Проблема компьютерной безопасности не нова. Каждый, кто использует компьютерные сети, нуждается в средствах обеспечения безопасности. Статистика показывает, что в большинстве случаев несанкционированного проникновения в систему можно избежать, если системный администратор уделяет должное внимание средствам защиты. Эффективность обеспечения безопасности компьютерных систем всегда зависит от качества настройки программно-аппаратных средств. Операционная система Windows NT имеет богатый набор средств защиты. Однако установленные по умолчанию значения параметров защиты не всегда удовлетворяют предъявляемым требованиям. Рассмотрим основные средства и методы обеспечения безопасности, входящие в состав Windows NT 4.0 и 5.0.
Физическая защита
К физическим средствам защиты относится:
- обеспечение безопасности помещений, где размещены серверы сети;
- ограничение посторонним лицам физического доступа к серверам, концентраторам, коммутаторам, сетевым кабелям и другому оборудованию;
- использование средств защиты от сбоев электросети.
Администрирование учетных записей
В функции Менеджера учетных записей входит поддержка механизма идентификации и проверки подлинности пользователей при входе в систему. Все необходимые настройки хранятся в базе данных Менеджера учетных записей. К ним относится:
- учетные записи пользователей;
- учетные записи групп;
- учетные записи компьютеров домена;
- учетные записи доменов.
База данных Менеджера учетных записей представляет собой куст системного реестра, находящегося в ветви HKEY_LOCAL_MACHINE, и называется SAM ( рис.1). Как и все остальные кусты, он хранится в отдельном файле в каталоге %Systemroot%\System32\Con fig, который также носит название SAM. В этом каталоге обычно находятся минимум два файла SAM: один без расширения – сама база учетных записей; второй имеет расширение .log – журнал транзакций базы.
Наиболее интересным является раздел учетных записей пользователей: в них хранится информация об именах и паролях. Следует заметить, что пароли не хранятся в текстовом виде. Они защищены процедурой хеширования. Это не значит, что, не зная пароля в текстовом виде, злоумышленник не проникнет в систему. При сетевом подключении не обязательно знать текст пароля, достаточно хешированного пароля. Поэтому достаточно получить копию базы данных SAM и извлечь из нее хешированный пароль.При установке системы Windows NT доступ к файлу %Systemroot%\System32\Config\sam для обычных программ заблокирован. Однако, используя утилиту Ntbackup, любой пользователь с правом Back up files and directories может скопировать его. Кроме того, злоумышленник может попытаться переписать его копию (Sam.sav) из каталога %Systemroot%\System32\Config или архивную копию (Sam._) из каталога %Systemroot%\Repair.Поэтому для защиты информации, хранящейся в базе данных SAM, необходимо следующее:
- исключить загрузку серверов в DOS-режиме ( все разделы установить под NTFS, отключить загрузку с флоппи- и компакт-дисков, желательно установить на BIOS пароль ( хотя эта мера уже давно устарела, поскольку некоторые версии BIOS имеют “дырки” для запуска компьютера без пароля, все-таки злоумышленник потеряет на этом время для входа в систему);
- ограничить количество пользователей с правами Backup Operators и Server Operators;
- после установки или обновления удалить файл Sam.sav;
- отменить кэширование информации о безопасности на компьютерах домена (имена и пароли последних десяти пользователей, регистрировавшихся ранее на данном компьютере, сохраняются в его локальном реестре). Используя утилиту Regedt32, добавить в реестр в раздел
- HKEY_LOCAL_MACHINE\Microsoft|Windows NT\CurrentVersion\WinLogon:
- Параметр CachedLogonsCount
- Тип REG_SZ
- Значение 0
Один из популярных методов проникновения в систему — подбор пароля. Для борьбы с этим обычно устанавливают блокировку учетной записи пользователя (Account Lockout) после определенного числа неудачных попыток входа, используя для этого утилиту User Manager в диалоговом окне Account Policy, доступном через меню Polcies/Accounts (рис. 2);
Рис. 2 |
Приятным исключением является учетная запись администратора. И если он имеет право на вход через сеть, это открывает лазейку для спокойного угадывания пароля. Для защиты рекомендуется переименовать пользователя Administrator, установить блокировку учетных записей, запретить администратору вход в систему через сеть, запретить передачу SMB (рассмотрен далее) пакетов через TCP/IP (порты 137,138,139), установить протоколирование неудачных входов;
- необходимо ввести фильтрацию вводимых пользователем паролей, установить Service Pack 2 или 3 ( используется динамическая библиотека Passfilt.dll). Данная библиотека при создании нового пароля проверяет, что:
- длина пароля не менее шести символов;
- содержит три набора из четырех существующих:
- прописные группы латинского алфавита A, B,C,…,Z;
- строчные группы латинского алфавита a,b,c,…,z;
- арабские цифры 0,1,2,…,9;
- не арифметические (специальные) символы, такие, как знаки препинания.
- пароль не состоит из имени пользователя или любой его части.
