Полное руководство по Microsoft Windows XP
Шрифт:
Необходимо тщательно наблюдать за добавлением пользователей в этой папке, потому что изменения могут свидетельствовать об активности взломщика. Например, если группа Все (Everyone) внезапно получит власть изменять локальные входы в систему, значит, кто-то вмешался в настройки. Вам может потребоваться изменить несколько стандартных параметров. Например, если вы отключаете учетную запись Гость (Guest), параметр Локальный вход в систему (Log On Locally) все еще продолжает содержать Гостя как одного из тех, кто может войти. Удаление Гостя из списка повысит уровень защиты системы.
Папка Параметры безопасности (рис. 22.5), содержит параметры, которые затрагивают системные процессы. Например, допустимо ограничить доступ к дисководу для компакт-дисков на вашей машине пользователям с правами локального входа. Неважно, что вы делаете в программе Проводник, – этот параметр остается без изменений (если вы не модифицируете его глобальную или локальную политику).
Некоторые более важные настройки защиты постоянно находятся в папке Параметры безопасности. Например, здесь можно найти настройки Интерактивный вход в систему: [контекст входа] (Interactive Logon). Применение необязательного сочетания клавиш Ctrl+Alt+Del определяет, заходят ли пользователи в систему непосредственно с входного экрана при запуске машины. Другие параметры изменяют сообщение и заголовок при входе в систему. С помощью настройки интерактивного входа в систему допустимо
Обратите внимание, что эта папка включает даже большее количество опций для настройки параметров аудита. Важно только понять, что следует контролировать. Windows XP обеспечивает средства, чтобы выполнять аудит почти всех видов действий операционной системы.
Политики открытого ключа
Папка Политики открытого ключ а (Public Key Policies) обычно содержит только одну вложенную папку, Файловая система EFS (Encrypting File System), где находятся все сертификаты системы (см. раздел «Цифровой сертификат» данной главы). Она предоставляет следующую информацию:
• кто владеет сертификатом;
• кто выпустил сертификат;
• когда истекает срок действия сертификата;
• как система использует сертификат;
• дружественное имя сертификата;
• статус сертификата;
• шаблон, используемый для создания сертификата.
Обычно нет необходимости что-либо делать с сертификатами на этой странице. Вы можете их удалять, экспортировать и открывать. Поскольку Windows XP обычно сохраняет сертификаты даже в случае, когда они устарели, вам придется лишь удалять ненужные. Открытие сертификата дает возможность ознакомиться с его содержимым. Полезную информацию о владельце сертификата можно найти на вкладке Дополнительно (Details) диалогового окна свойств сертификата (Certificate Properties).
Экспортировать сертификат требуется при отправке его кому-то еще или перемещении пользователя на другую машину. Щелкните правой кнопкой мыши по сертификату и выберите Все задачи → Экспортировать (All Tasks → Export) из контекстного меню. Появится окно Мастера экспорта сертификата (Certificate Export Wizard). Ниже показано, как экспортировать сертификат:
1. Щелкните по кнопке Далее. Появится диалоговое окно Экспортировать закрытый ключ (Export Private Key). Всегда экспортируйте закрытый ключ, если перемещаете сертификат на другую машину или создаете резервную копию, но не делаете этого, если собираетесь использовать сертификат совместно с кем-то еще.
2. Выделите опцию закрытого ключа и нажмите Далее. Появится диалоговое окно Формат экспортируемого файла (Export File Format). Параметры, которые вы увидите здесь, отличаются от параметров вашего локального компьютера и сети. Если вы экспортируете сертификат, чтобы применять его совместно с другим пользователем, выберите формат файла, который подходит к его машинной настройке.
3. Укажите формат экспортируемого файла и нажмите Далее. Появится диалоговое окно для экспорта файла (File to Export).
4. Введите или выберите имя файла и нажмите Далее. Появится завершающее диалоговое окно, где представлены все настройки для экспорта файла.
5. Проверьте параметры вывода сертификата и нажмите Далее. Мастер экспорта сертификата создаст файл за вас.
Политики безопасности IP
Windows XP обеспечивает средства для создания безопасной компьютерной среды. Папка Политики безопасности IP на Локальный компьютер (IP Security Policies on Local Computer) на локальном компьютере содержит следующие три пункта:
• Клиент (Client). Описывает реакцию клиента на запросы сервера и тип информации, которую клиент передает на сервер. Стандартные настройки позволяют клиенту связываться в открытом режиме (незашифрованный текст). Если сервер запрашивает безопасное подключение, клиент реализует тип используемой защиты;
• Сервер безопасности (Secure Server). Определяет параметры для безопасного серверного окружения. Настройка по умолчанию требует безопасной связи с клиентом, предпочтительно на основе протокола безопасности Kerberos. Сервер не разрешает любую форму незащищенной связи;
• Сервер (Server). Задает настройки для нормального серверного окружения. Стандартная настройка предлагает клиенту применять протокол Kerberos для обеспечения безопасности среды. Если клиент не отвечает, Windows XP будет передавать открытый (незашифрованный) текст.
