Настройка безопасности Windows XP

denix

Дата: Вторник, 2006-06-20, 0:16 AM | Сообщение # 1

Admin

Группа: Администраторы

Сообщений: 531

Репутация: 0

Статус: Offline

Автор: Владимир Безмалый
http://www.cpp.com.ua/

Одной из наиболее распространенных в настоящее время клиентских операционных систем является Microsoft Windows XP. Именно о защите клиентского компьютера (компьютера домашнего или офисного пользователя) и будет идти речь.

Не секрет, что любую атаку проще начинать с клиентского рабочего места, поскольку основное внимание в вопросах защиты администраторы традиционно уделяют серверам локальных сетей. Несомненно, на рабочих местах необходима и антивирусная защита, и усиленные меры идентификации и аутентификации пользователей. Однако в первую очередь необходимо все же обеспечить защиту с помощью встроенных средств операционной системы.

Настройка системы безопасности Windows XP

Операционная система Windows XP обладает развитой системой безопасности, которая, тем не менее, нуждается в настройке. Надеемся, вы понимаете, что система Windows XP должна устанавливаться на разделах NTFS, что применение файловой системы FAT32 не рекомендуется, исходя из принципов безопасности (встроенные средства безопасности просто не могут быть реализованы при условии применения FAT32). В случае применения файловой системы FAT 32 почти все утверждения данного раздела теряют для вас всякое значение. Единственный способ включить все разрешения файловой системы — это преобразовать диск в формат NTFS.

После чистой установки Windows XP предлагаемые по умолчанию параметры безопасности работают как переключатели типа "включить-выключить". Такой интерфейс носит по умолчанию название "Простой общий доступ" (Simple File Sharing).

Такая конфигурация обладает низким уровнем безопасности, практически совпадающей со стандартной конфигурацией Windows 95/98/Me.

Если вас не устраивает такая конфигурация, вы можете воспользоваться всей мощью разрешений для файлов в стиле Windows 2000. Для этого откройте произвольную папку в Проводнике и выберите Сервис > Свойства папки (Tools > Folder options). Перейдите на вкладку Вид, найдите в списке флажок Использовать простой общий доступ к файлам (рекомендуется) (Use File Sharing (recommended)) — и снимите его.

Свойства папки

Когда вы выключаете простой общий доступ, в диалоговом окне свойств любой папки появляется вкладка Безопасность. Аналогично осуществляется выдача разрешений на файлы. Все разрешения хранятся в списках управления доступом (Access Control List — ACL).

При установке и удалении разрешений руководствуйтесь следующими основными принципами:
Работайте по схеме "сверху вниз"
Храните общие файлы данных вместе
Работайте с группами везде, где это только возможно
Не пользуйтесь особыми разрешениями
Не давайте пользователям большего уровня полномочий, чем это абсолютно необходимо (принцип минимизации полномочий).

Настройка операционной системы

Как уже было сказано, нельзя настраивать встроенные средства безопасности на файловой системе FAT32. В связи с этим необходимо либо на этапе установки операционной системы (разметки диска) выбрать файловую систему NTFS, либо приступить к преобразованию файловой системы сразу же после установки ОС.

Преобразование файловой системы

Чтобы преобразовать диск из FAT (FAT32) в NTFS, воспользуйтесь утилитой Convert. Синтаксис команды:

CONVERT том: /FS:NTFS [/V] [/CvtArea:имя_файла] [/NoSecurity] [/X]

где:
том — определяет букву диска (с последующим двоеточием) точку подключения или имя тома;
/FS:NTFS — конечная файловая система: NTFS;
/V — включение режима вывода сообщений;
/CVTAREA:имя_файла — указывает непрерывный файл в корневой папке для резервирования места для системных файлов NTFS;
/NoSecurity — параметры безопасности для преобразуемых файлов и папок будут доступны для изменения всем;
/X — принудительное снятие этого тома (если он был подключен). Все открытые дескрипторы этого тома станут недопустимыми.

