А. Н. Андрончик, В. В. Богданов, Н. А. Домуховский, А. С. Коллеров, Н. И. Синадский, Д. А. Хорьков
Скачать 9.2 Mb.
|
6.2. Обеспечение безопасности ОС Windows Server 2003 Основными группами уязвимостей ОС Windows Server 2003, которые представляются актуальными для защиты в терминальном режиме, являются: − возможность сетевого доступа к обрабатываемой сервером информации; − возможность расширения полномочий при осуществлении локального доступа. 6.2.1. Ограничение возможности сетевого доступа Возможность сетевого доступа реализуется благодаря излишнему коли- честву сетевых сервисов, по умолчанию предоставляемых сервером ОС Win- dows Server 2003. Упорядоченный по наименованию перечень сетевых серви- сов, функционирующих в ОС по умолчанию, приведен в табл. 6.1. Полный перечень сетевых сервисов ОС Windows Server 2003 приведен в Приложе- нии 2. 153 Таблица 6.1 Перечень сетевых сервисов ОС Windows Server 2003 Порт Тип Протокол Наименование системной службы 137 TCP NetBIOS Name Resolution Computer Browser 137 UDP NetBIOS Name Resolution Computer Browser 138 UDP NetBIOS Datagram Service Computer Browser 139 TCP NetBIOS Session Service Computer Browser 139 TCP NetBIOS Session Service Fax Service 445 TCP SMB Fax Service 445 UDP SMB Fax Service 500 UDP IPSec ISAKMP IPSec Services 138 UDP NetBIOS Datagram Service License Logging Service 139 TCP NetBIOS Session Service License Logging Service 445 TCP SMB License Logging Service 445 UDP SMB License Logging Service 138 UDP NetBIOS Datagram Service Messenger 137 TCP NetBIOS Name Resolution Net Logon 137 UDP NetBIOS Name Resolution Net Logon 138 UDP NetBIOS Datagram Service Net Logon 139 TCP NetBIOS Session Service Net Logon 3389 TCP Terminal Services NetMeeting Remote Desktop Sharing 139 TCP NetBIOS Session Service Performance Logs and Alerts 139 TCP NetBIOS Session Service Print Spooler 445 TCP SMB Spooler 445 UDP SMB Spooler 135 TCP RPC Remote Procedure Call 139 TCP NetBIOS Session Service Remote Procedure Call Locator 445 TCP SMB Remote Procedure Call Locator 445 UDP SMB Remote Procedure Call Locator 4500 UDP NAT-T Routing and Remote Access 137 TCP NetBIOS Name Resolution Server 137 UDP NetBIOS Name Resolution Server 138 UDP NetBIOS Datagram Service Server 139 TCP NetBIOS Session Service Server 445 TCP SMB Server 445 UDP SMB Server 1900 UDP SSDP SSDP Discovery Service 5000 TCP SSDP legacy event notification SSDP Discovery Service 3389 TCP Terminal Services Terminal Services 137 TCP NetBIOS Name Resolution Windows Internet Name Service 137 UDP NetBIOS Name Resolution Windows Internet Name Service 123 UDP NTP Windows Time 123 UDP SNTP Windows Time 154 Как известно, перечень открытых сетевых портов может быть получен командой netatat –aon. Результаты выполнения этой команды для ОС Windows Server 2003 приведены на рис. 6.1. Рис. 6.1. Результаты выполнения команды netstat Согласно приведенной выше схеме организации доступа к защищаемым данным, сервер терминального доступа должен выполнять только задачу обеспечения службы MSTS. Сервер терминального доступа, в частности, не должен выполнять функции контроллера домена. Таким образом, из перечня функционирующих по умолчанию сетевых служб должны быть исключены все службы кроме службы Terminal Services, TCP-порт 3389. Для обеспечения защиты сетевого трафика дополнительно может пона- добиться функционирование службы IPSec Services (UDP-порт 500), а также иных служб, используемых специализированными СЗИ. Исключение служб может быть осуществлено двумя способами: оста- новом службы в оснастке Services (рис. 6.2) либо запрещением доступа к службе с применением межсетевого экранирования. Способом останова должны быть исключены службы: Computer Browser, Server, Windows Internet Name Service, Net Logon, Messenger, License Logging Service, Fax Service, Performance Logs and Alerts, Print Spooler, Remote Procedure Call Locator, Routing and Remote Access, SSDP Discovery Service, Windows Time. Отключение службы Remote Procedure Call, функционирую- щей на 135 TCP-порту, приводит к неработоспособности узла, поэтому запрет доступа к этому порту будет производиться с использованием технологии межсетевого экранирования. Путем модификации настройки сетевых соединений (рис. 6.3) и отклю- чения службы NetBIOS через TCP/IP запрещаются службы, использующие порт TCP 139. 