Если дважды щелкнуть по любому из этих пунктов, появится диалоговое окно Cвойства: [имя политики] (Policy Properties). Вкладка Общие (General) содержит имя политики и ее описание, а также параметр, который определяет, как часто Windows XP проверяет данную политику на предмет изменения. Нажмите Дополнительно (Advanced), если хотите модифицировать основные настройки.
Вкладка Правила (Rules) включает руководства, используемые для управления параметром. Если вы хотите добавить новое правило, нажмите Добавить (Add). Допустимо редактировать и удалять ненужное правило посредством соответствующих кнопок. Всякий раз, когда вы добавляете новое правило, у вас есть выбор: обратиться к диалоговому окну Свойства: Новое правило (New Rule Properties) или Мастеру правил безопасности (Security Rule Wizard). Оба метода дают одинаковые результаты, но большинство пользователей предпочитают Мастер, поскольку с его помощью легче работать. Следующие шаги показывают, как создать новое правило обеспечения защиты, применяя Мастер правил безопасности:
1. Щелкните по кнопке Далее. Появится диалоговое окно Конечная точка туннеля (Tunnel Endpoint). Здесь имеется адрес конечной точки (удаленной машины) для связи. Если это общая настройка, оставьте данное окно незаполненным.
2. Если необходимо, введите значение конечной точки и нажмите Далее. Появится диалоговое окно Тип сети (Network Type). Windows XP делит правила на три группы: распространяющиеся на все сети, на локальную сеть и на удаленные соединения любого типа.
3. Выберите тип сети и нажмите Далее. Откроется диалоговое окно Метод проверки подлинности (Authentication Method). Windows XP не поддерживает протокол безопасности Kerberos без контроллера домена (сервера Windows), который устанавливает служба каталогов Active Directory [53] . Если у вас малая сеть без требуемой поддержки, воспользуйтесь другим методом проверки подлинности в политике.
4. Укажите метод проверки подлинности для правила безопасности. Впишите необходимую информацию и нажмите Далее. Отобразится диалоговое окно Список фильтров IP (IP Filter List). Если вы не хотите устанавливать новый фильтр, Windows XP предложит выбрать стандартный IP или любой из списка фильтров для трафика ICMP (Internet Control Message Protocol). Даже если вы уже задали один из стандартных фильтров, несложно выделить необходимую опцию и нажать кнопку Изменить (Edit), чтобы изменить параметры. Никогда не удаляйте опцию фильтрации по умолчанию.
5. Выберите или создайте опцию IP-фильтрации и нажмите Далее. Появится диалоговое окно Действие фильтра (Filter Action). Фильтр обычно предусматривает три сценария действия. Первый разрешает незащищенные протоколы. Второй требует защищенного протокола, но позволяет использовать незащищенные транзактные сообщения, если клиент или сервер не обеспечивают поддержки. Третий нуждается в защищенных транзактных сообщениях. Сценарии создают при необходимости, используя кнопку Добавить.
6. Выберите или создайте сценарий действия IP-фильтра и нажмите Далее. Откроется завершающее диалоговое окно Мастера нового правила.
7. Щелкните по кнопке Готово. Мастер правил безопасности создаст новое правило.
Безопасность сети
Обеспечение безопасности вашей машины – первый шаг в создании защищенной среды. Однако вы не можете игнорировать саму сеть, потому что взломщик рано или поздно проникнет в нее. Сеть более уязвима для атак, потому что серверы отвечают на запросы – именно в этом крайне заинтересован взломщик. Чаще всего сетевые атаки происходят по каналам новостей. Некоторые атаки на сети, такие как Code Red и Code Blue, разрушительны по своему масштабу. Они затрагивают не только вашу сеть, но и любую другую, с которой ваша сеть взаимодействует.
Многие компании имеют сложную политику защиты, потому что они либо очень большие, либо выполняют что-нибудь особенное, например задание правительства. Если вы трудитесь в компании, подобной этим, то, вероятно, обратитесь за помощью к фирмам, разрабатывающим системы безопасности компьютерных сетей, чтобы установить оптимальную систему безопасности. Желательно нанять хакеров, чтобы имитировать атаку на сеть.