Если в вашей организации используется большое количество компьютеров, необходимо продумать процесс автоматизации установки ОС.

Существует два варианта автоматизации процесса установки:
Автоматизированная установка. В этом случае используется пакетный файл и сценарий (называемый файлом ответов) — благодаря этому отключаются запросы операционной системы, а необходимые данные выбираются из файлов ответов автоматически. Существует пять режимов автоматической установки.
Копирование диска (клонирование). В этом случае запускается утилита подготовки системы к копированию (sysprep.exe), которая удаляет идентификатор безопасности (Security Identifier — SID). Затем диск копируется с помощью программы клонирования дисков, например Ghost (www.symantec.com/ghost) или Drive Image (www.powerquest.com/driveimage). После копирования будет выполнена "сжатая" процедура установки (5-10 минут).

Вы установили операционную систему, однако самая тяжелая и продолжительная часть работы еще впереди.

Установка необходимых обновлений

Согласно документации установка ОС занимает около часа — но на самом деле установка, настройка, установка всех критических патчей (обновлений) займет, по меньшей, мере 4-5 часов (это при условии, что все патчи уже есть на жестком диске или CD-ROM и вам не нужно вытягивать их из интернета).

Итак, операционную систему вы установили. Для дальнейшей установки патчей есть два пути:
воспользоваться службой автоматического обновления Windows Update. Этот путь достаточно хорошо описан в литературе и каких-либо усилий со стороны программиста не требует. Однако предположим, что в вашей организации хотя бы 20 компьютеров. В таком случае вам придется воспользоваться этой службой 20 раз. Это не самый лучший способ, но если у вас быстрый канал и руководство не против такого способа выбрасывания денег, то этот путь вам может и подойти. Однако учтите, что при переустановке ОС все придется вытягивать заново;
воспользоваться каким-либо сканером безопасности для поиска необходимых патчей (обновлений). Для примера рассмотрим бесплатный сканер Microsoft Base Security Analyzer (в данной статье не будет подробно рассматриваться вопрос о методах работы с данным сканером). Данный сканер можно бесплатно загрузить с сайта Microsoft из раздела TechNet.
До начала тестирования необходимо будет извлечь файл mssecure.xml файл из http://download.microsoft.com/downloa....ure.cab Файл mssecure.xml должен быть помещен в ту же папку, где развернут Microsoft Base Security Analyzer. Результатом сканирования будет перечень необходимых патчей, которые вы должны будете установить на конкретном ПК.

На мой взгляд, удобнее применять коммерческие сканеры безопасности типа LAN Guard Network Scanner или XSpider.

LAN Guard Network Scanner

Этот сканер предназначен для поиска уязвимостей в компьютерных сетях не только на базе Windows. Однако в нашем случае можно легко воспользоваться им для поиска уязвимостей на отдельном компьютере. Вам будет рекомендовано посетить конкретные страницы бюллетеня безопасности от Microsoft.

Результат работы LAN Guard Network Scanner

В таком случае гораздо проще устанавливать обновления, появляется также возможность узнать, для устранения какой именно уязвимости создано данное обновление.

Стоит исследовать эти шаги подробнее:
Анализ. Посмотрите на текущую среду и потенциальные угрозы. Определите патчи, которые следует инсталлировать, чтобы сократить количество угроз вашей среде.
План. Установите, какие патчи нужно инсталлировать, чтобы сдерживать потенциальные угрозы и "прикрыть" обнаруженные уязвимые места. Определитесь, кто будет осуществлять тестирование и инсталляцию и какие шаги следует произвести.
Тестирование. Просмотрите доступные патчи и разделите их на категории для вашей среды.
Инсталляция. Инсталлируйте нужные патчи, чтобы защитить эту среду.
Мониторинг. Проверьте все системы после инсталляции патчей, чтобы удостовериться в отсутствии нежелательных побочных эффектов.
Просмотр. Важной частью всего процесса является тщательный просмотр новых патчей и вашей среды, а также выяснение того, какие именно патчи нужны вашей компании. Если во время просмотра вы обнаружите необходимость в новых патчах, начните снова с первого шага.

