Резюме

У цьому розділі ми розглянули настільки широкий спектр можливих атак Windows NT, що у багатьох читачів може скластися помилкове уявлення про недостатньо надійній системі захисту цієї операційної системи. Якщо це так, значить, ми не справилися із завданнями, що стояли перед нами. У такому разі хотілося б ще раз підкреслити, що видалений злом практично не має шансів на успіх без привілеїв адміністратора, а отримати ці привілеї можна лише деякими добре відомими способами: шляхом підбору пароля, його перехоплення з мережевого потоку даних або з використанням методів соціальної інженерії, застосованих до довірливих службовців.
Тому в порівнянні з об'ємом самого розділу наші виводи будуть відносно короткими. Якщо ви зробите наступні прості заходи, то 99,99% проблем, пов'язаних із забезпеченням безпеки системи NT, зникнуть самі собою. Проте не забувайте про ту, що залишилася 0,01%, про яку ви, швидше за все, поки що нічого не знаєте.

•  Заблокуйте порти TCP і UDP з номерами 135-139. Цей простий кроку вже достатньо, щоб запобігти практично всім проблемам, пов'язаним з видаленим зломом NT, який розглядається на сторінках цій книга. Ета захисна міра має бути обов'язково зроблена на прикордонному шлюзі, що захищає всю мережу. Її також не перешкодить використовувати і на внутрішніх устроях управління доступом. На окремих вузлах, що містять важливі дані, можна також заборонити підтримку протоколу NETBIOS. Заблокувавши порти, не забувайте регулярно сканувати свою мережу, щоб вчасно виявити різні відхилення.
•  Якщо ваша мережа NT працює на базі протоколу Tcp/ip, набудуйте фільтрацію пакетів Tcp/ip у відповідному діалоговому вікні властивостей (Control Panel>network>protocols>tcp/ip Protocol>advanced). Встановите в нім прапорець Enable Security, а потім клацніть на кнопці Configure і набудуйте параметри фільтрації. Використовуйте тільки ті порти і протоколи, які життєво' необхідні для функціонування системи (хоча передача ICMP-пакетов практично завжди має бути дозволена).
•  Задайте значення для параметра Restrictanonymous системного реєстру, як про це було сказано в розділі 3. Крім того, в статті Q246261 бази знань компанії Microsoft прочитайте про можливі недоліки завдання значення для цього параметра, що забезпечує найбільш жорсткий рівень зашиті в системі Win 2000.
•  Видалите Everyone із списку груп, яким надано право Access this computer from the network. Для цього у вікні диспетчера користувачів виберіть команду Policies>user Rights.
•  Встановите найсвіжіший сервісний пакет Service Pack і додаткові модулі оновлень. В процесі випуску оновлень компанія Microsoft керується вимогами забезпечення безпеки, тому дуже часто виявляється, що без цих модулів оновлень неможливо протистояти деяким вадам на рівні ядра, використовуваних в таких утилітах, як getadmin. Модулі оновлення для системи NT можна знайти за адресою http://www.microsoft.com/security. Звичайно, найповнішим "оновленням" буде перехід на нову версію NT — Windows 2000, — в якій реалізоване величезне, безліч нових засобів забезпечення безпеки. Докладніша інформація з цього питання міститься в розділі 6.
•  Введіть жорстку політику завдання паролів, реалізуйте її з використанням бібліотеки passfilt і регулярно контролюйте дотримання встановлених вимог. Так, правильно, — спробуйте зламати власну базу даних SAM! Пам'ятаєте про число 7, яке виявляється достатньо "чарівним", коли справа стосується довжини пароля в системі NT.
•  Перейменуйте обліковий запис Administrator і переконаєтеся в тому, що заборонений обліковий запис Guest. Хоча ви дізналися, що обліковий запис адміністратора можна ідентифікувати, навіть після її перейменування, проте, цей захід ускладнить завдання зловмисника.
•  Переконаєтеся в тому, що пароль адміністратора вибраний достатньо складним (при необхідності використовуйте спеціальні символи ASCII). He забувайте регулярно його міняти.
•  Переконаєтеся в тому, що прості адміністратори не використовують даних облікових записів адміністраторів домена для реєстрації як локальні адміністратори.
•  Встановите утиліту passprop з набору NTRK, щоб забезпечити блокування облікових записів адміністраторів і таким чином перешкодити спробам методичного підбору паролів.
•  Встановите засіб розширеного шифрування SYSKEY файлу паролів NT (SAM) (Q248183). Це не зупинить зломщиків раз і назавжди, але значно ускладнить їх роботу.
•  Включите режим аудиту і реєструйте невдалі спроби виконання важливих системних функцій, таких як Logon and Logoff, а також тих, які виявляються важливими при реалізації політики безпеки, прийнятої у вашій організації. Перевіряйте файли журналів щонеділі або ж застосовуйте засоби їх автоматичного аналізу.
•  Переконаєтеся в тому, що доступ до системного' реєстру надійно захищений, особливо за допомогою видаленого доступу, за допомогою параметра Hkey_local_machine\-system\ Currentcontrolset\control\securepipeservers\ winreg\allowedpath.
•  За допомогою системного реєстру зробіть комп'ютер, на якому зберігається важлива інформація, невидимим в мережі, встановивши для цього параметр Hklm\system\currentcontrolset\services\lanmanserver\ Parameters\hidden, Reg_dword=1. При цьому вузол буде видалений зі всіх списків, що створюються у вікні проглядання мережі (Network Neighborhood), але при цьому він буде як і раніше обмінюватиметься інформацією з іншими комп'ютерами.
•  Не запускайте непотрібних служб, а також уникайте використання тих служб, які запускаються в контексті призначеного для користувача облікового запису.
•  З'ясуєте, як запускати використовувані вами застосування з максимальним ступенем безпеки, а якщо це неможливо, то не запускайте їх зовсім. Обов'язково прочитайте документ Microsoft Internet Information Server 4.0 Security Checklist, який знаходиться за адресою http://www.microsoft.com/technet
  /security/tools.asp. У нім зібрано дуже багато цінних рад про захист NT. Питання безпеки сервера баз даних SQL 7.0 детально розглядаються за адресою http://www.microsoft.com/technet/
  Sql/technote/secure.asp.
•  Розкажіть користувачам про важливість паролів і поясните їм основні принципи використання облікових записів, щоб вони не попадалися на такі трюки, як отримання хэш-кодов шляхом відправки електронного пісьма-"пріманки".
•  Перейдіть на мережу з комутованою архітектурою, щоб в максимальному ступені ускладнити перехоплення пакетів, передаваних в процесі обміну даними по мережі (проте це не забезпечить абсолютної безпеки!).
•  Стежите за повідомленнями, що з'являються в бюлетенях (Bugtraq — http://www.securityfocus.com/ і Ntbugtraq — http://www.ntgugtraq.com/), а також регулярно відвідуйте власний Web-узел компанії Microsoft, присвячений питанням забезпечення безпеки, розташований за адресою http://www. microsoft.com/security.