Інвентаризація
В розділі 3 було показано, як з операційної системи Windows NT 4.0 можна отримати відомості про облікові записи, спільно використовуваних ресурсах і іншу інформацію. Було показано, що служба NETBIOS передає ці дані анонімним користувачам, проникаючим в систему через нещасливий нульовий сеанс. Там же було вказано, що служба активних каталогів надає цю інформацію неаутентіфіцированним зловмисникам. Тут ми знову не описуватимемо ці види атак, проте відзначимо, що Windows 2000 забезпечує деякі нові можливості за рішенням проблем із службами NETBIOS і SMB.
Одним з
найбільш істотних нововведень Windows 2000 є можливість обійтися без протоколу NETBIOS. Як було показано в розділі 3, службу NETBIOS, що працює поверх протоколу Tcp/ip, можна відключити за допомогою команди Properties of Network&dial-up Connection^properties of Internet Protocol (Tcp/ip) c*advanced(Khonka)[=>
WINS(Bknaflka)=>Disable NETBIOS Over Tcp/ip.
Проте
не все так просто. Слід зазначити, що, не дивлячись на відключення транспортного протоколу NETBIOS, Windows 2000 при цьому продовжує використовувати протокол SMB поверх TCP (порт 445) для сумісного використання файлів (див. таблиці. 6.1).
Таким чином, компанія Microsoft зіграла злий жарт з недосвідченими користувачами, які, відключивши службу NETBIOS поверх Tcp/ip (за допомогою вкладки WINS діалогового вікна властивостей з'єднання для локальної мережі) вважатимуть, що всі проблеми з нульовим сеансом вирішені. Насправді це не так. Таке відключення закриває лише порт TCP 139, але не 445. На перший погляд може здатися, що це досить для вирішення проблем з нульовим сеансом, оскільки зловмисники, що не встановили сервісний пакет Service Pack 6a, не можуть підключитися через порт 445 і відкрити нульовий сеанс. Проте клієнтам Windows 2000 і користувачам ранішої операційної системи з сервісним пакетом Service Pack 6a така можливість доступна. Отже, вони можуть виконувати інвентаризацію, використовувати команди user2sid/sid2user і виконувати інші небезпечні дії, детально описані в розділі 3. Тому не слід помилятися з приводу наявності нових команд в інтерфейсі і втрачати пильність.
Відключення служб Netbios/smb в Windows 2000
На
щастя, можна відключити і порт 445, проте ця операція виконується окремо для кожного конкретного адаптера (подібно до операції відключення порту 139 в NT 4). При цьому спочатку необхідно знайти відповідну вкладку (можливо, вона перемістилася в нове, нікому невідоме місцеположення — ще один недолік графічного інтерфейсу). Тепер її можна відкрити за допомогою аплета Network and Dial-up Connections, вибравши команду
Advanced>advanced Settings, як показано на наступному малюнку.
При скиданні прапорця
File and Printer Sharing for Microsoft Networks (мал. 6.1) доступ до портів 139 і 445 через нульове з'єднання буде відключений (а за одне буде відключена і можливість сумісного використання файлів і принтерів). Для вступу до дії цих змін перезавантаження не потрібне (компанію Microsoft слід поблагодаріть за можливість установки багатьох мережевих параметрів, що дістала нарешті, без перезавантаження комп'ютера). Це як і раніше якнайкращий спосіб конфігурації зовнішніх інтерфейсів сервера, сполученого з Internet.
Мал.
6.1. Відключення служб NETBIOS і Smb/cifs, що забезпечують сумісне використання файлів і принтерів, в діалоговому вікні Advanced Settings аплета Network and Dial-up Connections
Порт TCP 139 відображатиметься в результаті Сканування портів навіть після виконання вказаних дій. Проте цей порт більше не надаватиме інформацію, пов'язану із службою NETBIOS.
Якщо ви не відключаєте протоколи Netbios/smb, не забувайте встановити значення параметра Restrictanonymous. Тепер це можна зробити за допомогою команди Administrative
Tools>local Security Policy (або Domain або Domain Controller>local
Policies>security Options>no Access Without Explicit Anonymous Permissions. Ця команда еквівалентна установці в системному реєстрі Windows 2000 значень 2 для параметра Restictanonymous.
Деякі можливі проблеми, пов'язані з установкою значення 2 для параметра Restictanonymous описані в базі знань Knowledge Base за адресою
http://eearch.support.micro8oft.com. (стаття Q246261).
Не забувайте, що обмежити доступ до даних протоколу NETBIOS або SMB можна також за допомогою фільтрів Ipsec.
|