Большинство компаний, однако, имеет более простые требования к безопасности сети. Эти требования можно разбить на три типа, в зависимости от области, на которые они распространяются:
• рабочая группа (Workgroup) определяет защиту пользователей, с которыми вы работаете. Вы можете иметь сервер рабочей группы или групповые политики (Group Policies), которые распространяются на рабочую группу. Система безопасности на уровне рабочих групп – это защита от опасности, возникающей внутри самой группы;
• домен (Domain) задает защиту в компании или филиале. Домен – совокупность
• другие серверы (Other Servers) создает защиту для специализированных серверов, например для конечных серверов, серверов баз данных, Internet-серверов, файловых и печати (допустим, Linux-сервер для работы в Internet или NetWare-сервер для работы с файлами и печати). Большинство сетевых атак на специализированные серверы, осуществляемых продвинутыми взломщиками, происходит на этом уровне. Администраторы считают, что сначала хакеры атакуют Windows-машины, потому что в Windows проникнуть легче, чем в другие операционные системы.
Теперь, когда вы знаете, что угрожает безопасности системы, рассмотрим рабочие группы, домены и другие серверы. В следующем разделе вы получите более подробную информацию о трех уровнях сетевой защиты, которую вы должны использовать при создании системы безопасности сети.
Рабочая группа
Рабочая группа – это небольшая структурная единица. Она обычно устанавливается в отдельном подразделении в пределах компании, например в бухгалтерии или целевой группе. Во многих случаях рабочая группа предполагает одноранговые подключения и общедоступные папки. В некоторых случаях она содержит не слишком мощный сервер, чтобы хранить данные и обеспечивать возможность печати. Вообще рабочая группа не полагается на контроллер домена, даже если сервер использует Windows Server в качестве операционной системы. Мы обсудим, что представляет собой контроллер домена, в разделе «Домен» данной главы.
Может показаться, что небольшой рабочей группе не требуется основательной системы защиты, но нельзя позволять себе пренебрегать ею на этом уровне. Большинство экспертов по безопасности компьютерных сетей приходят к выводу, что раздраженные служащие являются большей проблемой, чем, например, локальный взломщик. Хорошая защита рабочей группы включает три элемента:
• учетные записи пользователей (User Accounts). Первое место при защите рабочей группы занимает работа с учетными записями пользователя. Применение групп позволяет легко настроить защиту. Убедитесь, что каждый сотрудник устанавливает пароль и изменяет его. Проверьте, чтобы пароли были достаточно сложными для взломщиков (см. раздел «Оснастка Локальные пользователи и группы» главы 21);
• общие ресурсы (Shared Resources). Некоторые ресурсы сети всегда являются общими. Например, наверняка вся рабочая группа использует принтеры. Однако другие ресурсы, в частности дисководы, требуют ограниченного совместного доступа (см. раздел «Совместное использование файлов и принтеров» главы 21);
• защищенный ресурс (Secured Resource). «Проще предоставить доступ к ресурсу, чем запретить его» – каждый сетевой администратор должен повесить это правило на видном месте. Во время инсталляции сети все ресурсы компьютера по умолчанию недоступны для общего применения, поэтому пользователь не может потерять то, о чем и не подозревает. Однако, как только пользователь узнает о существовании ресурса, удалить доступ к нему становится трудно: даже если человек не имеет никакой потребности в ресурсе и никогда к нему не обращается, запрещение доступа вызывает ощущение потери. В большинстве случаев лучше не предоставлять доступ к ресурсу, пока не станет очевидно, что пользователь действительно нуждается в нем.
После того как вы выполните эти три задачи, вы можете честно говорить, что ваша сеть защищена. Вы гарантируете, что каждый имеет то (и только то), в чем он действительно нуждается, и что доступ к другим ресурсам затруднен. Однако установка системы безопасности – только часть дела. Вы должны проводить мониторинг сети и изменять настройки защиты при обнаружении каких-либо признаков сетевых атак. Защита, даже для рабочей группы, является непрекращающимся процессом.Домен
Поскольку сеть постоянно разрастается, она требует более мощного сервера и лучшей системы управления. Фактически вы можете почувствовать, что нуждаетесь в нескольких серверах для управления сетью. В этом случае имеется некоторая выгода. Защита, которую вы использовали с рабочей группой, не взаимодействует с большой системой. Теперь для сети необходим контроллер домена.
Контроллер домена – специальный вид установки сервера Windows (или другого). В большинстве случаев допустимо настроить стандартный Windows-сервер как контроллер домена с помощью команды DCPROMO. Не имеет значения, какой сервер вы применяете: его настройка на контроллер домена изменяет ваши сетевые связи. Сервер работает так же, как конфигурация клиент-сервер, используемая другими операционными системами, хотя на самом деле эта конфигурация более похожа на одноранговое подключение.
