Учебное пособие Ставрополь сф мггу им. М. А. Шолохова 2009

292
20. ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ В ОПЕРАЦИОННЫХ
СИСТЕМАХ WINDOWS 2000/XP И WINDOWS 2003 SERVER
20.1 Настройка системы Windows 2000/XPpro
В Windows 2000 добавлены серьезные функции безопасности к тем возможностям, которые имели место в серверных версиях Windows NT.
Приводимые в данном разделе рекомендации адресованы в основном версии операционных систем Windows 2000 однако в части касающиеся обеспечения безопасности могут быть использованы в операционной системе
Windows XP Pro.
Операционная система
Windows XP Home обладает сущетсвенно урезанной функциональностью в области настройки безопасности и ее настройка здесь и далее не рассмаривается.
Windows 2000/XP не является защищенной системой сразу после установки. Имея это в виду, необходимо произвести настройку некоторых параметров для повышения уровня безопасности, прежде чем система будет готова к работе. Параметры конфигурации подразделяются на параметры локальной политики безопасности и параметры конфигурации системы.
20.1.1 Параметры локальной политики безопасности
В Windows 2000 появилось новое средство - графический пользовательский интерфейс редактирования локальной политики. Чтобы запустить эту утилиту, откройте
Control Panel / Administrative Tools / Local
Security Policy (Панель управления / Администрирование / Локальная политика безопасности)
(см. рис. 20.1). Это средство позволяет настраивать политики учетных записей и локальные политики безопасности. Позже мы обсудим конфигурирование учетной записи. Сейчас давайте сконцентрируем внимание на локальных политиках безопасности.

293
Рис. 20.1 - Графический пользовательский интерфейс управления локальными политиками безопасности
Графический пользовательский интерфейс локальных политик безопасности в действительности является лишь внешней оболочкой процесса внесения изменений в реестр. Следовательно, для внесения изменений в общие параметры реестра больше не требуется использовать программы regedit или regedit32
- лучше использовать утилиту, чем открывать реестр и вносить изменения собственноручно.
На рисунке 20.2 показаны элементы политики безопасности, которые можно настраивать через графический пользовательский интерфейс локальных политик безопасности. В следующих разделах более подробно обсуждаются рекомендуемые изменения для внесения в политику безопасности.
Рис. 20.2 - Настраиваемые элементы локальной политики безопасности
Windows 2000 содержит набор шаблонов, которые используются для конфигурации системы, настройки локальной политики безопасности и параметров управления пользователями в системе. Если вы будете

294 использовать один из этих шаблонов, убедитесь, что вам понятны изменения, которые будут внесены в систему.
20.1.1.1 Сообщение входа
В Windows 2000 имеются два параметра, настраивающие сообщение входа, отображаемое пользователям:
1. Message Text for Users Attempting to Log On (Текст сообщения для пользователей, пытающихся осуществить вход);
2.
Message Title for Users Attempting to Log On (Название сообщения для пользователей, пытающихся осуществить вход)
20.1.1.2 Очистка файла виртуальной памяти при отключении системы
Страничный файл виртуальной памяти содержит важную системную информацию во время работы системы, такую как ключи шифрования или пароли. Чтобы Windows 2000 очищала системный страничный файл при отключении системы, включите параметр
Clear Virtual Memory Pagefile When
System Shuts Down (Очистить файл подкачки при отключении системы).
20.1.1.3 Разрешение отключения системы без осуществления входа
Пользователи не должны иметь возможность отключать системы, если они не могут осуществлять вход. Следовательно, опция
Allow System to Be
Shut Down Without Having to Log On (Разрешить отключение системы без входа)
должна быть отключена.
20.1.1.4 Уровень аутентификации LAN Manager
Аутентификация LAN Manager - это система аутентификации, позволяющая серверам Windows 2000 работать с клиентами Windows 95 и
Windows 98 (а также Windows для рабочих групп). Схемы аутентификации
LAN Manager значительно более слабы, нежели система аутентификации NT или Windows 2000 (которая называется NTLM v2) и, таким образом, могут позволить злоумышленнику произвести атаку грубой силой на зашифрованные пароли с использованием гораздо меньших вычислительных мощностей. Чтобы в принудительном порядке использовать аутентификацию
NTLM v2, примените следующие параметры.
1. Выберите параметр политики
LAN Manager Authentication Level
(Уровень аутентификации LAN Manager)
2. Выберите соответствующий уровень в ниспадающем меню.
Устанавливаемое значение зависит от рассматриваемой среды.
Существуют шесть уровней:
1.
Send LM and NTLM Responses (Отправлять ответы LM и NTLM)
. Это уровень по умолчанию. Происходит отправка обоих ответов - LAN