155 Рис. 6.2. Окно перечня служб ОС Windows Рис. 6.3. Окно настройки свойств протокола TCP/IP 156 В итоге после отключения вышеуказанных служб открытыми остаются порты TCP: 135, 445, 1025, 3389; UDP: 445, 500, 4500 (рис. 6.4). Запретить данные порты, являющиеся, безусловно, опасными с точки зрения осуществ- ления несанкционированного доступа, возможно лишь путем межсетевого эк- ранирования. Рис. 6.4. Перечень открытых портов, остающихся после останова сетевых служб Технология межсетевого экранирования в ОС Windows Server 2003 мо- жет быть применена с использованием: − настроек протокола IPSec; − штатного межсетевого экрана «Брандмауэр Windows»; − дополнительного межсетевого экрана, реализованного сертифицирован- ным средством защиты информации. В случае использования настроек протокола IPSec ограничение доступа к портам может быть осуществлено либо через параметры фильтрации прото- кола TCP/IP в окне дополнительных параметров свойств протокола TCP/IP (рис. 6.5), либо путем создания шаблона безопасности для IP-протокола в окне «Локальная политика безопасности» (рис. 6.6). При использовании параметров фильтрации протокола TCP/IP необхо- димо запретить все порты, кроме порта TCP 3389, отвечающего за функцио- нирование MSTS (рис. 6.7). Однако в этом случае не удается запретить функ- ционирование протокола ICMP, т. е. невозможно исключить входящие ICMP- запросы и исходящие ICMP-ответы. При использовании шаблона безопасности для IP-протокола создается новая политика, разрешающая функционирование TCP-порта 3389 и запре- щающая функционирование иных IP-протоколов, включая ICMP. В случае использования штатного межсетевого экрана «Брандмауэр Windows» (рис. 6.8) необходимо также запретить использование всех портов, за исключением TCP-порта 3389 (рис. 6.10). Указанный порт именуется в про- грамме «Дистанционным управлением рабочим столом» (рис. 6.9). Дополни- тельно следует отключить функционирование протокола ICMP (рис. 6.11). 157 Рис. 6.5. Окно дополнительных параметров свойств протокола TCP/IP Рис. 6.6. Окно «Локальная политика безопасности» Применение специализированных сертифицированных средств защиты, реализующих средства межсетевого экранирования, в частности СЗИ VipNet, является, безусловно, более предпочтительным, чем использование штатных средств ОС Windows. 158 Рис. 6.7. Установка фильтра, разрешающего соединение Рис. 6.8. Окно штатного межсетевого экрана «Брандмауэр Windows» 159 Рис. 6.9. Окно настроек «Брандмауэра Windows» Рис. 6.10. Окно настройки службы «Дистанционное управление рабочим столом» 160 Рис. 6.11. Окно отключения протокола ICMP 6.2.2. Ограничение возможности расширения полномочий при осуществлении локального доступа Несанкционированное повышение полномочий пользователей до уровня администратора возможно в ОС Windows Server 2003 благодаря существова- нию уязвимостей в реализации некоторых служб. Основным способом атаки является запуск рядовым пользователем утилиты, использующей ту или иную уязвимость в реализации ОС. Так, известны утилиты PipeUpAdmin, netddemsg, getadmin, позволяющие рядовому пользователю ОС Windows 2000 Server до- бавить свою учетную запись в состав группы администраторов. В настоящее время в реализации ОС Windows Server 2003 эти уязвимости закрыты и на- званные утилиты не функционируют. Однако в связи с невозможностью про- гнозирования выявления новых уязвимостей в ОС должны быть предприняты меры по защите от воздействия подобных утилит. Заметим, что предполагае- мая в схеме защиты конфигурация предусматривает единственно возможный узел — сервер терминального доступа, в котором могут использоваться внеш- ние носители (дисководы, CD-ROM-приводы, USB-порты). Администратор системы, единственный из всех пользователей имеющий право локальной ре- гистрации, перед помещением съемного носителя в накопитель должен убе- 161 диться в отсутствии на нем опасных программ, позволяющих атаковать сис- тему. Необходимо использовать меры по организации для пользователей замкнутой программной среды, исключающей запуск любых приложений, кроме приложений, обеспечивающих работу с защищаемыми данными: − удаление потенциально опасных исполняемых файлов; − установка NTFS-разрешений, запрещающих пользователям терминаль- ного сервера запуск потенциально опасных приложений, необходимых для работы администратора, которые невозможно удалить; − применение списков программ, доступных для запуска пользователям терминального сервера. 