Примечание: настоятельно рекомендуется сделать резервную копию всей рабочей системы до инсталляции патчей.

Проверка среды на предмет недостающих патчей

Поскольку процесс этот непрерывен, вам следует убедиться в том, что ваши патчи соответствуют последним установкам. Рекомендуется постоянно следить за тем, чтобы иметь новейшую информацию о патчах. Иногда выпускается новый патч — и вам необходимо установить его на всех станциях. В других случаях в сети появляется новая станция, и на ней нужно установить все необходимые обновления. Вам следует продолжать проверку всех ваших станций, чтобы убедиться в том, что на них установлены все необходимые и актуальные патчи.

Вообще, вопрос установки патчей не так прост, как это кажется на первый взгляд. Однако полное рассмотрение этого вопроса выходит за пределы нашей статьи.

Следует учесть, что иногда после установки последующего патча возникает необходимость в переустановке предыдущего. По крайней мере, в моей практике такое встречалось неоднократно.

Итак, предположим, что все патчи установлены и дырок в вашей системе нет. Учтите, что это состояние только на текущий момент времени — вполне возможно, что завтра вам придется устанавливать новые патчи. Процесс этот, увы, беспрерывен.

Восстановление системных файлов

Полезная функция — если только ваш компьютер не используется исключительно для ресурсоемких задач типа игр. Так что лучше оставить ее включенной. При этом компьютер периодически создает слепки критичных системных файлов (файлы реестра, COM+ база данных, профили пользователей и т.д.) и сохраняет их как точку отката. Если какое-либо приложение снесет систему или если что-то важное будет испорчено, вы сможете вернуть компьютер в предыдущее состояние — к точке отката.

Эти точки автоматически создаются службой Восстановления системы (System Restore) при возникновении некоторых ситуаций типа установки нового приложения, обновления Windows, установки неподписанного драйвера и т.п. Точки отката можно создавать и вручную — через интерфейс Восстановления системы (System Restore): Пуск > Программы > Стандартные > Служебные > Восстановление системы (Start > Programs > Accessories > System Tools > System Restore).

Аналогичный результат можно получить и с помощью утилиты msconfig, которая запускается из режима командной строки или через Пуск > Выполнить.

Восстановление системных файлов опирается на фоновую службу, которая минимально сказывается на быстродействии и записывает снимки, отнимающие часть дискового пространства. Вы можете вручную отвести максимальный объем дискового пространства для данной службы. Можно также полностью отключить службу для всех дисков (поставив галочку Отключить службу восстановления). Поскольку служба восстановления системных файлов может влиять на результаты тестовых программ, то перед тестированием ее обычно отключают.

Автоматическая очистка диска

Для проведения очистки жесткого диска от ненужных файлов используется программа cleanmgr.exe. Ключи программы:
/d driveletter: — указывает букву диска, которая будет очищаться;
/sageset: n — эта команда запускает мастер очистки диска и создает в реестре ключ для сохранения параметров. Параметр n может принимать значения от 0 до 65535;
/sagerun: n — используется для запуска мастера очистки диска с определенными параметрами, которые были заданы заранее с помощью предыдущего ключа.

Для автоматизации этого процесса можно воспользоваться планировщиком заданий.

Удаление "скрытых" компонентов

В процессе установки Windows XP (в отличие от случая с Windows 9*/NT) не предусмотрена возможность выбора необходимых компонентов. На мой взгляд, это правильное решение: сначала следует установить операционную систему со всеми ее причудами — а уж затем, поработав с ней, решать, что оставить, а от чего избавиться.