295
Manager и NTLM. В системе никогда не будет использоваться защита сеанса NTLM v2;
2.
Send LM и NTLM, Use NTLM v2 If Negotiated (Отправка LM и NTLM, использование NTLM v2 при согласии);
3.
Send NTLM Response Only (Отправлять только ответ NTLM);
4.
Send NTLM v2 Response Only (Отправлять только ответ NTLM v2);
5.
Send NTLM v2 Response Only, Refuse LM (Отправка только ответа NTLM v2, отклонение LM);
6.
Send NTLM v2 Response Only, Refuse LM and NTLM (Отправка только ответа NTLM v2, отклонение LM и NTLM).
Перед тем как вносить изменение в эти настройки политики, определите функциональные требования для рассматриваемой сети. Если в сети установлены клиенты Windows 95 или Windows 98, необходимо разрешить ответы LAN Manager.
20.1.1.5 Дополнительные ограничения для анонимных соединений
Этот параметр политики позволяет администратору определить, какие действия разрешены для выполнения через анонимное соединение. Он имеет три опции:
- None, Rely On Default Permissions (Нет ограничений, использовать разрешения по умолчанию);
- Do Not Allow Enumeration of SAM Aсcounts and Shares (Запретить перечисление учетных записей и общих местоположений в SAM);
-
No Aсcess Without Explicit Anonymous Permissions (Запретить доступ без отдельных разрешений на анонимный доступ)
Эти параметры могут предотвратить получение доступа к информации о пользователях системы при работе в недействительных пользователей через недействительные сеансы.
20.1.2 Настройка конфигурации системы
В Windows 2000 включены новые функции безопасности, однако следует понимать, в чем заключаются преимущества и недостатки каждой новой возможности. Сушествует возможность конфигурирования следующих основных групп настроек системы Windows 2000:
- файловые системы;
- параметры сети;
- параметры учетных записей;
- сервис-пакеты и «горячие» обновления.
Политика безопасности организации в обязательном порядке должна предусматривать определенные параметры и требования к конфигурации системы.

296
20.1.2.1 Файловая система NTFS
Все файловые системы в
Windows
2000/XP должны быть преобразованы в NTFS. Так как файловые системы FAT не позволяют использовать разрешения файлов, NTFS лучше с точки зрения безопасности.
Если какая-либо из имеющихся файловых систем является системой FAT, можно использовать программу
CONVERT
, чтобы сменить их на NTFS. Эта программа требует перезагрузки, однако ее можно выполнить с уже имеющейся информацией на диске.
Также следует заметить, что Windows 2000 поставляется с NTFS-5 которая содержит новый набор индивидуальных разрешений:
- проход по папке/выполнение файла;
- просмотр папки/чтение данных;
- чтение атрибутов;
- чтение расширенных атрибутов;
- создание файлов/запись данных;
- создание папок/присоединение данных;
- запись атрибутов;
- запись расширенных атрибутов;
- удаление подпапок и файлов;
- удаление;
- чтение разрешений;
- изменение разрешений;
- присвоение прав владения.
20.1.2.2 Шифрующая файловая система EFS
Одним из недостатков файловой системы NTFS является то, что она защищает файлы только тогда, когда используется с Windows NT или
Windows 2000. Если злоумышленник загрузит систему с использованием другой операционной системы (например, DOS), он сможет использовать программу (такую как NTFSDOS) для чтения файлов и, таким образом, обойдет элементы управления доступом NTFS. В Windows 2000 введена файловая система для защиты секретных файлов от атак данного типа.
Шифрующая файловая система (Encrypting File System - EFS) реализована таким образом, чтобы быть незаметной для пользователя.
Следовательно, пользователю не требуется инициировать дешифрование или шифрование файла (после применения EFS для файла или каталога). Чтобы активизировать EFS, выберите файл или каталог, который нужно защищать, щелкните правой кнопкой на этом элементе и выберите
Properties (Свойства)
Нажмите кнопку
Advanced (Дополнительно)
в окне
General (Общие)
и выберите
Encrypt Contents to Secure Data (Шифровать содержимое для защиты данных)
Когда для файла назначено шифрование, система выбирает ключ для использования в алгоритме симметричного шифрования и шифрует данный

