АРХИВ СТАТЕЙ ЖУРНАЛА «МОЙ КОМПЬЮТЕР» ЗА 2003 ГОД

WiNTик с секретом

• Все журналы \ Номер 5/228 `2003 от 03.02.2003 \ WiNTик с секретом

В.Ф. БЕЗМАЛЫЙ

Windows NT/2000 — это единственное семейство операционных систем Microsoft, в котором с начального момента разработки было уделено должное внимание требованиям безопасности. Изначально была поставлена задача создать операционную систему, соответствующую требованиям уровня защищенности С2 — набора критериев, разработанного Национальным агентством США по безопасности (U.S. National Security Agency, NSA), в соответствии с которыми выполняется оценка защищенности компьютеров и работающего на них программного обеспечения.

Требования к операционной системе, защищенной по классу С2, включают:

обязательную идентификацию и аутентификацию всех пользователей операционной системы. Под этим понимается способность операционной системы идентифицировать всех пользователей, которые получают санкционированный доступ к системе, и предоставление доступа к ресурсам только этим пользователям;

разграничительный контроль доступа — предоставление пользователям возможности защиты принадлежащих им данных;

системный аудит — способность системы вести подробный аудит всех действий, выполняемых пользователями и самой операционной системой;

защита объектов от повторного использования — способность системы предотвратить доступ пользователя к информации ресурсов, с которыми до этого работал другой пользователь (например, обеспечение невозможности повторного использования освобожденной памяти или чтения информации из файлов, которые были удалены).

В процесс сертификации операционной системы по уровню защищенности С2 входят:

исследование исходного кода;

изучение документации о подробностях реализации, предоставленной разработчиками;

повторное тестирование с целью устранения всех ошибок, выявленных в ходе оценки.

2 декабря 1999 года правительство США объявило, что операционные системы Windows NT 4.0 Workstation и Windows NT 4.0 Server успешно прошли сертификацию по классу С2.

Что касается операционных системах из семейства Windows 2000, то говорить о защищенности по классу С2 пока еще рано — им процедура сертификации еще предстоит.

Разумеется, случаи несанкционированного вмешательства в работу компьютерных сетей — реальность сегодняшней жизни. Но гораздо более распространен случай, когда вред (причем неумышленный!) наносят пользователи, знающие недостаточно много, чтобы быть грамотными, но достаточно, чтобы представлять угрозу. Практически в каждой организации имеются любители запускать все исполнительные файлы подряд. Если им попадается на глаза один из редакторов реестра —Regedit.exe или Regedt32.exe, а меры по безопасности не приняты, то они могут мучить его до тех пор, пока не начнутся проблемы с загрузкой системы.

Обзор стандартных прав доступа в Windows 2000

Стандартные настройки системы безопасности Windows 2000 определяются правами по умолчанию, которые назначаются следующим группам:

Administrators (Администраторы) — пользователи этой группы обладают всеми правами на локальном компьютере или в домене;

Power Users (Опытные пользователи) — эта группа обладает правами, набор которых меньше, чем набор прав членов группы Administrators, но существенно шире, чем права, предоставленные группе Users.

Users (Пользователи) — при условии, что новая копия Windows 2000 (в отличие от случаев, когда производится обновление версии операционной системы) была установлена на разделе NTFS, стандартная настройка системы безопасности сконфигурирована так, что пользователям из группы Users не позволяется нарушать целостность операционной системы и установленных приложений. Пользователям из этой группы не дозволено устанавливать приложения, которые могут использоваться другими членами этой группы (это одна из мер защиты против «троянских коней»). Помимо этого, пользователи не могут получить доступ к данным других пользователей. Таким образом, для построения защищенной системы Windows 2000 Microsoft рекомендует конфигурировать систему таким образом, чтобы все конечные пользователи были членами только одной группы — Users, а приложения, необходимые для работы, устанавливать так, чтобы их мог запускать любой член группы Users.

Общие рекомендации по защите...

