IMHO.WS - Показать сообщение отдельно - Безопасность в системах Windows NT (Windows 2000, Windows XP)

ShooTer · 06.11.2003, 13:19

ПОЛЬЗОВАТЕЛЬСКИЕ АККАУНТЫ

Во многих источниках проскакивает информация, что при работе в NT неплохо бы изменить логин администратора (administrator) на что-нибудь менее броское, да и сам Microsoft рекомендует смену имени учетной записи админа как одно из первых действий после установки системы. Теперь-то тебе уже должно быть понятно, для чего такие предосторожности. Есть куча программ (в том числе и упомянутая выше nbtstat), которые могут зафиксировать нахождение пользователя в системе, и если таким пользователем будет Administrator, то это значит, что взломщику нужно будет подбирать только пароль! Поэтому идем в посещенные нами сегодня Local Security Policy -> Security Options, и в политике Rename administratior account задаем свое имя.

Последние штрихи

После того как мы пофиксили очевидные недочеты, наведем финальный лоск. Эти советы ты наверняка мог прочитать во всех статьях по WinNT, но все же...

Во-первых, отключи все ненужные тебе сервисы. Подчеркиваю - все. Если сомневаешься, выстави режим запуска не в Disabled, а в Manual. Просто если данный сервис понадобится, то система предложит его запустить. Все знают о GUI'вой оболочке управления сервисами (Administrative Tools -> Services), но мало кто слышал про консольную, но более продвинутую утилиту sc.exe. В WinXP она включена по умолчанию, а для Win2000 входит в пакет Win2k Resource Kit. С помощью мощной sc.exe можно проворачивать гораздо больше операций. Так, например, узнаешь, что на самом деле степеней запуска сервисов семь, а не три, как показывает утилита Services.
Во-вторых, как ни банально это звучит, озаботься, чтобы на твоей системе стояли все последние хотфиксы и сервиспаки. Правда, недавняя практика установки SP3 и SP4 на Win2000 показывает, что не все так гладко, и не все то полезно, что лежит на Microsoft TechNet в разделе Downloads, но это скорее исключение из правил. К тому же MS в целях в том числе и заботы о пользователях представил сканер системы на установленные патчи - MS Baseline Security Analyser (и его расширенную консольную версию nshc.exe). Не пренебрегай этими утилитами, благо проверять свою систему на неустановленные модули обновления еще никогда не было так просто. Между делом замечу, что превратиться в еще одну утилиту для хакеров (как случалось с некоторыми программами из Win2k Resource Kit) MBSA, видимо, не суждено. Ведь для того чтобы просканировать систему, нужно иметь на ней права администратора. Впрочем, не забывай и об остальных популярных сканерах безопасности. Напомню, что всевозможные X-Spider'ы, ShadowSecurityScanner'ы, Retina'ы и прочие Nessus'ы создавались как раз для аудита системы, а не для изучения жертвы. Воспользуйся ими и увидишь, насколько уязвима твоя собственная система.

В-третьих, по возможности никогда не выполняй повседневные дела под аккаунтом администратора, пусть и переименованным. В NT распределение полномочий пользователей основано на списках контроля доступа (ACL - Access Control List), определяющих права доступа юзера к папкам/файлам/ключам реестра. Поэтому в случае подсовывания тебе банального трояна и запуске его от имени администратора, права зловредной программы будут также абсолютными. Если понадобится запустить какую-либо программу под админом, используй встроенную службу RunAs (вызывается по нажатию правой кнопкой мыши по экзешнику или из консоли).

В завершение поставь себе хороший персональный фаервол. Без него сейчас никуда.

ВЫВОДЫ

А теперь всё по пунктам. Чтобы оставаться более-менее спокойным в сети нужно:
1. Иметь только одну Win-систему (без всяких 98-х).
2. Перевести все диски в формат NTFS (используем Partition Magic)
3. Закрываем все шары (особенно взгляните на 135 порт, т.к. существует очень злой эксплоит под названием kaht2, с помощью которого любой желающий сможет получить доступ к вашему жёсткому диску (если вы хотя бы не установили соответствующую заплату с сайта Microsoft).
4. Следим-закрываем запущенные сервисы.
5. Следим за обновлениями Windows (проверяем себя на существование уязвимостей при помощи xSpider (в строке адрес пишем 127.0.0.1)) .
6. Ставим файрвол (например, Agnitum Outpos), хотя на них не слишком стоит надеяться.