297 файл. После этого ключ шифруется с использованием открытого ключа одного или нескольких пользователей, которые будут иметь доступ к файлу.
Cледует заметить, что EFS имеет встроенный механизм, позволяющий осуществлять восстановление зашифрованной информации. По умолчанию из локальной учетной записи администратора всегда можно расшифровать любые файлы EFS.
В зависимости от способа взаимодействия EFS с пользователем и операционными системами некоторые команды будут приводить к расшифровыванию файлов, а другие - нет. Например, команда
Ntbackup копирует зашифрованный файл в том виде, в каком он есть. Однако если пользователь выполнит команду
Copy
, файл будет расшифрован и перезаписан на диск. Если конечным расположением файла является раздел, отличный от NTFS 5.0, или гибкий диск, то файл не будет шифроваться при записи. Кроме того, если файл копируется на другой компьютер, он будет шифроваться заново с использованием другого ключа симметричного алгоритма. Два файла будут выглядеть различным образом на двух компьютерах, даже если их содержимое идентично.
20.1.2.3 Общие местоположения
Windows 2000 создает административные общие местоположения при загрузке. Ими являются C$, D$, IPC$, ADMIN$ и NETLOGON (имеются только на контроллерах доменов). Полный список текущих общих местоположений можно просмотреть в утилите
Computer Management
(Управление компьютером)
, выбрав в панели управления значок
Administrative
Tools (Администрирование)
(см. рис. 20.3).
Рис. 20.3 - Имеющиеся общие местоположения, отображаемые в оснастке
Computer Management (Управление компьютером)
Несмотря на то, что эти общие местоположения могут использоваться злоумышленниками для осуществления попыток раскрытия пароля

298 администратора посредством грубой силы, отключать какие-либо из них не рекомендуется.
20.1.2.4 Сеть
В дополнение к стандартным портам Windows (135, 137 и 139) в
Windows 2000 используется порт 88 для Kerberos, порт 445 для SMB через
IP, порт 464 для Kerberos kpasswd и порт 500 (только UDP) для Internet Key
Exchange (IKE). Это означает, что если требуется удалить NetBIOS из системы Windows 2000, то вам потребуется отключить опцию
File and Print
Sharing for Microsoft Networks (Совместный доступ к файлам и принтерам в сетях
Microsoft)
в данном конкретном интерфейсе. Это можно сделать в окне
Network and Dial-up Connections (Сеть и удаленный доступ
). Выберите меню
Advanced (Дополнительно)
и затем выберите
Advanced Settings (Дополнительные параметры)
, чтобы открыть вкладку
Adapters and Bindings (Адаптеры и компоненты)
- см. рис. 20.4.
Рис. 20.4 - Удаление компонентов для NetBIOS
Сеть по-прежнему является ключевой частью Windows 2000. Домены
Windows
2000 поддерживают централизованное управление пользовательской базой данных. Однако структура Aсtive Directory не позволяет использовать иерархическую концепцию. Это означает, что группы могут создаваться над или под другими группами, и домен может быть поделен на организационные единицы с локальным управлением.
Перед развертыванием Windows 2000 или 2003 в организации необходимо четко спланировать структуру доменов.
20.1.2.5 Параметры учетных записей
В Windows 2000 имеются две учетные записи по умолчанию:
- Administrator (Администратор),

299
- Guest (Гость).
Обе учетные записи можно переименовать с помощью утилиты
Local
Security Settings (Локальные параметры безопасности)
. Выберите элементы политики
Rename Administrator Aсcount (Переименование учетной записи администратора)
и
Rename Guest Aсcount (Переименование гостевой учетной записи)
, чтобы внести изменения. Гостевая учетная запись также должна быть отключена. На всякий случай рекомендуется сменить пароль гостевой учетной записи, указав очень длинный пароль со случайным набором символов.
Каждая рабочая станция и сервер Windows 2000 в организации будут содержать учетную запись
Administrator (Администратор)
, являющуюся локальной по отношению к данному компьютеру и требующую соответствующей защиты. Для защиты этих учетных записей необходимо разработать процедуру создания очень надежного пароля. Пароль должен быть записан, заклеен в конверт и положен на хранение в запираемом кабинете.
Политики паролей и блокировки, описываемые в следующих разделах, могут быть применены посредством оснасток:
- Group Policies (Групповые политики),
-
Aсtive Directory
20.1.2.6 Политика паролей
Политика системных паролей определяется с помощью средства
Local
Security Settings (Локальные параметры безопасности)
- см. рис. 20.5. В этом окне настраиваются параметры паролей и требования к их надежности. Как в случае с любой компьютерной системой, эти параметры должны настраиваться в соответствии с политикой безопасности организации.
Рис. 20.5 - Использование средства
Local Security Settings (Локальные параметры безопасности)
для настройки политики паролей