В настройке клиент-сервер рабочая станция посылает запрос на сервер, и сервер либо принимает его, либо отвергает. Вся защитная, машинная и пользовательская информация приходит из центральной зоны. Система проще в управлении, когда вы имеете большое количество машин. Кроме того, множество контроллеров домена может совместно использовать информацию, а значит, изменение на одном сервере сети отразится на всех остальных.
Защита также становится более сложной. Обычно вы устанавливаете групповые, а не локальные политики. Групповые политики распространяются на сеть в целом и служат для задания таких характеристик, как длина и тип пароля. Групповые политики также затрагивают процедуры входа в систему, например требование нажать комбинацию клавиш Ctrl+Alt+Del перед входом в систему. Локальные политики ограничивают доступ к специализированным машинам. Так, вы можете применить политику аудита к определенному компьютеру, чтобы заставить Windows XP регистрировать все вхождения в него.
Другие серверы
Большинство обычных сетей сегодня включают несколько серверов, и по крайней мере один из них использует в качестве операционной системы не Windows. В подавляющем числе сетей в качестве второй операционной системы установлены NetWare или Linux. Часто требуется интегрировать несколько сетевых операционных систем в единое целое.
С точки зрения защиты применение других ОС предполагает некоторый элемент риска и повышает запросы к подготовке сетевых администраторов. Например, в разделе «Использование программы Проводник с клиентом NetWare» главы 21 говорилось, что инсталляция клиента для сетей NetWare изменяет вид программы Проводник в Windows, но это изменение необходимо для сетевых администраторов. Клиент для сетей Microsoft не обеспечивает полного доступа ко всем функциям системы NetWare, потенциально создавая лазейку в защите.
Гетерогенная сеть добавляет гибкости вашей системе, однако следует учитывать потребности другой сетевой ОС. Например, при использовании Linux нужно задавать параметры непосредственно на сервере, чтобы устанавливать и конфигурировать доступ должным образом. Windows XP не содержит встроенных функций Linux, так что все должно появляться только на сервере Linux. В большинстве случаев, чтобы выполнить подключение, понадобится приложение Samba.
Примечание
Samba – это пакет программных инструментов, который позволяет подключать ресурсы Linux к компьютеру Windows. Такая совместная работа возможна для обоих компьютеров. Пакет Samba удобен, чтобы войти на сервер Linux и получить доступ к Windows из Linux, используя клиентскую часть Samba. Более детальная информация об этом пакете представлена на сайте http://www.samba.org/.
С точки зрения Windows, ОС Linux выглядит аналогичной любой машине Windows. Секрет здесь в машинной конфигурации Linux. Конечно, можно сказать то же самое о NetWare. Пока вы не добавите поддержку длинного имени файла к NetWare, она напоминает MS DOS. А после установки поддержки сервера система становится похожей на Windows. Иначе говоря, смешивание операционных систем в сети повышает сложность вашей системы защиты.
Безопасность при работе в Internet
Вопрос о безопасности при работе в Internet стал особенно актуальным в последнее время, и я полагаю, что ситуация еще более накалится, прежде чем будет принято какое-то кардинальное решение. Во многом это даже не проблема защиты, о которой мы здесь говорим, а проблема доступа. Защита подразумевает, что вы что-то блокируете, и здесь все ясно – в противоположность тому, как люди фактически используют Internet. Доступность информации, но доступность только для тех, с кем вы действительно хотите ее разделить – вот проблема защиты в Internet.
Существует несколько точек зрения на проблему обмена информацией. Вы вправе обмениваться информацией добровольно, или кто-то может похитить ее у вас. Рассмотрим только одну форму обмена данными, которая расценивается как похищение. Обычно вы регистрируете программное обеспечение интерактивно, не пользуясь оплатой по почте. Процесс передачи достаточно прост, но вам вдруг кажется, что он занимает слишком много времени. И только после того, как вы увидите, что на самом деле было передано, вы понимаете, что некто, например поставщик каких-то услуг или товаров, не только получил от вас нужную информацию, но и произвел полный осмотр содержимого вашего компьютера.
Некоторые люди также сомневаются в необходимости тех сведений, которые поставщик запрашивает открыто. Ряд экспертов считают требования по защите при работе в Internet и сохранение конфиденциальности или своих частных интересов двумя сторонами одной монеты. Посмотрите на формы, которые вы заполняете интерактивно. Анкета регистрации для сайта может включать ваше имя, адрес, номер телефона и адрес электронной почты. Вы только что дали владельцу Web-сайта все необходимое, чтобы он мог войти в контакт с вами, используя определенные средства, в нежелательной для вас ситуации. Взломщик выслеживает и похищает эту информацию у владельца Web-сайта, а затем передает ее по сети. Конфиденциальность оказалась под угрозой из-за публикации ваших данных.