ALiEN Assault
Windows 2000 вкрутую
DISCLAIMER:
Статья предназначена в первую очередь для системных администраторов,
невнимательное выполнение предлагаемых инструкций может привести к
неработоспособности системы.
Пожалуй, Windows 2000 на данный момент является наиболее приемлемой в своём
семействе операционной системой для рабочих станций. Ниже будет рассмотрено,
как обеспечить максимальную безопасность работы в сети для станции под W2K.
Большинство руководств по защите рабочей станции ограничиваются
рекомендациями "не открывать подозрительные вложения", "не устанавливать
нелицензионные программы" и т.д.; в некоторых, мягко говоря, мотивированных,
случаях, делается упор на тот или иной программный продукт как панацею от всех
бед.
В этой статье подобные вопросы рассмотрены не будут. Ниже приводятся
рекомендации по практической защите рабочей станции под Windows 2000,
преимущественно при помощи "родных" средств системы. Система, рассматриваемая в
статье - W2KSP4 pro rus с патчами MS04-011, MS04-012, MS04-024 и dial-up
подключением.
Патчи Сервисы TCP/IP
Патчи
Всеми любимая компания регулярно радует пользователей новыми патчами,
патчами к патчам и так далее. Устанавливать всё, что выпускает под видом патчей
M$, неоправданно и небезопасно. Как же определиться с необходимым минимумом
заплаток?
Как ни странно, под лэйблом той же компании выходит вполне приличный
инструмент patch management'а - Baseline Security Analyzer (MBSA). После
сканирования системы на предмет наличия/ отсутствия патчей, в файл отчёта
пишется список предлагаемых патчей, из которых легко выбрать действительно
нужные - так, я при написании этого материала установил 3 патча из предложенных
19. Помимо анализа патчей, MBSA проводит поиск некоторых других уязвимостей
(незащищённые аккаунты, расшаренные каталоги) так что вердикт - рекомендовать к
применению.
Любопытное решение проблемы spyware реализовано Javacool Software в
бесплатном продукте SpywareBlaster, который тоже можно отнести к патчам, исходя
из принципа действия. В отличие от большинства анти-spyware разработок,
"вычищающих" агрессивные компоненты из системы, SpywareBlaster предотвращает
возможность заражения, дописывая т.н. kill bit к CLSID'ам опознанных
компонентов. В последних версиях появилась также защита браузеров Mozilla и
Firefox.
SpywareBlaster
Cервисы
Что касается сервисов, то эти штучки вдоволь попили крови не одного админа
8Е Решение - отключить или, по крайней мере, поставить на "ручной тормоз" как
можно больше сервисов, щедро навключенных в default installation. На особо
вредных я остановлюсь подробнее.
RPC DCOM - фактически бесполезная для рабочей станции служба, однако представляющая
серьёзную угрозу безопасности - на ошибках RPC DCOM паразитирует ряд опасных
червей и эксплойтов.
Отключается RPC DCOM следующим образом:
dcomcnfg.exe - Default Protocols - удалить все протоколы
снять чек-бокс Enable Distributed COM on this Computer
Вот список приложений, которым действительно требуется RPC DCOM:
(cогласно FAQ по уязвимостям RPC DCOM)
* Microsoft Access Workflow Designer
* FrontPage с Visual Source Safe на IIS
* BizTalk Server schedule client
* Excel использует DCOM, если он включает RTD инструкцию
* Microsoft Exchange Conferencing Server
* Dell Open Manage suite
* Veritas Backup Exec, Network based backup.
* Citrix NFuse Elite
* Sophos (Antivirus) Enterprise Manager
* SMS 2.0
DHCP & DNS - в действительности, никакой необходимости в этих сервисах как правило нет.
Встречаются рекомендации (например, в отличном руководстве Hardening Windows 2000)
отключить только DHCP-клиент, что, однако, приводит к необходимости перезапуска
DNS-клиента. На системе, о которой идёт речь в статье, присутствуют подключения к
двум ISP, для одного из которых потребовалось прописать адреса DNS-серверов, после
чего клиентские сервисы были остановлены без ущерба для функциональности.
NetBIOS - абсолютно не нужен вне локальной сети. Наиболее эффективным методом показало себя
удаление драйвера NetBIOS из списка устройств (для этого необходимо включить
отображение скрытых устройств).
Дополнительно можно отключить показ имени компьютера:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters
NoNameReleaseOnDemand = 1 (DWORD)
Подсистемы POSIX и OS/2 также лучше отключить из соображений безопасности.
Windows AutoUpdate - без комментариев =)
TCP/IP
Таким образом, у нас не остаётся открытых портов. Однако, если мы работаем
в сети, имеет место определённый TCP/IP траффик, который может также содержать
неприятные сюрпризы. Следующие модификации реестра позволят повысить
безопасность соединения. Большинство параметров, с которыми придётся работать,
по умолчанию отсутствуют, так что вооружаемся редактором реестра и вперёд:
Все модификации проводятся в
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters , значения DWORD:
AllowUnqualifiedQuery 0
DeadGWDetectDefault 0
DisableIPSourceRouting 2
EnableDeadGWDetect 0
EnableICMPRedirect 0
EnablePMTUBHDetect 0
EnableSecurityFilters 1
ForwardBufferMemory 74240
PerformRouterDiscovery 0
SynAttackProtect 2
Tcp1323Opts 3
TcpMaxConnectResponseRetransmissions 3
TcpMaxConnectRetransmissions 3
TcpMaxDataRetransmissions 3
TcpMaxHalfOpen 100
TcpMaxHalfOpenRetried 80
TCPMaxPortsExhausted 5
TcpUseRFC1122UrgentPointer 0
Ряд руководств рекомендует поставить значение EnablePMTUDiscovery = 0,
однако необходимо помнить, что это - рекомендация для сервера, не рабочей
станции.
На этом этапе тесты на уязвимости дают оптимистические результаты, однако
не стоит расслабляться - колесо кармы Windows продолжает крутится, накручивая
новые возможности для повышения безопасности системы =)
Использованная документация:
FAQ по уязвимостям DCOM/RPC
Antony Shaw - Case Study of a Compromised Administrator Workstation
NSA Security Recommendation Guides - Windows 2000 Security
Philip Cox - Hardening Windows 2000
Microsoft Windows 2000 Security Hardening Guide 1.3
Windows 2000 Home User Self-Defence Guide
Отдельного внимания заслуживает построение политики IPSEC. Здесь сложно
давать некие общие, универсальные рекомендации, поэтому приведу только краткий
список полезных документов:
Timothy Rogers - IP Security in Windows 2000: Step-by-Step
NSA Report C4-045R-01: Microsoft Windows 2000 IPsec Guide
http://www.ietf.org/html.charters/ipsec-charter.html