300
Если включить параметр
Passwords Must Meet Complexity Requirements
(Пароли должны отвечать требованиям сложности)
, то будет применен фильтр паролей, установленный по умолчанию (
PASSFILT.DLL
). Этот фильтр требует, чтобы длина всех паролей составляла не менее шести символов, чтобы пароли не содержали частей имени пользователя и содержали, по крайней мере, какие-либо из следующих элементов: цифры, символы, строчные или прописные буквы.
За исключением случая крайней необходимости не следует включать параметр
Store Passwords Using Reversible Encryption (Сохранять пароли с использованием обратимого шифрования)
20.1.2.7 Политика блокировки учетных записей.
Политика блокировки учетных записей также настраивается с использованием средства
Local Security Settings (Локальные параметры безопасности)
- см. рис. 20.6. Эти параметры должны настраиваться в соответствии с политикой безопасности организации.
Рис. 20.6 - Использование средства
Local Security Settings (Локальные параметры безопасности)
для настройки политики блокировки
Политика блокировки учетных записей предназначена для предотвращения атак «грубой силы», направленных на угадывание паролей.
Данная возможность также используется для создания условия отказа в обслуживании по отношению ко всему сообществу пользователей.
Следовательно, следует принимать во внимания возможные последствия продолжительных блокировок пользователей при настройке данной политики.
Блокировка не распространяется в принудительном порядке на учетную запись администратора. Учетная запись
Administrator (Администратор)
всегда доступна для входа в систему из системной консоли.

301
20.1.2.8 Сервис-пакеты и обновления
Сервис-пакеты и горячие обновления для Windows 2000 должны устанавливаться в сети организации после соответствующего тестирования.
Своевременная установка сервис-паков позволит устранять найденные уязвимости и гарантировать безопасность системы.
20.2 Особенности настройки Windows 2003 Server
Изначально процесс установки системы идентичен установке Windows
2000. Однако имеются три задачи по настройке, которые необходимо правильно выполнить после установки системы:
1. ограничения на программное обеспечение;
2. служба Terminal Services;
3. настройка Framework .NET.
20.2.1 Политики ограничения программного обеспечения
Единственным отличием локальных политик безопасности Windows
2003 Server и Windows 2000 являются политики ограничения программного обеспечения (Software Restriction Policies)
- см. рис. 20.7. Политики ограничения программного обеспечения позволяют осуществлять контроль над тем, какие программы могут выполняться на данном локальном компьютере.
Преимуществом этой возможности является то, что администратор может указывать, выполнение каких программ разрешено в системе, и, таким образом, предотвращать выполнение программ, не пользующихся доверием.
Рис. 20.7 - Политика ограничения программного обеспечения для локальной системы
Вы можете определить уровень безопасности по умолчанию
Unrestricted
(Без ограничений) (разрешить все, что не запрещено)
или
Disallowed
(Запрещено)

302
(Запретить все, что не разрешено)
. Последний вариант лучше с точки зрения безопасности, однако при его использовании могут возникнуть проблемы из- за того, что этот уровень окажется слишком ограничительным. Настоятельно рекомендуется потратить время на то, чтобы проверить эти настройки на тестовой системе, перед тем как применять их на работающих системах.
После установки уровня по умолчанию можно указать исключения в данном уровне безопасности посредством создания правил политики ограничения программного обеспечения для конкретных программ.
Исключения могут быть указаны на основе программного обеспечения:
1. хеши;
2. сертификаты;
3. пути (включая путь реестра);
4. зоны интернета.
Некоторые примеры действий, которые можно реализовать посредством политик ограничения программ:
- запрет на запуск определенных типов файлов в каталоге вложений электронной почты используемой почтовой программы;
- ограничение того, какие программы могут запускаться пользователями на серверах терминала.
При этом политики ограничения программ не должны использоваться вместо антивирусного программного обеспечения.