения файловой системы. Эти конфигурации имеют прямое отношение к системе безопасности
· Вход(Logon).Позволяет установить заголовок входа после аутентификации и способ выполнения сценариев входа.
o Заголовок входа (Logon Bunner)информирует пользователя о надлежащем использовании компьютера в сети, в том числе о правах и обязанностях, назначении компьютеров и т.п. и состоит из частей:
§ Подпись (Caption) – информация, отражаемая в заголовке баннера.
§ Текст (Text) – основная часть сообщения.
o Доступ к выключению из окна аутентификации (Enable Shut Down from Authentication Dialog Box) –Наиболее безопасная для сохранности данных в компьютере установка состоит в предоставлении возможности пользователю осуществить выключение компьютера из окна аутентификации. Альтернативная установка приведет к попыткам выключения «вручную».
o Не показывать на экране последнее зарегистрированное имя пользователя (Do not display Last Logged On User Name) – эта установка предотвратит «подглядывание» имен пользователей хакером, но усложнит контроль использования техники Администратору.
· Файловая система (File System). Три опции файловой системы предназначены главным образом для увеличения ее производительности.
o Не создавать имена файлов длиной 8.3 для длинных имен (Do not Create 8.3 File Names for Long File Names) При отключении этой опции система умеет работать как с длинными именами (Windows допускает имена до 254 знаков), так и старыми – короткими именами MS-DOS.
o Допускать дополнительные символы в именах файлов формата 8.3(Allow Extended Characters in 8.3 File Names)позволяет использовать набор символов Unicode в именах ASCII.
o Не модифицировать время последнего доступа (Do not Update Last Access Time)По умолчанию после каждого доступа (в том числе чтения) файловая система NTFS изменит время последнего доступа для данного файла. Отключение опции существенно увеличит производительность, сократив время, затраченное на эту модификацию. Тем не менее в системах с повышенной секретностью следует оставлять эту опцию без изменения, поскольку это позволяет точнее осуществлять аудит.
Профили пользователей Windows NT (Windows NT User Profiles)
Опции профиля пользователей в основном влияют на производительность.
· Удалить копии профилей «странствующих» пользователей (Delete Cached Copies of Roaming Profiles)– заставит клиентский компьютер всякий раз при выключении удалять профиль пользователя. Это экономит пространство на диске при большом числе пользователей, например, в студенческой аудитории.
· Автоматически определять низкоскоростные соединения (Automatically Detect Slow Network Connections)Эта опция позволяет операционной системе выбирать способ осуществления связи при входе в систему (низкоскоростное или быстрое сетевое соединение).
· Интервал ожидания низкоскоростного сетевого соединения (Slow Network Connections Timeout)Превышение времени установленного для загрузки профиля приведет к использованию профиля по умолчанию. По умолчанию значение 2000 мс.
· Интервал ожидания ввода для диалоговых окон (Timeout for Dialog Boxes) Превышение интервала ожидания приведет к продолжению процесса без вмешательства пользователя. По умолчанию 30 с.
Файловые системы.
Терминология:
· Кластер. Основная единица измерения информации, равная размеру нескольких секторов. (Параметр форматирования).
· Раздел. Пространство на диске, содержащее том.
· Том. Логическая структура файловой системы.
· Сектор. Основная единица физической памяти.
· Файловая система. Драйвер и структура используемая для хранения именованных данных в именованных контейнерах – файлах.
· Форматирование. Создание Тома в разделе.
Файловые системы – основа компьютерной безопасности. Существуют 2 вида файловых систем:
· FAT (File Allocation Table) – система для MS DOS, Windows 95(NT), OS/2, Macintosh OS, Unix в различных вариантах. Представляет собой один слегка избыточный список, начиная с таблицы распределения и области с именами каталогов и кончая связанным списком кластеров, которые образуют файл. Нормально функционирует почти на любой ОС. Однако обладает недостатками, в том числе:
o Низкая отказоустойчивость.Отсутствие методов восстановления файловой системы. Возможно появление ссылок на пустые места при неожиданном выключении компьютера. Необходимость использования специальных средств восстановления.
o Единственный пользователь. Не содержит информации о владельцах объектов. Не предусмотрены меры безопасности. Несколько атрибутов – скрытые файлы или «только для чтения» легко изменить постороннему пользователю.
o Неоптимальная стратегия обновления. Информация о каталогах расположена в первых секторах диска, которые обновляются всякий раз при каких – либо изменениях.
o Неоптимальная фрагментация. Запись в первый свободный сектор, игнорируя неполное заполнение других секторов. Удаление неизбежно приводит к фрагментации.
o Ограничение размера имен. Имя файла не более 8.3 символов. Более длинные имена хранятся в атрибутах файлов.
o Ограничение объема. 2 Гб.