6.3. Настройки сервера MSTS Настройки сервера MSTS включают в себя настройки политики безо- пасности ОС Windows Server 2003. Основная задача, решаемая данными на- стройками, состоит в разрешении возможности доступа к ресурсам терми- нального сервера только для учетных записей, зарегистрированных в создан- ной по умолчанию группе «Remote Desktop Users». Кроме того, применяются дополнительные меры по запрету терминального доступа для администратора и пользователей, входящих в состав группы Administrators. Эти меры требу- ются для защиты учетных записей администраторов от подбора: даже при из- вестном пароле администратора зарегистрироваться с данной учетной запи- сью будет невозможно. По умолчанию параметр политики безопасности «Allow log on through Terminal Server» (раздел «Назначение прав пользователя» оснастки «Локаль- ная политика безопасности») разрешает терминальный доступ для группы Administrators. Необходимо исключить из перечня учетных записей, имеющих данную привилегию, все группы за исключением «Remote Desktop Users» (рис. 6.12). Параметр политики безопасности «Deny log on through Terminal Server» (раздел «Назначение прав пользователя» оснастки «Локальная политика безо- пасности») по умолчанию не установлен. Необходимо установить специаль- ный запрет терминального доступа для группы Administrators, а также для ос- тальных учетных записей, имеющих права администратора, добавив в пере- чень требуемые учетные записи (рис. 6.13). Все учетные записи, которые предназначены для терминального досту- па, должны быть включены в состав группы «Remote Desktop Users», участие этих учетных записей в составе иных групп должно быть исключено (рис. 6.14). Для сервера (свойства объекта «Мой компьютер», раздел «Remote») не- обходимо установить возможность терминального доступа (включить пара- метр «Enable Remote Desktop on this computer»). 162 Рис. 6.12. Установка права терминального доступа Рис. 6.13. Установка специального запрета терминального доступа для учетной записи Администратор 163 Рис. 6.14. Добавление пользователей терминального доступа в группу «Remote Desktop Users» 6.4. Настройки протокола RDP Настройка протокола RDP осуществляется в оснастке «Terminal Services Configuration» (рис. 6.15). Основная цель данных настроек состоит в установ- ке требования ввода пароля при регистрации и запрещении использования ре- сурсов рабочей станции, включая буфер обмена, принтеры и накопители. Как уже отмечалось выше, терминальный сервер поддерживает шифро- вание трафика. За настройки шифрования отвечает раздел «General» (рис. 6.16), все настройки в этом разделе можно оставить по умолчанию. Рис. 6.15. Фрагмент окна настройки протокола RDP 164 Рис. 6.16. Раздел «General» В разделе «Logon Settings» необходимо включить требование ввода па- роля при регистрации — «Always prompt for password». Исходя из предполо- жения, что все пользователи будут работать со своими учетными записями, включается параметр «Use client-provided logon information». В связи с тем, что не предполагается ограничений по длительности се- анса терминального доступа, в разделе «Sessions» следует оставить отключен- ные по умолчанию параметры «Override user settings» (рис. 6.17). Для каждого пользователя терминального доступа возможна установка собственной программы для автоматического запуска. Это может быть вы- полнено путем изменения свойств пользователя в оснастке «Пользователи и группы». В тех случаях, когда в свойствах пользователя какая-либо опреде- ленная программа не будет назначена, в окне терминала пользователю будет доступен его Рабочий стол (Desktop). В разделе «Environment» рекомендуется установить пункт «Run initial program specified by user profile and Remote Desk- top Connections or Terminal Services client». В связи с тем, что в окне терминального доступа не требуется установка дополнительного контроля действий пользователя, в разделе «Remote Control» рекомендуется установить пункт «Do not allow remote control». 