Microsoft официально рекомендует администраторам ограничивать доступ пользователям к целому ряду вложенных ключей, входящих в состав ключа HKEY_LOCAL_MACHINE\SOFTWARE. Основная цель этих операций заключается в предотвращении доступа неквалифицированных пользователей к параметрам настройки установленного в системе программного обеспечения.

Microsoft официально рекомендует ограничивать доступ к следующим ключам реестра:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion;

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows \CurrentVersion;

для группы Everyone достаточно иметь права доступа Query Value, Enumerate Subkeys, Notify и Read Control к ключу реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion и следующим вложенным подключам, имеющимся в его составе: AeDebug, Compability, Drivers, Embedding, Font Drivers, FontCache, FontMapper, Fonts, FontSubstitutes, GRE_Initialize, MCI, MCI Extensions, Ports (и всем вложенным ключам в составе ключа Ports), Type 1 Installer, Windows 3.1 MigrationStatus (и всем вложенным ключам в составе этого ключа), WOW (вложенным ключам в составе этого ключа);

Microsoft также рекомендует ограничить доступ пользователей к ключу реестра, управляющему данными о производительности системы — это ключ HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows NT\CurrentVersion\Perflib. Доступ к этому ключу должны иметь только операционная система (System), создатели ключа (Creator owner), члены группы Administrators и пользователи, зарегистрировавшиеся в системе интерактивно (Interactive).

Группа Everyone должна иметь ограниченные права доступа (только права типа Query Value, Enumerate Subkeys, Notify, Read Control) и к некоторым другим ключам реестра. Такую защиту необходимо обеспечить для ключа HKEY_CLASSES_ROOT и для всех его вложенных ключей, а также для HKEY_USERS\.DEFAULT. Защищая эти ключи, вы защищаете систему от изменения ряда системных параметров и параметров настройки рабочего стола.

Чтобы предотвратить несанкционированное использование разделяемых ресурсов системы и применения параметра ImagePath в составе ключа UPS для запуска нежелательного программного обеспечения, доступ типа Full Control к ключам HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Shares и HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UPS следует оставить лишь за операционной системой (System) и членами группы Administrators.

При работе с сервисом удаленного доступа система выводит диалоговые окна, в которых пользователи должны ввести регистрационную информацию — входное имя и пароль. В этих диалоговых окнах имеются флажки, установка которых позволяет запомнить пароль. Хотя сохранение паролей очень удобно для конечного пользователя, эта практика представляет собой определенную опасность, поскольку пароли хранятся так, чтобы система могла быстро их извлечь. Таким образом, извлечь этот пароль несложно и взломщику.

Для того чтобы не дать такой возможности потенциальному взломщику, раскройте ключ реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Parameters и добавьте в него параметр DisableSavePassword с типом данных REG_DWORD. Теперь система никогда не будет предлагать пользователю сохранить введенный пароль для доступа к серверу RAS.

Защита ульев SAM и Security.

Информация о безопасности Windows NT/2000 хранится в ветвях реестра SAM (Security Accounts Manager) и Security. Ветвь SAM содержит пользовательские пароли в виде таблицы хэш-кодов, а ветвь Security — информацию о безопасности локального компьютера.

Microsoft официально утверждает, что лучший способ защиты Windows NT/2000 — это защита административных паролей, но этого явно недостаточно. Доступ к ветвям SAM и Security получают многие пользователи — например, пользователи из группы Backup Operators. Ветви SAM и Security хранятся на диске наряду с другими файлами, и единственное, что требуется для взлома — это раздобыть копии этих ульев. В составе программных продуктов имеются утилиты (Regback в Windows NT 4.0 Resource Kit и REG — в Windows 2000 Resource Kit), при помощи которых пользователи, принадлежащие к группам администраторов или операторов резервного копирования, могут получать копии реестра работающей системы.

Если Windows NT/2000 установлена на томе FAT, то потенциальную опасность представляют любые пользователи, обладающие правом на выполнение перезагрузки системы и получившие физический доступ к компьютеру.