Однако при этом в окне Add/Remove Windows Components, которое присутствует в аплете Add or Remove Programs контрольной панели, удалять-то практически нечего — многие из составляющих Windows скрыты от шаловливых ручек не слишком опытных пользователей. Для решения этой проблемы открываем системную папку Inf (по умолчанию — C:\Windows\Inf), находим там файл sysoc.inf, открываем его и удаляем во всех его строках слово HIDE. Главное при этом — оставить неизменным формат файла (то есть удалению подлежит только HIDE, запятые же до и после этого слова трогать не следует).

denix

Дата: Вторник, 2006-06-20, 0:19 AM | Сообщение # 2

Admin

Группа: Администраторы

Сообщений: 531

Репутация: 0

Статус: Offline

Для примера — исходная строка и то, что должно получиться:

msmsgs=msgrocm.dll,OcEntry,msmsgs.inf,hide,7

msmsgs=msgrocm.dll,OcEntry,msmsgs.inf,,7

Сохраняем файл sysoc.inf, открываем Add/Remove Windows Components — и видим уже куда более длинный список, чем тот, что был изначально (рис.). Правда, и в этом случае много удалить не получится.

Кстати, точно таким же образом можно поступить и в случае с Windows 2000…

Окно компонентов Windows XP

Вы можете задать резонный вопрос: а какое отношение имеет все это к безопасности?

Во-первых, если в вашей организации существует корпоративная политика в области использования программного обеспечения и в ней в качестве почтового клиента выбран, например, The Bat! или почтовый клиент Mozilla (Opera), то не стоит оставлять на компьютере насквозь дырявый Outlook Express и вводить пользователя в искушение пользоваться этим клиентом.

Во-вторых, если у вас не принято использовать службу мгновенных сообщений, то Windows Messenger лучше удалить.

И, наконец, избавьтесь от просто ненужных вам компонент. Меньше неиспользуемого ПО — меньше возможностей использовать его не по назначению (а, следовательно, вольно или невольно нанести вред вашей организации).

Настройка автоматически выполняемых программ

Одна из типичных проблем, связанных с безопасностью, это запуск программ типа "троянский конь" в процессе загрузки Windows XP. Программа может быть запущена автоматически одним из следующих способов:
добавление в папку Автозагрузка для данного пользователя;
добавление в папку Автозагрузка для всех пользователей;
ключ Run (компьютера) ключ реестра HKLM\Software\Microsoft\Windows\CurrentVersion\Run;
ключ Run (пользователя) ключ реестра HKCU\Software\Microsoft\Windows\CurrentVersion\Run;
ключ RunServices. Разница между RunServices и просто Run в том, что при запуске программы в ключе RunServices она будет запущена как обслуживающий процесс и при работе ей будет выделено меньше приоритетного процессорного времени. При запуске же в ключе Run программа запуститься как обычно с нормальным приоритетом;
папки Планировщика задач;
win.ini. Программы, предназначенные для 16-разрядных версий Windows, могут добавить строки типа Load= и Run= этого файла;
ключи RunOnce и RunOnceEx. Группа ключей реестра, которая содержит список программ, выполняемых однократно в момент запуска компьютера. Эти ключи могут относиться и к конкретной учетной записи данного компьютера HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnceEx;
групповая политика. Содержит две политики (с именами Запуск программ при входе пользователя в систему). Находятся в папках Конфигурация компьютера > Конфигурация Windows > Административные шаблоны > Система > Вход в систему (Computer configuration > Administrative Templates > System > Logon) и Конфигурация пользователя > Конфигурация Windows > Административные шаблоны > Система > Вход в систему (User configuration > Administrative Templates > System > Logon);
сценарии входа в систему. Настраиваются Групповая политика: Конфигурация компьютера > Конфигурация Windows > Сценарии и Конфигурация пользователя > Конфигурация Windows > Сценарии (входа в систему и выхода из системы);
файл autoexec.bat в корневом каталоге загрузочного диска. Все программы, которые вы хотите запустить из него, должны выполняться в реальном режиме DOS, поскольку выполнение этого командного файла происходит до загрузки графической оболочки. Используется для того, чтобы снова и снова копировать в Автозапуск из скрытой папки рекламные модули, которые пользователь удалил.