165 Рис. 6.17. Рекомендуемые установки раздела «Sessions» В разделе «Client Settings» (рис. 6.18) обязательно должны быть вклю- чены запреты использования ресурсов рабочей станции, так как при их от- ключении будет нарушена вся настраиваемая политика безопасности. Кроме того, при их отключении появляется возможность внедрения на сервер вредо- носных программ. Обязательно должны быть установлены запреты на: − использование совместного буфера обмена (параметр «Clipboard mapping»); − подключение локальных дисков рабочей станции (параметр «Drive mapping»); − использование принтеров рабочей станции (параметры «Windows printer mapping» и «LPT port mapping»); − использование звуковой карты рабочей станции (параметр «Audio mapping») не влияет на политику безопасности, однако может существенно увеличить сетевой трафик и загруженность сервера при прослушивании поль- зователями звуковых файлов, поэтому в целях повышения производительно- сти сервера терминального доступа данный параметр также рекомендуется отключить. 166 Рис. 6.18. Рекомендуемые установки раздела «Client Settings» Дополнительно должен быть отключен параметр, позволяющий клиенту терминального доступа самостоятельно настраивать возможность подключе- ния локальных принтеров (должен быть снят параметр «Use connection seings from user settings»). В качестве дополнительной меры, повышающей производительность, предлагается ограничить параметры видеоизображения (параметр «Limit Maxium Color Depth») глубиной 16 бит. При количестве пользователей, не превышающем 30, применяется ма- лая часть пропускной способности канала, и с этой точки зрения количество разрешенных подключений не имеет принципиального значения. Однако под каждое соединение система выделяет некоторые ресурсы, кроме того, система для ускорения подключения пользователей к терминальному серверу поддер- живает два резервных соединения (т.е. инициализированную среду). Поэтому в целях экономии системных ресурсов желательно установить максимальное количество подключений, равное числу машин, с которых осуществляется ра- бота с терминальным сервером. Это значение устанавливается в разделе «Network Adapter» (рис. 6.19). 167 Рис. 6.19. Рекомендуемые установки раздела «Network Adapter» Установленные по умолчанию разрешения доступа в разделе «Permissions» (рис. 6.20), позволяющие осуществлять доступ к терминальной службе для группы администраторов, необходимо изменить, разрешив доступ лишь для группы «Remote Desktop Users» с правом User access. В списке дос- тупа необходимо установить две записи: для группы «Remote Desktop Users» и для учетной записи «SYSTEM» (рис. 6.21). Для группы «Remote Desktop Users» необходимо установить минимально необходимые права: Query Information, Logon, Connect (рис. 6.22). Для учетной записи «SYSTEM» необ- ходимо установить минимально необходимые права: Query Information, Set Information, Remote Control (рис. 6.23). 168 Рис. 6.20. Установки раздела «Permissions» по умолчанию Рис. 6.21. Рекомендуемый список доступа 169 Рис. 6.22. Разрешения доступа группы «Remote Desktop Users» Рис. 6.23. Разрешения доступа учетной записи «SYSTEM» 170 В разделе «Server Settings» оснастки «Terminal Services Configuration» рекомендуется установить значения параметров, приведенные на рис. 6.24. В частности, рекомендуется ограничить каждого пользователя единственным сеансом работы, установив параметр «Restrict each user to one session». Ука- занное ограничение не даст возможности подключаться к серверу от имени уже работающего пользователя. Рис. 6.24. Рекомендуемые установки раздела «Server Settings» Рис. 6.25. Отключение пиктограммы свойств сетевого подключения 171 В связи с тем, что изображение обновленного экрана передается серве- ром MSTS каждый раз после изменений содержимого окон и рабочего стола пользователей, то с рабочего стола и из панели задач рекомендуется удалить все пиктограммы, изображение которых меняется с течением времени. В ча- стности, обязательно необходимо удалить пиктограмму, отображающую со- стояние сетевого подключения. Данная пиктограмма обновляется при получе- нии/отправке сетевых пакетов. Отправка изменения содержимого экрана, вы- полняемая MSTS, является причиной обновления данной пиктограммы, что, в свою очередь, приводит к отправке изменения содержимого окна. Таким обра- зом, наличие данной пиктограммы приводит к генерации ненужного сетевого трафика. Для удаления пиктограммы необходимо в свойствах подключения по локальной сети отключить параметр «При подключении вывести значок в об- ласти уведомлений» (рис. 6.25). |