Наибольшую ценность для взломщика представляют сервера компьютерной сети. Поэтому для обеспечения должной защиты файлов SAM и Security от незаконного копирования следует установить защищаемые компьютеры (сервера) в охраняемом помещении, а также лишить пользователей групп (Advanced Users and Users) права на перезагрузку компьютера.

Чтобы отредактировать права пользователей в Windows 2000, зарегистрируйтесь в системе от имени пользователя с правами администратора, раскройте окно Control Panel, выполните двойной щелчок мышью на значке Administrative Tools и выберите опцию Local Security Policy. Разверните дерево консоли MMC и выберите опцию User Rights Assignment. В правой части окна появится список пользовательских прав, доступных для редактирования.

Для предотвращения доступа рядовых пользователей домена к файлам SAM и Security следует:

использовать файловую систему NTFS;

лишить конечных пользователей права локальной регистрации на серверах;

обеспечить надлежащую физическую защиту для серверов;

в системах Windows NT 4.0 и тех системах Windows 2000, где операционная система устанавливалась как обновление предыдущей версии Windows NT, следует ужесточить права доступа к каталогу %SystemRoot%\Repair;

обеспечить безопасные условия хранения резервных копий и дисков аварийного восстановления (Windows NT 4.0), а также копий данных из набора System State Data (Windows 2000).

Для взлома похищенных ульев SAM и Security больших усилий не требуется. Успех проведенной атаки зависит в основном от качества используемого для взлома словаря — чем больше количество слов, дат, чисел, словосочетаний, используемых чаще всего в качестве пароля, содержится в этом файле, тем выше шансы удачного взлома.

Для защиты каталога \repair назначайте права таким образом, чтобы злоумышленники не могли получить доступ к данному каталогу и содержащимся в нем файлам, в особенности к файлу sam._, в котором находится база данных SAM. Если вы используете Microsoft Windows NT Server 4.0, то чтобы защитить файлы в каталоге \repair, используйте утилиту calcs.exe, входящую в состав Microsoft Windows NT Server 4.0 Resource Kit или другую аналогичную программу. Для этого выполните следующее.

В окне Command Prompt перейдите в каталог %systemroot% (обычно это C:\winnt) и выполните команду:

Либо, используя программу Windows Explorer, можете сделать следующее:

Откройте Windows Explorer;

 Перейдите в каталог repair (обычно это C:\winnt\repair), нажмите правую клавишу мыши и выберите в открывшемся меню Properties;

 Выберите закладку Security;

 Выберите Permissions;

 Отметьте Replace Permissions on Subdirectories и Replace Permissions on Existing Files;

Удалите из списка всех пользователей, кроме Administrators и SYSTEM;

 Убедитесь, что и Administrators, и SYSTEM имеют права Full Control;

 Нажмите OK.

Теперь вы назначили пользователям Administrators и SYSTEM права Full Control на данный каталог и все файлы, которые в нем содержатся. Поскольку режим редактирования ACL выбран не был, права всех остальных пользователей удалены системой.

В зависимости от конфигурации системы, помимо каталогов \repair и \config, NT может записывать информацию, имеющую отношение к SAM, в следующие файлы: pagefile.sys, memory.dmp или user.dmp. NT использует файл pagefile.sys как дополнительное пространство для организации виртуальной памяти, которое добавляется к физической памяти, установленной в компьютере. Файл memory.dmp создается при аварийном завершении работы операционной системы, если в конфигурации NT выбран режим записи образа памяти на диск. Файл user.dmp создается при аварийном завершении работы какой-либо прикладной программы, если в конфигурации программы Dr. Watson выбран режим записи образа памяти в файл.

При работе с этими файлами NT переписывает определенную порцию данных с памяти на диск. В некоторых случаях эти данные могут содержать пароли, хранящиеся резидентно в памяти. Соответственно, получив доступ к этим файлам, взломщик может без особого труда завладеть важной информацией, позволяющей пробить брешь в системе безопасности.

