Учебное пособие Ставрополь сф мггу им. М. А. Шолохова 2009

303
Уровень шифрования. В параметре
Encryption Level (Уровень шифрования)
приводится перечень доступных уровней, используемых для защиты данных, передаваемых между клиентом и сервером. Здесь имеются четыре опции:
1.
Low (Низкий)
. Данные шифруются с использованием 56-битного ключа.
2.
Client Compatible (Совместимый с клиентом)
. Данные шифруются с использованием ключа максимальной длины, поддерживаемого клиентом.
3.
High (Высокий)
. Данные шифруются с использованием 128-битного шифрования.
Клиенты, не поддерживающие этот уровень шифрования, не будут иметь возможность подключения
(рекомендуется использовать эту опцию).
4.
FIPS
Compliant
(Соответствие
FIPS)
. Данные шифруются в соответствии со стандартом Federal Information Processing Standard
140-1, определяющим соответствующие методы шифрования.
Logon Settings (Параметры входа в систему)
. Здесь можно указать аутентификационные данные для использования по умолчанию при подключении клиентов к серверу терминала (см. рис. 20.9). По умолчанию используются аутентификационные данные, предоставляемые клиентом.
Другая опция позволяет использовать одну учетную запись пользователя для всех соединений. Последняя опция требует от пользователя ввода пароля, даже если предоставлены аутентификационные данные.
Рис. 20.9 - Вкладка
Logon Settings (Параметры входа в систему)
Network Adapter settings (Параметры сетевого адаптера)
. С помощью этой опции можно определить, какие сетевые адаптеры будет использовать служба. Это относится только к системам с несколькими сетевыми адаптерами.
При правильном администрировании учетных записей пользователей
(посредством надежных паролей, блокировки и т. д.) и правильной защите

304 системы (с использованием межсетевых экранов) данная служба будет относительно защищена.
20.2.3 Настройка средства Framework .NET
Средство
.NET Framework Configuration
(см. рис. 20.10) позволяет настраивать политику безопасности доступа к коду специально для
Framework .NET. В данной утилите есть возможность обеспечения защиты и/или удаления управляемых компонентов, установленных на рассматриваемом компьютере. С точки зрения безопасности данное средство может использоваться для контроля за доступом приложений к защищенным ресурсам. Система безопасности использует три уровня политики:
1.
Enterprise (Предприятие)
. Политика безопасности для предприятия в целом. Следует иметь в виду, что нет четких границ между данным уровнем и политикой
Machine (Компьютер)
, так как обе эти политики применяются к каждому компьютеру.
2.
Machine
(Компьютер)
Применяется ко всем программам, выполняемым на данном компьютере.
3.
User (Пользователь)
. Применяется к пользователю, работающему в системе в данный момент.
Рис. 20.10 - Утилита настройки .NET
Оценка политик осуществляется в отдельном порядке, и программам предоставляется минимальный набор разрешений, обуславливаемый комбинацией политик. Любой «запрет» имеет преимущество перед
«разрешением».
Для получения более подробной информации о модели безопасности программного доступа, необходимо обратится к документации Microsoft
.NET Framework SDK.

305
20.3 Управление пользователями
Управление пользователями в системе Windows 2000/XP является очень важным аспектом безопасности системы и организации в целом. В организации необходимо наличие корректных процедур по определению полномочий каждого нового пользователя. При увольнении сотрудника из организации также необходимо применять соответствующие процедуры, чтобы обеспечить запрет доступа увольняемого сотрудника к системам организации.
20.3.1 Добавление пользователей в систему
При добавлении новых пользователей в систему необходимо следовать процедурам управления пользователями. Эти процедуры должны определять, кто может запрашивать новые учетные записи, и кто может одобрять эти запросы. Новые пользователи добавляются в систему или домен через оснастку
Computer Management (Управление компьютером)
. Выберите элемент
Users (Пользователи)
из
Local Users and Groups (Локальные пользователи и группы)
. Затем выберите
New User (Новый пользователь)
из меню
Aсtion
(Действие)
(см. рис. 20.11). Каждый пользователь должен иметь уникальный пользовательский идентификатор и свою собственную учетную запись. Если двум пользователям требуется доступ одинакового уровня, следует создать две учетные записи и разместить их в одной группе. Ни при каких обстоятельствах нельзя присваивать нескольким пользователям один и тот же идентификатор.
Рис. 20.11 - Окно
New User (Новый пользователь)
Для каждого идентификатора нового пользователя следует назначить начальный пароль, а также отметить опцию
User Must Change Password
(Пользователь должен изменить пароль)
. Это потребует от пользователя смены