FerrUM www.hackzone.ru

06.11.2003, 13:19	# 2
ShooTer Chameleon MOD Регистрация: 29.04.2003 Сообщения: 2 515	Безопасность в системах Windows NT (Windows 2000, Windows XP) - II ПОЛЬЗОВАТЕЛЬСКИЕ АККАУНТЫ Во многих источниках проскакивает информация, что при работе в NT неплохо бы изменить логин администратора (administrator) на что-нибудь менее броское, да и сам Microsoft рекомендует смену имени учетной записи админа как одно из первых действий после установки системы. Теперь-то тебе уже должно быть понятно, для чего такие предосторожности. Есть куча программ (в том числе и упомянутая выше nbtstat), которые могут зафиксировать нахождение пользователя в системе, и если таким пользователем будет Administrator, то это значит, что взломщику нужно будет подбирать только пароль! Поэтому идем в посещенные нами сегодня Local Security Policy -> Security Options, и в политике Rename administratior account задаем свое имя. Последние штрихи После того как мы пофиксили очевидные недочеты, наведем финальный лоск. Эти советы ты наверняка мог прочитать во всех статьях по WinNT, но все же... Во-первых, отключи все ненужные тебе сервисы. Подчеркиваю - все. Если сомневаешься, выстави режим запуска не в Disabled, а в Manual. Просто если данный сервис понадобится, то система предложит его запустить. Все знают о GUI'вой оболочке управления сервисами (Administrative Tools -> Services), но мало кто слышал про консольную, но более продвинутую утилиту sc.exe. В WinXP она включена по умолчанию, а для Win2000 входит в пакет Win2k Resource Kit. С помощью мощной sc.exe можно проворачивать гораздо больше операций. Так, например, узнаешь, что на самом деле степеней запуска сервисов семь, а не три, как показывает утилита Services. Во-вторых, как ни банально это звучит, озаботься, чтобы на твоей системе стояли все последние хотфиксы и сервиспаки. Правда, недавняя практика установки SP3 и SP4 на Win2000 показывает, что не все так гладко, и не все то полезно, что лежит на Microsoft TechNet в разделе Downloads, но это скорее исключение из правил. К тому же MS в целях в том числе и заботы о пользователях представил сканер системы на установленные патчи - MS Baseline Security Analyser (и его расширенную консольную версию nshc.exe). Не пренебрегай этими утилитами, благо проверять свою систему на неустановленные модули обновления еще никогда не было так просто. Между делом замечу, что превратиться в еще одну утилиту для хакеров (как случалось с некоторыми программами из Win2k Resource Kit) MBSA, видимо, не суждено. Ведь для того чтобы просканировать систему, нужно иметь на ней права администратора. Впрочем, не забывай и об остальных популярных сканерах безопасности. Напомню, что всевозможные X-Spider'ы, ShadowSecurityScanner'ы, Retina'ы и прочие Nessus'ы создавались как раз для аудита системы, а не для изучения жертвы. Воспользуйся ими и увидишь, насколько уязвима твоя собственная система. В-третьих, по возможности никогда не выполняй повседневные дела под аккаунтом администратора, пусть и переименованным. В NT распределение полномочий пользователей основано на списках контроля доступа (ACL - Access Control List), определяющих права доступа юзера к папкам/файлам/ключам реестра. Поэтому в случае подсовывания тебе банального трояна и запуске его от имени администратора, права зловредной программы будут также абсолютными. Если понадобится запустить какую-либо программу под админом, используй встроенную службу RunAs (вызывается по нажатию правой кнопкой мыши по экзешнику или из консоли). В завершение поставь себе хороший персональный фаервол. Без него сейчас никуда. ВЫВОДЫ А теперь всё по пунктам. Чтобы оставаться более-менее спокойным в сети нужно: 1. Иметь только одну Win-систему (без всяких 98-х). 2. Перевести все диски в формат NTFS (используем Partition Magic) 3. Закрываем все шары (особенно взгляните на 135 порт, т.к. существует очень злой эксплоит под названием kaht2, с помощью которого любой желающий сможет получить доступ к вашему жёсткому диску (если вы хотя бы не установили соответствующую заплату с сайта Microsoft). 4. Следим-закрываем запущенные сервисы. 5. Следим за обновлениями Windows (проверяем себя на существование уязвимостей при помощи xSpider (в строке адрес пишем 127.0.0.1)) . 6. Ставим файрвол (например, Agnitum Outpos), хотя на них не слишком стоит надеяться. FerrUM www.hackzone.ru __________________ "That vulnerability is completely theoretical."