Для настройки списка автоматически вызываемых программ в состав Windows XP входит утилита Настройка системы (System Configuration Utility) — Msconfig.exe. Эта утилита позволяет вывести список всех автоматически загружаемых программ. Рабочее окно программы приведено на рис.

Рабочее окно программы Msconfig

Параметры Internet Explorer

Настройте рекомендованные параметры пользователя для Internet Explorer в административном шаблоне по указанному адресу с помощью редактора объектов групповой политики.

Рекомендуемые параметры пользователя для Internet Explorer (включены)
Меню обозревателя \ Отключить параметр "Сохранить эту программу на диске"
Панель управления обозревателем \ Отключить страницу "Дополнительно"
Панель управления обозревателем \ Отключить страницу "Безопасность"
Автономные страницы \ Отключить добавление каналов
Автономные страницы \ Отключить добавление расписаний для автономных страниц
Автономные страницы \ Отключить все расписания для автономных страниц
Автономные страницы \ Полное отключение пользовательского интерфейса каналов
Автономные страницы \ Отключить загрузку содержимого подписки
Автономные страницы \ Отключить редактирование и создание новых групп расписаний
Автономные страницы \ Отключить изменение расписаний для автономных страниц
Автономные страницы \ Отключить протоколирование обращений к автономным страницам
Автономные страницы \ Отключить удаление каналов
Автономные страницы \ Отключить удаление расписаний для автономных страниц
Настройка Outlook Express
Отключить изменение параметров страницы "Дополнительно"
Отключить изменение параметров автонастройки
Отключить изменение параметров сертификатов
Отключить изменение параметров подключений
Отключить изменение параметров прокси
Отключить мастер подключения к интернету
Запретить автозаполнению сохранение паролей

Хотелось бы рекомендовать размер кэша Internet Explorer выставлять в минимум: если в кэше тысяч сто мелких файлов размером в два-три килобайта, то любой антивирус при сканировании данной папки будет работать очень медленно.

Для защиты Internet Explorer от "изобретательных" пользователей можно воспользоваться следующим:

IExplorer: Hide General Page from Internet Properties

Чтобы спрятать вкладку Общие в параметрах Internet Explorer'a, добавьте в реестр:

[HKEY_CURRENT_USER\Software\Policies\Microsoft\ Internet Explorer\Control Panel]
"GeneralTab"=dword:1

IExplorer: Hide Securiry Page from Internet Properties

Чтобы спрятать вкладку Безопасность в параметрах Internet Explorer'a, в реестр следует добавить:

[HKEY_CURRENT_USER\Software\Policies\Microsoft\ Internet Explorer\Control Panel]
"SecurityTab"=dword:1

IExplorer: Hide Programs Page from Internet Properties

Чтобы спрятать вкладку Программы в параметрах Internet Explorer'a:

[HKEY_CURRENT_USER\Software\Policies\Microsoft\ Internet Explorer\Control Panel]
"ProgramsTab"=dword:1

IExplorer: Hide Advanced Page from Internet Properties

Чтобы спрятать вкладку Дополнительно, добавьте:

[HKEY_CURRENT_USER\Software\Policies\Microsoft\ Internet Explorer\Control Panel]
"AdvancedTab"=dword:1

IExplorer: Hide Connections Page from Internet Properties

И, наконец, чтобы скрыть вкладку Подключения в параметрах Internet Explorer'a, в реестр внесите:

[HKEY_CURRENT_USER\Software\Policies\Microsoft\ Internet Explorer\Control Panel]
"ConnectionsTab"=dword:1

Защита подключения к интернету

Для обеспечения безопасности при подключении к сети Интернет необходимо:
активизировать брандмауэр подключения к интернету (Internet Connection Firewall) или установить брандмауэр третьих фирм;
отключить Службу доступа к файлам и принтерам сетей Microsoft.

