ALiEN Assault
Windows 2000 вкрутую

DISCLAIMER:
    Статья  предназначена  в  первую  очередь  для  системных  администраторов,
невнимательное    выполнение   предлагаемых   инструкций   может   привести   к
неработоспособности системы.
    
    Пожалуй, Windows 2000 на данный момент является наиболее приемлемой в своём
семействе  операционной  системой  для рабочих станций. Ниже будет рассмотрено,
как обеспечить максимальную безопасность работы в сети для станции под W2K. 
    Большинство   руководств   по   защите   рабочей   станции   ограничиваются
рекомендациями   "не  открывать  подозрительные  вложения",  "не  устанавливать
нелицензионные  программы"  и  т.д.; в некоторых, мягко говоря, мотивированных,
случаях,  делается упор на тот или иной программный продукт как панацею от всех
бед. 
    В  этой  статье  подобные  вопросы  рассмотрены  не  будут. Ниже приводятся
рекомендации   по   практической  защите  рабочей  станции  под  Windows  2000,
преимущественно при помощи "родных" средств системы. Система, рассматриваемая в
статье  -  W2KSP4  pro  rus  с  патчами  MS04-011, MS04-012, MS04-024 и dial-up
подключением.

Патчи  Сервисы TCP/IP

Патчи

    Всеми  любимая  компания  регулярно  радует  пользователей  новыми патчами,
патчами к патчам и так далее. Устанавливать всё, что выпускает под видом патчей
M$,  неоправданно  и  небезопасно.  Как же определиться с необходимым минимумом
заплаток?

    Как  ни  странно,  под  лэйблом  той  же  компании выходит вполне приличный
инструмент  patch  management'а  -  Baseline  Security  Analyzer  (MBSA). После
сканирования  системы  на  предмет  наличия/  отсутствия  патчей, в файл отчёта
пишется  список  предлагаемых  патчей,  из  которых легко выбрать действительно
нужные - так, я при написании этого материала установил 3 патча из предложенных
19.  Помимо  анализа  патчей,  MBSA проводит поиск некоторых других уязвимостей
(незащищённые аккаунты, расшаренные каталоги) так что вердикт - рекомендовать к
применению.

    Любопытное   решение  проблемы  spyware  реализовано  Javacool  Software  в
бесплатном продукте SpywareBlaster, который тоже можно отнести к патчам, исходя
из  принципа  действия.  В  отличие  от  большинства  анти-spyware  разработок,
"вычищающих"  агрессивные  компоненты  из системы, SpywareBlaster предотвращает
возможность   заражения,   дописывая   т.н.  kill  bit  к  CLSID'ам  опознанных
компонентов.  В  последних  версиях  появилась также защита браузеров Mozilla и
Firefox.
SpywareBlaster 

Cервисы

    Что  касается сервисов, то эти штучки вдоволь попили крови не одного админа
8Е  Решение  - отключить или, по крайней мере, поставить на "ручной тормоз" как
можно  больше  сервисов,  щедро  навключенных  в default installation. На особо
вредных я остановлюсь подробнее.

RPC DCOM - фактически бесполезная для рабочей станции служба, однако представляющая 
           серьёзную угрозу безопасности - на ошибках RPC DCOM паразитирует ряд опасных 
           червей и эксплойтов.
           Отключается RPC DCOM следующим образом:
           dcomcnfg.exe - Default Protocols - удалить все протоколы
           снять чек-бокс Enable Distributed COM on this Computer 

           Вот список приложений, которым действительно требуется RPC DCOM:
           (cогласно FAQ по уязвимостям RPC DCOM) 
           * Microsoft Access Workflow Designer  
           * FrontPage с Visual Source Safe на IIS  
           * BizTalk Server schedule client  
           * Excel использует DCOM, если он включает RTD инструкцию 
           * Microsoft Exchange Conferencing Server  
           * Dell Open Manage suite 
           * Veritas Backup Exec, Network based backup. 
           * Citrix NFuse Elite
           * Sophos (Antivirus) Enterprise Manager
           * SMS 2.0

DHCP & DNS - в действительности, никакой необходимости в этих сервисах как правило нет.
             Встречаются рекомендации (например, в отличном руководстве Hardening Windows 2000)
             отключить только DHCP-клиент, что, однако, приводит к необходимости перезапуска
             DNS-клиента. На системе, о которой идёт речь в статье, присутствуют подключения к
             двум ISP, для одного из которых потребовалось прописать адреса DNS-серверов, после
             чего клиентские сервисы были остановлены без ущерба для функциональности.

NetBIOS - абсолютно не нужен вне локальной сети. Наиболее эффективным методом показало себя
          удаление драйвера NetBIOS из списка устройств (для этого  необходимо включить
          отображение скрытых устройств).
          Дополнительно можно отключить показ имени компьютера:
          HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters 
          NoNameReleaseOnDemand = 1 (DWORD)

Подсистемы POSIX и OS/2 также лучше отключить из соображений безопасности.

Windows AutoUpdate - без комментариев =)

TCP/IP

    Таким  образом, у нас не остаётся открытых портов. Однако, если мы работаем
в  сети, имеет место определённый TCP/IP траффик, который может также содержать
неприятные   сюрпризы.   Следующие   модификации   реестра   позволят  повысить
безопасность  соединения. Большинство параметров, с которыми придётся работать,
по умолчанию отсутствуют, так что вооружаемся редактором реестра и вперёд:

Все модификации проводятся в 
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters , значения DWORD:

AllowUnqualifiedQuery                  0
DeadGWDetectDefault                    0
DisableIPSourceRouting	               2 
EnableDeadGWDetect                     0
EnableICMPRedirect                     0
EnablePMTUBHDetect                     0
EnableSecurityFilters                  1
ForwardBufferMemory                74240
PerformRouterDiscovery                 0
SynAttackProtect                       2
Tcp1323Opts                            3
TcpMaxConnectResponseRetransmissions   3
TcpMaxConnectRetransmissions           3
TcpMaxDataRetransmissions              3
TcpMaxHalfOpen                       100
TcpMaxHalfOpenRetried                 80   
TCPMaxPortsExhausted                   5
TcpUseRFC1122UrgentPointer             0

    Ряд  руководств  рекомендует  поставить  значение  EnablePMTUDiscovery = 0,
однако  необходимо  помнить,  что  это  -  рекомендация для сервера, не рабочей
станции.

    На  этом  этапе тесты на уязвимости дают оптимистические результаты, однако
не  стоит  расслабляться - колесо кармы Windows продолжает крутится, накручивая
новые возможности для повышения безопасности системы =)

Использованная документация:
FAQ по уязвимостям DCOM/RPC
Antony Shaw - Case Study of a Compromised Administrator Workstation
NSA Security Recommendation Guides - Windows 2000 Security
Philip Cox - Hardening Windows 2000 
Microsoft Windows 2000 Security Hardening Guide 1.3
Windows 2000 Home User Self-Defence Guide

    Отдельного  внимания  заслуживает  построение  политики IPSEC. Здесь сложно
давать  некие общие, универсальные рекомендации, поэтому приведу только краткий
список полезных документов:

Timothy Rogers - IP Security in Windows 2000: Step-by-Step
NSA Report C4-045R-01: Microsoft Windows 2000 IPsec Guide

http://www.ietf.org/html.charters/ipsec-charter.html