Сетевая безопасность может обеспечиваться на уровне разрешения доступа к совместно используемым сетевым ресурсам. Однако, такой вид безопасности не применим для служб, предоставляющих межсетевой доступ к локальной и анонимной учетной записям пользователей. (Используется в IIS – Intranet Information Server). В результате пользователи обладают незащищенным доступом к жесткому диску IIS сервера, установленного на FAT.
· NTFS (New Technology File System). Обладает несколькими возможностями обеспечения отказоустойчивости:
o Запись в файл регистрации транзакций (операций записи).
o Быстрое восстановление.
o Зеркальное отображение дисков.Точное дублирование данных.
o Расщепление дисков с контролем четности.
Запись в файл регистрации транзакций.При записи в том NTFC оба состояния изменяемого файла первоначально записываются в специальном системном файле – файле транзакций. Затем, после удачной транзакции, журнал очищается. Этот процесс носит название прохождение контрольной точки. При невозможности завершить транзакцию происходит «откат» в первоначальное состояние с использованием предыдущей версии файла. ОС использует файл транзакций для восстановления, выполняя последовательно три операции:
· Анализ. Определяет последовательность действий для восстановления каждого открытого файла.
· Повторение. Пытается исправить данные, если в файле транзакций существует необходимая информация.
· Возврат. Устанавливает данные в последнее известное нормальное состояние.
Запись в файл транзакций гарантирует стабильность файловой системы, но не гарантирует, что данные не будут потеряны в случае неожиданного выхода из строя системы.
Оперативная коррекция. NTFC автоматически определяет ошибку записи в секторе, помечает плохой кластер, выводит его из обращения и записывает данные в другой кластер. SCSI интерфейс поддерживает эту операцию на аппаратном уровне.
Зеркальное отображение дисков. NTFC предоставляет возможность создать в системе зеркальное отображение тома, хранящее те же данные. Это особенно важно для безопасного содержания загрузочных дисков.
ПроизводительностьNTFC. NTFC осуществляет кэширование данных и хранит их в кэше до тех пор, пока не предоставится удобный момент для записи не диск. Данные в КЭШе будут потеряны при сбое системы. Если определен зеркальный набор, чтение осуществляется с обоих дисков, что вдвое сокращает время доступа к файлу. При наличии расщепления дисков, данные распределяются по нескольким дискам, что пропорционально уменьшает время доступа. NTFC при сохранении поддерживает сжатие файлов, которое в среднем вдвое уменьшает объем файлов и, соответственно время записи-чтения. Однако на сервере приложений это приводит к снижению скорости выполнения операций.
Безопасность NTFC. NTFC предоставляет ряд мер защиты:
· Права доступа, полученные на основе учетных записей.
· Аудит. Информация о событиях, касающихся файловой системы может записываться в журнал безопасности. NTFC записывает время обращения к файлу по любому доступу. Чтобы сократить время обращения, затраченное на эту операцию, следует исключить эту опцию с помощью System policy Editor.
· Владение информацией. Пользователь, создавший файл или каталог становится его владельцем и имеет на него все права. Администратор может вступить в права владения файла или каталога.
· Безопасное уничтожение файла. Сектора, не перечисленные в таблице размещения диска не доступны – данные из них не возвращаются. Всякий раз, когда требуется операция низкоуровневого доступа к кластеру диска, NTFC проверяет наличие кластера в таблице размещения. Если кластер отсутствует, то возвращаются нули, независимо от содержимого секторов. Однако сохраняется возможность считывания из других операционных систем.
· Наборы томов. NTFC позволяет связать все диски в один большой диск, именуемый «набор томов». Это удобное средство отрицательно сказывается на безопасности из-за возникающей зависимости дисков в наборе – любой ошибочный диск испортит общение со всем набором. Производительность при этом не увеличивается.
· Длинные имена файлов. 255 символов. Можно, используя редактор системной политики, ограничить размер до 8.3.
· Выделение дисковых квот. Позволяет назначать определенным пользователям определенный объем свободного дискового пространства, однако Windows этого не делает, в отличие от других ОС. Это возможно с помощью программ сторонних разработчиков.
