Мир японской анимации. Аниме и манга в Украине. Сообщество форумов  

Вернуться   Мир японской анимации. Аниме и манга в Украине. Сообщество форумов > Всякое разное > Хард & Софт
Регистрация Справка Пользователи Календарь Все разделы прочитаны

Ответ
 
Опции темы
Старый 14.04.2008, 19:44   #1
Mr Mingan
Темный Друид

Администратор форума
 
Аватар для Mr Mingan
 
Регистрация: 01.07.2001
Откуда: Днепропетровск
Сообщения: 6,591
Поблагодарил(а): 1,028
Поблагодарили 2,805 раз(а) в 1,599 сообщениях
Вы сказали Фуу: 34
Вам сказали Фуу 4 раз в 4 сообщениях
По умолчанию Windows 2000/XP/2003 security mini-HOWTO

Цитата:
Зачем это надо? Написано много замечательных книг на эту тему, в
которых освещены практически все аспекты безопасности Windows 2000/XP/
2003. Многие из них я даже читал :-). Но в реальной жизни, во время
инсталляции сервера или рабочей станции, мне надо не обращаться к
книге и читать о тех или иных уязвимостях и как их использовать или
устранять; нет, мне просто нужен список действий, которые я должен
выполнить для того, чтобы достичь некоего приемлемого уровня
безопасности устанавливаемой Windows. Вот так появилось это mini-
HOWTO. Замечу, что все ниженаписанное ориентированно прежде всего на
Windows-машины, которые работают именно в WAN, а не в LAN. Очень
многие настройки, характерные для локальных сетей и корпоративного
использования, здесь не описаны. Это связано с тем, что те Windows -
машины, которые администрирую лично я :-), в первую очередь как раз и
работают в WAN, а не в LAN. Надеюсь, этот документ будет еще кому-то
полезен, кроме меня. Принимаю поправки на mnvbox@gmail.com

= Учетные записи. Отключите ненужные учетные записи. Защитите
учетную запись Administrator. Переименуйте существующую запись
Administrator в другую, напрмер, в Lamer, и присвойте ей
действительно сложный пароль. Создайте еще одну запись с правами
администратора, например, User, и используйте ее для повседневной
работы. А Lamer пока заблокируйте (в Windows 2000 стандартными
средствами это сделать не удасться, впрочем :-). В случае, если
отчего-то запись User станет испорченной, то можно будет вернуться к
использованию записи Lamer. Или же можно создать фальшивую запись
Administrator (перед этим переименовав настоящую), чтобы она не была
членом каких-либо групп. Неплохая мысль удалить учетную запись Guest -
хотя Microsoft и не рекомендует это делать, но никаких проблем пока
при этом не выявленно. Если же отчего-то удалить ее нельзя, то забло-
кируйте ее. Для удаления можно использовать утилиту DelGuest на [18]
(там вообще много полезных утилит по тематике безопасности).

= Отключите ненужные службы. В Windows 2000/XP/2003 их немало.
Каждая из них имеет свой комментарий: для чего эта служба, какие
службы зависят от нее, к чему может привести отключение этой службы,
и пр. Внимательно изучите описание каждой службы, и переведите в
состояние Manual все службы, которые вы не собираетесь использовать.
В этом случае они будут запускаться системой только тогда, когда они
реально понадобятся. Хороший список служб с комментариями, что какая
служба делает, есть на [17]. Также заметьте, что, если сначала
выключить/включить необходимые службы, а потом применить политики
безопасности, то в результате применения последних многие из тех
служб, которые вы перевели в состояние Disabled, могут оказаться в
состоянии Automatic, поэтому сначала применяйте политики безопасности,
а уж потом разбирайтесь со службами. После того, как необходимые
манипуляции со службами выполненны, почистите вручную Event Log и
перезагрузите машину. После чего посмотрите в Event Log опять -- все
ли службы запустились, нет ли каких-то сообщений об ошибках. Часто
бывает так, что, запретив на первый (и не только на первый) взгляд
ненужную службу, можно тем самым помешать стартовать и/или успешно
функционировать какой-то другой, необходимой, службе. Кстати, по этой
же причине я не рекомендую переводить службы в состояние Disabled.