Чтобы уменьшить опасность, связанную с использованием файлов user.dmp и memory.dmp, вам необходимо предпринять одно из следующих действий:

 написать командный файл, который будет удалять указанные файлы при входе в систему;

 установить права для этих файлов так, чтобы только администраторы могли иметь доступ к ним.

установить в реестре ключ, указывающий на необходимость удаления системного файла pagefile при завершении работы операционной системы.

в конфигурации программы Dr. Watson отключить режим создания файлов.

Лучше всего настроить параметры системы так, чтобы указанные два файла не создавались. Но тогда программисты, которые должны исследовать проблему аварийного завершения работы системы, не смогут обладать необходимыми им данными.

Чтобы отключить создание файлов user.dmp программой Dr. Watson, запустите утилиту drwtsn32.exe, отключите параметр Create Crash Dump File и закройте программу.

Чтобы отключить в параметрах настройки NT создание файла memory.dmp, запустите в Панели Управления (Control Panel) программу System и выберите закладку Startup/Shutdown.

Затем отключите параметр Write debugging information to. Если вам все же необходимо иметь образы памяти на момент аварийного завершения работы NT, постарайтесь настроить параметры ОС и программы Dr. Watson таким образом, чтобы файлы, содержащие образ памяти, помещались в защищенный каталог, доступный только администраторам.

Что касается файла pagefile.sys, то его открывает и защищает от попыток непосредственного доступа со стороны взломщиков только операционная система. Однако следует упомянуть прошлогодний инцидент, когда клиентская служба NetWare для Windows NT помещала в память пароли пользователей NetWare в открытом виде. Эти пароли могли быть записаны в файл pagefile.sys при переписывании соответствующей страницы памяти на диск. Любой человек, имеющий копию файла pagefile.sys и текстовый редактор, мог без труда получить пароли. Разработчики Novell решили эту проблему. Теперь прежде чем поместить пароли в pagefile, они шифруются с использованием недокументированного API-интерфейса. Однако взломщики могут пробить эту защиту. Так, изобретательные российские программисты нашли способ расшифровки информации, получаемой из файла pagefile.sys. Чтобы защититься от подобных атак, настраивайте NT таким образом, чтобы файл pagefile.sys удалялся при завершении работы системы. И не забывайте о необходимости физической защиты компьютера с целью предотвращения нежелательного доступа к файлу pagefile.sys.

Да, вы можете сконфигурировать NT так, чтобы pagefile удалялся при нормальном завершении работы системы. Но таким способом вы обеспечите защиту только от тех взломщиков, которые копируют или изменяют файл, загрузившись с другой копии ОС (т.е. используя загрузочный диск или загрузив NT из другого системного каталога). Большинство взломщиков понимают, что в таком случае у них есть возможность получения доступа к системе путем перемещения базы данных SAM, следовательно, взлом файла pagefile.sys становится бессмысленным

Несмотря на это, в ситуациях, когда условия эксплуатации системы требуют установки и использования нескольких копий ОС, удаление файла pagefile при нормальном завершении работы можно считать достаточной мерой безопасности. Следует иметь в виду, что если NT сконфигурирована так, чтобы удалять pagefile во время завершения работы системы, то неизбежна некоторая задержка в процессе начальной загрузки и останова ОС. Однако эта задержка несущественна, если принять во внимание уровень безопасности, которого мы в результате достигаем. Для того чтобы включить режим удаления файла pagefile.sys во время нормального завершения работы ОС, следует модифицировать (или создать) в системном реестре параметр ClearPageFileAtShutdown (типа REG_SZ) в ключе HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management, присвоив ему значение 1.

(Продолжение следует)

Идёт загрузка...

Данную страницу никто не комментировал. Вы можете стать первым.

Ваше имя:
Ваша почта:
Комментарий:
Введите символы или вычислите пример: * Обновить