Права доступа.Как уже отмечалось, для каждого файла, каталога и тома устанавливается список управления доступом DACL, в котором перечислены пользователи и группы, обладающие правами доступа. Список содержит элементы управления доступом ASE. Следует отметить, что права доступа распространяются только на локальную машину и не имеют силы для сетевой службы. Права доступа обладают приоритетом над разрешениями на пользование общими ресурсами. К разрешениям пользования каталогами относятся:
· Доступ запрещен. Препятствует любой попытке доступа к каталогу и файлам в нем.
· Список. Позволяет просматривать имена файлов и каталогов и запрещает к ним доступ, если нет других прав доступа.
· Чтение. Возможность открывать файлы и запусктьпрограммы.
· Добавление. Возможность добавлять каталоги, даже если нет «чтения».
· Изменение. Это чтение, добавление и удаление файлов и каталогов.
· Полный контроль. Помимо изменения предоставляет владение файлом с возможностью изменения имени владельца и назначения разрешений.
Для установки разрешений можно использовать утилиту CACLS (Command-line Access Control ListS). Набранное в командной строке: CACLS - отображает инструкцию по использованию команды.
Общий вид командыCACLS (в [] - необязательные параметры):
CACLS имяФайла [/T] [/E] [/C] [/G имя:доступ] [/R имя […]] [/P имя:доступ […]] [/D имя […]]
· имяФайла- имя обрабатываемого файла. Для выбора нескольких файлов используются подстановочные знаки. При отсутствие необязательных параметров выводит содержимое таблицы управления доступом (ACL).
· /T –Замена ACL для всех указанных файлов в текущем каталоге и всех подкаталогах.
· /E –Изменение ACL вместо ее замены.
· /C –продолжение при ошибках отказа в доступе.
· /G – имя:доступ– определение разрешений для указанных пользователей. При этом доступ:
o R – чтение
o W – запись
o C – изменение
o F – полный доступ
· /R имя –отзыв разрешений для пользователя. (Только вместе с /E)
· /P имя:доступ –замена разрешение для указанного пользователя. При этом доступ:
o N - отсутствует
o R – чтение
o W – запись
o C – изменение
o F – полный доступ
· /D имя –запрет на доступ для указанного пользователя.
· Сокращения (могут располагаться перед доступом):
o (CI) – ASE будет унаследован папками
o (IO) - ASE будет унаследован файлами
o (OI) - ASE не будет применим к текущему файлу (только наследование).
При предоставлении разрешений рекомендуется придерживаться следующих правил:
· Осуществлять жесткие меры безопасности ко всем без исключения файлам.
· Заменить на всех дисководах, кроме загрузочных и системных, принятое по умолчанию Полный доступ (Full Control) для групп Все (Everyone) и Пользователи домена (Domain Users).
· Назначать права доступа только «по необходимости», разделив пользователей на необходимое количество групп.
· Использовать Нет доступа (No Access) только при необходимости запрета другого разрешения доступа.
· Использовать специальные утилиты третьих фирм для аудита и управления доступом.
Пример использования утилиты:
· CD\WINNT\SYSTEM32\DRIVERS
· CACLS *.* /E /C /P DomainUsers:R
Из-за большого числа совместно используемых ресурсов обязательно будут происходить конфликты прав доступа. Как участник нескольких группах пользователь в одних группах может обладать правами доступа, в других – нет. Поэтому используются следующие регламентирующие соглашения:
· Администраторы всегда имеют полный доступ ко всем ресурсам системы, однако доступ может быть отклонен, если в DACL нет администратора, до тех пор, пока не будет получено право на владение объектом.
· Права объединяются и назначается максимально возможный приоритет.
· No Access имеет максимальный приоритет.
· При наличии конфликта выбирается максимально строгое правило. Например, если право доступа к общему ресурсу «Полный контроль», а в файловой системе лишь «Чтение», файл становится доступным только для чтения.
Копирование файла в отличие от перемещения меняет права доступа на права нового файла в принимающем каталоге.
ПРИЛОЖЕНИЕ
Классическое меню Пуск (Classic Start Menu) применялось в предыдущих версиях Windows. По щелчку кнопки Пуск (Start) на экране появляется меню, открывающее доступ к остальным меню и командам.
Чтобы с помощью классического меню получить доступ к средствам администрирования, щелкните кнопку Пуск (Start), затем Программы (Programs), затем Администрирование (Administrative Tools). Доступ к Панели управления