Резюме

У цьому розділі ми лише злегка торкнулися численних змін, що відносяться до Win 2000, проте перевірка програм злому для NT 4 показала істотне підвищення безпеки в новій версії операційної системи. Вселяє оптимізм також додавання розподіленої політики безпеці в Win 2000. Проте остаточні виводи про захищеність цієї операційної системи можна буде зробити тільки в процесі її широкого використання. Для повного виявлення всіх проломів системи NT 4 знадобилося декілька років. Приблизно стільки ж часу буде потрібно і для досконального вивчення Win 2000. Приведемо декілька рад, заснованих на матеріалі цього розділу, розділи 5, а також матеріалах численних ресурсів Internet по безпеці Win 2000.

•  Вивчите резюме до розділу 5, де приводиться перелік мерів по захисту NT. Практично всі ці ради застосовні і до Win 2000. (Місцеположення деяких параметрів змінилося. Деякі з них знайшли віддзеркалення в інтерфейсі користувача, зокрема об'єкт політики груп Computer Configuration Windows Settings\security Settings\local Policies\security Options).
•  Скористайтеся рекомендаціями по забезпеченню безпеки Iis5, приведеними за адресою http://www.microsoft.com
  /security. Завантажите також засіб конфігурації Iis5, що забезпечує можливість налаштування призначених для користувача шаблонів.
•  Інформація по захисту SQL Server 7.0 для Win 2000 міститься за адресою http://www.microsoft.com/
  technet/sql/technote/secure.asp.
•  Пам'ятаєте, що атаки, як правило, не здійснюються на системному рівні. Частіше до різних погроз схильний рівень додатків, особливо це стосується сучасних застосувань на основі Web-технологий. На основі приведеної в цьому розділі інформації необхідно, звичайно, захистити рівень операційної системи, але основні зусилля слід зосередити на захисті рівня додатків.
•  Може це покажеться смішним, але упевніться в коректності версії Win 2000. Продукти Win 2000 Server і Advanced Server задіюють безліч служб (особливо як контроллери домена для служби Active Directory), тому їх необхідно захищати від недовірених мереж, користувачів і інших ненадійних об'єктів.
•  Для забезпечення хорошою зашиті застосовуйте принцип мінімалізму: якщо нічого атакувати, то атака неможлива. Відключите всі необов'язкові служби (за допомогою services .msc). Забезпечте необхідну безпеку для обов'язкових служб, що залишилися. Наприклад, набудуйте службу DNS так, щоб обмежити можливості перенесення зони.
•  Якщо служби файлів і друку необов'язкові, запустите аплет Network and Dial-up Connections, а потім виберіть команду Advanced => Advanced Settings і скиньте прапорець File And Printer Sharing for Microsoft Networks для кожного адаптера, щоб відключити використання протоколу NETBIOS поверх Tcp/ip, як показано на мал. 6.1 на початку цього розділу. Це якнайкращий спосіб налаштування зовнішніх інтерфейсів підключеного до Internet сервера.
•  Використовуйте фільтри Tcp/ip і Ipsec (описані в цьому розділі) для блокування доступу до портів, що прослуховуються, за винятком мінімального необхідного набору відкритих портів.
•  Захистите сервери, що мають вихід в Internet, за допомогою брандмауера або маршрутизатора, щоб обмежити DoS-атаки. Крім того, за допомогою описаних в цьому розділі методів захиститеся від стандартних DoS-атак.
•  Регулярно встановлюйте сервісні пакети і модулі оновлення. Список цих засобів, що розширюється з кожним днем, можна знайти за адресою http://www.microsoft.сот/security.
•  Обмежте привілеї інтерактивних облікових записів, щоб у зародку запобігти атакам, направленим на розширення привілеїв.
•  По можливості завершуйте термінальні сеанси, а не просто відключайтеся від термінального сервера і не залишайте відкритих сеансів на "розтерзання" зломщикам, що отримали права адміністратора.
•  Використовуйте нові засоби типу Group Policy (gpedit.msc) і Security Configuration and Analysis з додатковими шаблонами для реалізації розподіленої схеми захисту середовища Win 2000.
•  Дотримуйтеся строгих правил фізичного захисту від атак в автономному режимі проти файлу SAM і засоби EFS, описаних в цьому розділі. Зберігаєте системний ключ на гнучкому носієві або захищайте його паролем. Забезпечте фізичну захищеність життєво важливих серверів, встановите для них паролі на BIOS і відключите дисководи для знімних носіїв, яких можна використовувати для завантаження в систему за допомогою альтернативної операційної системи.
•  Скористайтеся інформацією з довідкової системи по раціональному використанню шифрування файлової системи. Реалізуйте шифрування на рівні каталогів для максимального числа користувачів, особливо для користувачів переносних комп'ютерів. Не забудьте експортувати ключ агента відновлення, а потім видалити його з локальної машини, щоб не піддавати зашифровані файли атакам в автономному режимі.
•  Підпишіться на бюлетень Ntbugtraq (http://www.ntbugtraq.com), щоб бути в курсі обговорення останніх новин, що стосуються безпеки Nt/2000. Якщо об'єм інформації в цьому бюлетені для вас дуже великий, підпишіться на дайджест, щоб отримувати всі найважливіші повідомлення за даний період. Для підписки на дайджест потрібно відправити за адресою listserv@listserv.ntbugtraq.com повідомлення наступного змісту "set Ntsecurity digest" (тему повідомлення задавати не треба).
•  Бюлетень Win2ksecadvice за адресою http://www.ntsecurity.net багато в чому дублює Ntbugtraq, але може містити і нову інформацію. Для нього теж існує компактний варіант дайджеста.