306 пароля при первом входе в систему. Ни в коем случае не отмечайте опцию
Password Never Expires (Срок действия пароля не ограничен)
В организациях не должен использоваться один и тот же пароль для каждой новой учетной записи. Несмотря на то, что таким образом упрощается задача создания новых учетных записей, это обуславливает потенциальную уязвимость систем. Если новая учетная запись создается перед тем, как сотрудник будет принят на работу в организацию, эта запись будет доступна для использования неавторизованными лицами. Все, что им понадобится для доступа - это стандартный пароль новых пользователей.
Рекомендуется использовать надежные и уникальные пароли новых пользователей.
Сразу после создания учетной записи ее следует добавить в соответствующие группы. Это можно сделать следующим образом: перейдите к каждой группе по отдельности, дважды щелкните на ней и нажмите кнопку
Add (Добавить)
(см. рис. 20.12). В качестве альтернативы щелкните правой кнопкой мыши на вновь созданном пользователе и выберите
Properties (Свойства)
. Откройте вкладку
Member Of (Член группы)
и добавьте в список соответствующие группы (см. рис. 20.13). Стандартные пользовательские учетные записи не должны входить в состав группы
Administrator (Администратор)
Рис. 20.12 - Добавление пользователей в группу с помощью списка групп
Рис. 20.13 - Добавление пользователей в группы в окне свойств
20.3.2 Настройка файловых разрешений
Для настройки разрешений файлов и общих местоположений следует использовать группы. Это позволит облегчить управление файловыми разрешениями (в отличие от предоставления отдельным пользователям полномочий на доступ к файлам и общим местоположениям). Убедитесь, что

307 членом группы
Guests (Гости) является только учетная запись
Guest (Гость)
, и что учетная запись
Guest (Гость)
отсутствует во всех остальных группах.
20.3.3 Удаление пользователей из системы
Как и при добавлении пользователей в систему, администраторам необходимо выполнять процедуры по управлению пользователями при удалении пользователей. Когда пользователь покидает организацию, его учетная запись должна немедленно отключаться с помощью утилиты
Computer
Management
(Управление компьютером
). Выберите нужного пользователя, щелкните на нем правой кнопкой мыши и выберите
Properties
(Свойства)
. Появившееся окно позволит отключить учетную запись. В то же время необходимо изменить пароль на произвольную случайную комбинацию символов. Это предотвратит использование учетной записи пользователем или кем бы то ни было еще.
Бывает так, что рассматриваемый пользователь имел файлы или полномочия, необходимые организации; его учетная запись должна оставаться отключенной в течение некоторого времени (как правило, 30 дней), чтобы начальник пользователя смог получить доступ к этим файлам и скопировать нужные материалы. Если пользователь использовал файловую систему EFS, то для доступа к файлам можно применять локальную учетную запись
Administrator (Администратор)
. По прошествии 30 дней учетная запись должна быть удалена из системы вместе со всеми файлами и каталогами, принадлежащими учетной записи.
В некоторых организациях учетные записи не удаляются и находятся в отключенном состоянии, чтобы выяснить, будет ли кто-нибудь пытаться использовать старую учетную запись. Действия, производимые с учетной записью, обусловливаются процедурами управления пользователями, утвержденными в организации.
20.4 Аудит системы
Все системы Windows 2000 должны подвергаться аудиту. Политика аудита в системе настраивается в утилите
Local Security Settings (Локальные параметры безопасности)
- см. рис. 20.14. Выберите событие, аудит которого следует производить, и дважды щелкните на нем, чтобы отобразить окно конфигурации.
Политика аудита должна настраиваться в соответствии с политикой безопасности организации. Как правило, рекомендуется фиксировать следующие события:
1. аудит событий входа через учетные записи, успех или неудача;
2. аудит управления учетными записями, успех или неудача;
3. аудит событий входа, успех или неудача;
4. аудит доступа к объектам, неудача;