= Не используйте FAT. Не устанавливайте ненужные приложения.
Установите самые последние обновления. Отключите ненужные протоколы
(SMB/NetBEUI и др.), особенно на внешних интерфейсах. Многие думают,
что для этого достаточно в свойствах сетевого соединения отключить
NetBIOS over TCP/IP. А вот и нет! :-) Windows 2000/XP/2003 будет по-
прежнему ожидать соединения на порт TCP 445. Для отключения этой
функции (заметьте, что сразу перестанет работать разделение файлов и
принтеров на этом интерфейсе) зайдите в Control Panel -> Dial-up
Connections -> Advanced -> Advanced Settings и отключите опцию File
and Printer Sharing for Microsoft Networks для нужного интерфейса.
Также установите значение параметра HKLM\System\CurrentControlSet\Con-
trol\LSA\RestrictAnonymous [REG_DWORD] в 2. Можно установить его в 0
(самое опасное) и в 1 или 2, где 2 -- самое безопасное значение. Не
используйте без надобности разделяемые файловые ресурсы (если это не
нужно совсем, просто отключите службу Server).

= Используйте шаблоны для реализации политик безопасности.
Например, на [3] можно скачать шаблоны безопасности для Windows
Server 2003 . Как применять шаблоны безопасности, почитайте либо в
соответствующей книге, либо в прилагающейся к скачанным шаблонам
документации, ибо в 2-х словах применение шаблонов не опишешь, хотя и
сложного тут ничего нет. Если коротко, то посмотреть и (пере)-
определить шаблоны можно через оснастку Security Templates. Обычно
вполне достаточно использования заранее определенных в Windows
шаблонов типа secure*. Хотя эти шаблоны обеспечивают достаточный
уровень безопасности, можно в упомянутой оснастке их и
откорректировать. Или же используйте шаблоны, которые можно скачать с
сайта Microsoft (см. выше). Использовать шаблоны уровня hisec* не
рекомендуется по причинам обратной совместимости с предыдущими
версиями Windows. Применить шаблоны к локальной машине можно через
оснастку Security configuration and Analysis (она дает возможность
проверить машину на соответствие одному и более шаблонам безопасности
и, собственно, применить таковые). В этой оснастке надо сначала соз-
дать БД шаблонов (или открыть БД предопределенных шаблонов из
каталога %SystemRoot%\Security\Templates) и затем импортировать туда,
например, шаблон, взятый по ссылке выше (важно: импортируемый шаблон
не заменяет уже существующие, а дополняет их) или один из предопре-
деленных, например, secure* (поскольку шаблоны дополняют друг друга,
то сначала надо применить более "слабый" шаблон, а затем более "силь-
ный": для Windows XP/2003 - "setup security" -> "secure*" -> "hisec*";
для Windows 2000 - "setup security" -> "basic*" -> "secure*" -> "hi-
sec*"). После чего надо провести проверку машины на соответствие за-
груженному шаблону (как правило, выявится много расхождений) и приме-
нить данный шаблон.

= Запустите MBSA [4] после применения шаблонов безопасности. Он
просканирует вашу (или другую) машину на предмет недоделок по части
безопасности, и сообщит о результатах в рапорте, и выдаст также
рекомендации по устранению найденных уязвимостей. О том, как
правильно использовать MBSA, можно прочитать тут [5]. Также неплохая
идея просканировать свой компьютер снаружи на предмет открытых портов.
Можно использовать для этого какой-либо UNIX с программой nmap (ко-
торая также портирована и под Windows). Рекомендую просканировать ма-
шину также и замечательной программой GFI LANguard Network Security
Scanner [2]. Вы будете удивлены, как много еще надо сделать усовершен-
ствованний по части безопасности. Кстати, эта программа имеет также и
встроенный сканер открытых портов (как в nmap).