Для включения данной фильтрации необходимо в реестре в разделе
Параметр | Notification Packages |
Тип | REG_MULTI_SZ |
Значение | PASSFILT |
-
-
- Если этот параметр уже существует и содержит величину FPNWCLNT (File Personal NetWare Client), то допишите новую строку под FPNWCLNT. Если же вам мало наборов фильтра, то создайте свою библиотеку, используя статью Q151082 в Microsoft KnowledgeBase, где приведен пример написания модуля фильтра.
-
Защита файлов и каталогов (папок)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
добавить
Операционная система Windows NT 4.0 поддерживает файловые системы FAT (File Allocation Table) и NTFS (New Technology File System). Напомним, что первая поддерживается такими известными операционными системами, как MS-DOS, Windows 3.X, Windows 95/98 и OS/2, вторая — только Windows NT. У FAT и NTFS различные характеристики производительности, разный спектр предоставляемых возможностей и т.д. Основное отличие файловой системы NTFS от других (FAT, VFAT (Virtual File Allocation Table), HPFS) состоит в том, что только она одна удовлетворяет стандарту безопасности C2, в частности, NTFS обеспечивает защиту файлов и каталогов при локальном доступе.
Поскольку файлы и каталоги в Windows NT являются объектами, контроль безопасности осуществляется на объектном уровне. Дескриптор безопасности любого объекта в разделе NTFS содержит два списка контроля доступа (ACL) — дискреционный (discretionary ACL (DACL)) и системный (system ACL (SACL)).
-
-
- Защиту ресурсов с использованием FAT можно организовать с помощью прав доступа: Чтение, Запись, Полный. Таким образом, можно рекомендовать создавать дисковые разделы NTFS вместо FAT. Если все же необходимо использовать раздел FAT, то его надо сделать отдельным разделом для приложений MS-DOS и не размещать в нем системные файлы Windows NT.В операционной системе Windows NT управление доступом к файлам и каталогам NTFS возлагается не на администратора, а на владельца ресурса и контролируется системой безопасности с помощью маски доступа (access mask), содержащейся в записях списка контроля доступа ACL.Маска доступа включает стандартные (Synchronize, Write_Owner, Write_Dac, Read_Control, Delete), специфические (Read (Write) _Data, Append_Data, Read(Write )_Attributes, Read(Write)_ExtendedAttributes, Execute) и родовые (Generic_Read(Write), Generic_Execute) права доступа. Все эти права входят в дискреционный список контроля доступа (DACL). Вдобавок маска доступа содержит бит, который соответствует праву Access_System_Security. Это право контролирует доступ к системному списку контроля доступа (SACL).В списке DACL определяется, каким пользователям и группам разрешен или запрещен доступ к данному ресурсу. Именно этим списком может управлять владелец объекта.Список SACL задает определенный владельцем тип доступа, что заставляет систему генерировать записи проверки в системном протоколе событий. Только системный администратор управляет этим списком.На самом же деле для администрирования используются не отдельные права доступа, а разрешения (permissions) NTFS. Разрешения подразделяются на:
индивидуальные — набор прав, позволяющий предоставлять пользователю доступ того или иного типа (табл.1.1);стандартные — наборы индивидуальных разрешений для выполнения над файлами или каталогами действий определенного уровня (табл.1.2);специальные — комбинация индивидуальных разрешений, не совпадающие ни с одним стандартным набором (табл.1.3).
- Защиту ресурсов с использованием FAT можно организовать с помощью прав доступа: Чтение, Запись, Полный. Таким образом, можно рекомендовать создавать дисковые разделы NTFS вместо FAT. Если все же необходимо использовать раздел FAT, то его надо сделать отдельным разделом для приложений MS-DOS и не размещать в нем системные файлы Windows NT.В операционной системе Windows NT управление доступом к файлам и каталогам NTFS возлагается не на администратора, а на владельца ресурса и контролируется системой безопасности с помощью маски доступа (access mask), содержащейся в записях списка контроля доступа ACL.Маска доступа включает стандартные (Synchronize, Write_Owner, Write_Dac, Read_Control, Delete), специфические (Read (Write) _Data, Append_Data, Read(Write )_Attributes, Read(Write)_ExtendedAttributes, Execute) и родовые (Generic_Read(Write), Generic_Execute) права доступа. Все эти права входят в дискреционный список контроля доступа (DACL). Вдобавок маска доступа содержит бит, который соответствует праву Access_System_Security. Это право контролирует доступ к системному списку контроля доступа (SACL).В списке DACL определяется, каким пользователям и группам разрешен или запрещен доступ к данному ресурсу. Именно этим списком может управлять владелец объекта.Список SACL задает определенный владельцем тип доступа, что заставляет систему генерировать записи проверки в системном протоколе событий. Только системный администратор управляет этим списком.На самом же деле для администрирования используются не отдельные права доступа, а разрешения (permissions) NTFS. Разрешения подразделяются на:
-
Таблица 1.1
Похожие записи
Нет комментариев