308 5. аудит изменения политики, успех или неудача;
6. аудит использования привилегий, неудача;
7. аудит системных событий, успех или неудача.
Рис. 20.14 - Настройка политики аудита в системе Windows 2000
При аудите доступа к объектам может генерироваться достаточно большое число записей журнала, даже если включена только опция записи неудачных событий. Тщательно отслеживайте новую систему и убедитесь, что по этой причине не происходит переполнение файлов журналов.
20.4.1
Журнал событий безопасности
Записи журнала аудита в системе Windows 2000 создаются в журнале событий безопасности, который расположен в папке
\%systemroot%\system32\config
. Разрешения журнала событий безопасности предоставляют доступ только администраторам. Администраторы должны регулярно проверять файлы журналов. Так как записи файлов журналов являются самым лучшим средством выявления неполадок в системе или несанкционированных действий пользователей, то, если администраторы не будут просматривать файлы журналов, смысл фиксирования информации сведется к нулю, в котором рассказывается о признаках подозрительной активности).
Если регулярно производится резервное копирование системы, файлы журнала также должны резервироваться. Если журналы событий нужно сохранять на более длительные периоды времени, рекомендуется периодически перемещать файлы журналов с системы. Файлы можно сохранять в виде текстовых файлов посредством команды
Save As (Сохранить как)
в меню
Aсtion (Действие)
в программе
Event Viewer (Просмотр событий)

309
20.4.2 Мониторинг признаков атак
Существует несколько признаков того, что в системе Windows 2000 что-то идет не так, как нужно, и что кто-то пытается выполнить запрещенные действия.
20.4.2.1 Попытки входа в систему
Если кто-либо пытается угадать пароли учетных записей (вручную или с привлечением автоматизированной программы), в журнал событий будут занесены записи, отображающие неудачные попытки входа в систему. Кроме того, если система настроена на блокировку учетных записей после определенного числа попыток входа, будет присутствовать набор заблокированных учетных записей. Сообщения о неудачных попытках входа в журнале событий безопасности содержат имя рабочей станции, с которой осуществлялась каждая попытка. С этой рабочей станции и следует начать выяснение причины неудачных попыток входа в систему. Метод выяснения зависит от источника попыток. Если источник внутренний, следует найти сотрудника, работающего за данной рабочей станцией, и поговорить с ним.
Если источник внешний, следует заблокировать на межсетевом экране доступ с IP-адреса источника.
20.4.2.2 Ошибки доступа
Ошибки доступа могут означать, что доступ к секретным файлам пытается получить авторизованный пользователь. Единичные ошибки считаются в порядке вещей. Однако если обнаружится пользователь, совершивший неудачные попытки входа в большое число файлов или каталогов, то у вас появятся все основания для выяснения причин неудачных попыток.
20.4.2.3 Неудачные попытки входа
Информация в журнале событий безопасности содержит перечень неудачных попыток входа. Она не представляет собой доказательства того, что конкретный сотрудник пытался получить несанкционированный доступ к информации. Эти сообщения журнала могут генерироваться процессами, пытающимися осуществить доступ без ведома пользователя; также причиной возникновения этих записей является использование кем-либо учетной записи данного пользователя или его системы. Ни в коем случае не следует считать, что записи в журнале являются достаточным доказательством для того, чтобы обвинить сотрудника в совершении противоправных действий.