Активация брандмауэра
Откройте Панель управления > Сетевые подключения;
щелкните правой кнопкой мыши на соединении, которое вы хотели бы защитить, и выберите из меню пункт Свойства;
перейдите на вкладку Дополнительно, поставьте галочку Защитить мое подключение к Интернет.

Политика ограниченного использования программ

Политика ограниченного использования программ позволяет администратору определить программы, которые могут быть запущены на локальном компьютере. Политика защищает компьютеры под управлением Microsoft Windows XP Professional от известных конфликтов и предотвращает запуск нежелательных программ, вирусов и "троянских коней". Политика ограниченного использования программ полностью интегрирована с Microsoft Active Directory и групповой политикой. Ее можно использовать также на автономных компьютерах.

Администратор вначале определяет набор приложений, которые разрешается запускать на клиентских компьютерах, а затем устанавливает ограничения, которые будут применяться политикой к клиентским компьютерам.

Политика ограниченного использования программ в исходном виде состоит из заданного по умолчанию уровня безопасности для неограниченных или запрещенных параметров и правил, определенных для объекта групповой политики.

Политика может применяться в домене, для локальных компьютеров или пользователей. Политика ограниченного использования программ предусматривает несколько способов определения программы, а также инфраструктуру на основе политики, обеспечивающую применение правил выполнения определенной программы.

Запуская программы, пользователи должны руководствоваться принципами, установленными администратором в политике ограниченного использования программ.

Политики ограниченного использования программ применяются для выполнения следующих действий:
определение программ, разрешенных для запуска на клиентских компьютерах;
ограничение доступа пользователей к конкретным файлам на компьютерах, на которых работает несколько пользователей;
определение круга лиц, имеющих право добавлять к клиентским компьютерам доверенных издателей;
определение влияния политики на всех пользователей или только пользователей на клиентских компьютерах;
запрещение запуска исполняемых файлов на локальном компьютере, в подразделении, узле или домене.

Архитектура политики ограниченного использования программ обеспечивает целый спектр возможностей.

Политика ограниченного использования программ позволяет администратору определять и контролировать программы, запускаемые на компьютерах под управлением Windows XP Professional в рамках домена. Возможно создание политик, которые блокируют выполнение несанкционированных сценариев, дополнительно изолирующих компьютеры или препятствующих запуску приложений. Оптимальным вариантом для управления политикой ограниченного использования программ на предприятии является использование объектов групповой политики и адаптация каждой созданной политики к требованиям групп пользователей и компьютеров организации.

Не приветствуются попытки управлять группами пользователей в автономной среде. Результатом правильного применения политики ограниченного использования программ будет улучшение целостности, управляемости — и, в конечном счете, снижение совокупной стоимости владения и поддержки операционных систем на компьютерах организации.

Политика паролей

Использование регулярно изменяемых сложных паролей снижает вероятность их взлома. Параметры политики паролей служат для определения уровня сложности и длительности использования паролей. В этом разделе описаны все параметры политики безопасности для окружений "ПК на предприятии" и "Система с высоким уровнем безопасности".

Дополнительные сведения
Для получения дополнительных сведений о настройке параметров безопасности в Microsoft Windows XP рекомендуется ознакомиться с руководством "Threats and Countermeasures: Security Settings in Windows Server 2003 and Windows XP", которое можно загрузить по адресу: http://go.microsoft.com/fwlink/?Linkld=15159.
Для получения сведений об использовании Microsoft Operations Framework (MOF) на предприятии посетите страницу www.microsoft.com/business/services/mcsmof.asp.
Сведения о "Стратегической программе защиты технологий" можно получить по адресу http://microsoft.com/security/mstpp.asp.
Информация о Microsoft Security Notification Service доступна по следующему адресу: www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/notify.asp.
Для получения дополнительных сведений о восстановлении и защите данных можно ознакомиться на www.microsoft.com/windowsxp/pro/techinfo/administration/recovery/default.asp.

Заключение

Изложенные выше рекомендации не являются исчерпывающим материалом по настройке операционной системы Windows XP Professional — однако помочь в этом нелегком процессе смогут.