310
20.4.2.4 Отсутствие файлов журналов или пробелы в них
В работающей системе Windows 2000 с включенным аудитом файлы журналов никогда не бывают пусты. Многие злоумышленники очищают файлы журналов сразу после входа в систему в надежде скрыть факт своего присутствия. Если вы обнаружили пустой файл журнала, это говорит о том, что с системой что-то не в порядке, и следует немедленно начать выяснение причин отсутствия в журналах данных. Может оказаться, что другой администратор указал опцию очистки файлов журналов, так как они имели очень большой размер. Однако может выясниться, что в систему кто-то проник несанкционированно.
Не так давно начали выходить в свет утилиты, помогающие злоумышленникам изменять отдельные записи в файлах журналов. В результате этого действия в файле журнала может оказаться пробел. Чтобы обнаружить пробел, просмотрите содержимое файла и выясните, присутствуют ли в нем пропуски, большие, чем обычные. Если обнаружатся значительные пробелы в содержимом файла, следует выяснить причину их появления. Имейте в виду, что система не создает записи в журнале, когда она отключена. В данном случае в содержимом файла перед и после каждого пробела будут присутствовать записи отключения и запуска системы.
20.4.3 Неизвестные процессы
В системах Windows 2000 выполняется множество процессов.
Некоторые из них обнаружить легко, другие - сложнее. Если посмотреть в окно программы
Task Manager (Диспетчер задач)
- см. рис. 20.15, то можно увидеть процессы, выполняющиеся в данный момент в системе, а также процент использования процессора и объем используемой процессами памяти.
Рис. 20.15 - Диспетчер задач Windows 2000

311
Системные администраторы должны периодически открывать
Диспетчер задач и выяснять, не выполняются ли в системе какие-либо неизвестные процессы. Например, рекомендуется всегда искать процессы
CMD. Процесс CMD является сеансом командной строки или окном DOS.
Если он работает, то на экране должно отображаться соответствующее окно.
В некоторых случаях злоумышленники запускают процесс CMD для выполнения операций в системе. Это явный признак того, что в системе происходит что-то необычное.

312
21. ИСПОЛЬЗОВАНИЕ СЛУЖБЫ КАТАЛОГОВ И ГРУППОВЫХ
ПОЛИТИК В WINDOWS 2000/XP И WINDOWS 2003 SERVER
21.1 Служба каталогов Aсtive Directory
21.1.1 Использование Aсtive Directory
Центральным элементом системы безопасности Windows 2000/2003 является Aсtive Directory (AD).
Aсtive Directory (AD) - это служба каталогов, являющаяся
масштабируемой структурой домена разработанная и внедренная в
последние версии операционной системы Windows.
AD может состоять из одного или более доменов, причем каждый
домен имеет свои политики безопасности и безопасные (т. е. доверенные) взаимоотношения с другими доменами.
Пространство имен домена соответствует домену DNS, а домен Root
- это первый домен, создаваемый в AD. Все домены в AD совместно
используют одну и ту же конфигурацию, схему и глобальный каталог.
Ключевыми компонентами AD и их функциями являются
следующие элементы:
1. Global Catalog (GC, Глобальный каталог). Серверы GC содержат
частичные реплики всех доменов в AD, а также полную реплику
схемы и именования конфигурации, поэтому эти системы являются носителями секретной информации и должны соответствующим образом защищаться.
2. Схема. Схема определяет, какие объекты и атрибуты могут
храниться в AD. Она поддерживает все классы объектов и атрибуты, содержащиеся в AD. Для каждого класса объектов схема определяет место в AD для создания класса объекта, а также список атрибутов, которые должен содержать класс. Это ключевой компонент AD, и очень важно обеспечить его безопасность
3. Домен. Это группа компьютеров, объединенных для формирования
административной ограниченной области пользователей, групп,
компьютеров и организационных единиц.
4. Организационная единица (Organizacion Unit - OU) - это тип
объектов каталога, с которыми можно связать групповые
политики и таким образом определять в них ограничения
безопасности. Это наименьшие административные единицы в AD, формирующие границы защищаемой области. По умолчанию, так как домен является ограниченной областью администрирования, и
OU существует только внутри домена, домен является наиболее внешней организационной единицей.

313 5.