= Примите меры по ужесточению методов работы стека TCP/IP. Это
позволит вам чувствовать себя чуть более комфортно при разного рода
DoS - атаках. Как именно это сделать, описано в [6] и [20]. Также
используйте пакетный фильтр: в XP и 2003 есть уже встроенный ICF ([1],
[30]), а в 2000 можно, например, использовать фильтр на основе IPSec
(обязательно проверьте наличие ключа HKLM\System\CurrentControlSet\
Services\IPSec\NoDefaultExempt, REG_DWORD=1 для Windows 2000, без него
IPSec имеет очень серъезные уязвимости). Довольно подробное руко-
водство по IPSec находится на [21] и [22]. Поскольку создавать полити-
ки IPSec в GUI довольно утомительно, их можно применять и из командной
строки. На [23] есть примеры, как это делать. Для того, чтобы запус-
кать это под Windows 2000, надо сначала установить Windows 2000 Reso-
urce Kit, чтобы получить в свое распоряжение утилиту ipsecpol (или же
скачать ее с [24], но в Resource Kit есть еще очень много чего полез-
ного). По запуску "ipsecpol -?" выдает очень подробную справку по
своему применению. Впрочем, сам я предпочитаю использовать firewall
третьих фирм, вроде Outpost-а и ему подобных, ибо результат в итоге
тот же (если рассматривать IPSEc только как пакетный фильтр!), а нас-
траивается все гораздо проще. Но, как говорится, на вкус и цвет това-
рищей нет: IPSec уже идет в комплекте, а firewall надо еще купить,
впрочем, есть и бесплатные, причем очень достойные (см. [25]-[28],
а особенно [33]). На [29] есть список соответствия портов и сервисов,
может оказаться полезным.

= Если вы используете IIS, то после его установки запустите
утилиту IISLockdown [7] и почитайте вот это [8] руководство по
безопасности IIS. Рассмотрите возможность применения шаблона
безопасности hisecweb в случае, если собираетесь использовать IIS как
"боевой" веб-сервер. После применения должных мер сверьтесь с вот
этим [9] списком, все ли в порядке. Вообще же, тема безопасности IIS
слишком обширна для такого маленького руководства, так что если
собираетесь использовать IIS "по полной программе", чтения руководств
по указанным ссылкам будет явно недостаточно. Но для начала вполне
сойдет и это :-).

= Если вы используете SNMP (а для чего? лучше выключить!), то за-
блокируйте порты TCP/UDP 161 из Internet, выберите "хитрые" community
names вместо стандартных private и public. Также разрешите принимать
SNMP-запросы только от определенных IP-адресов (Services -> SNMP Ser-
vice -> Properties -> Security -> Accept SNMP packets from these hosts
и там вписать доверенные адреса).

= Настройте Terminal Services на максимальную безопасность для
удаленного администрирования. Для этого откройте Programs ->
Administrative Tools -> Terminal Services Configuration, там выберите
свойства метода соединения RDP-Tcp (в папке Connections). И в этих
свойствах установите такие настройки: на закладке General -
Encryption Level в High, на закладке Network Adapter - выберите тот
адаптер, через который вы будете администрировать машину (или все
адаптеры сразу, это по умолчанию), на закладке Permissions - удалите
оттуда группу Administrators, и вместо этого добавьте туда отдельных
ее членов (внимание: запись SYSTEM нельзя удалять, т.к. регистрация
станет невозможной). Также удалите учетную запись TsInternetUser,
если используете TS именно для удаленного администрирования, а не для
запуска приложений на сервере.

= Клиентские настройки. Не читайте e-mail и не просматривайте Web
с серверов, ответственных за критические задачи. Не устанавливайте на
такие сервера приложения типа MS Office. Читайте e-mail и просматри-
вайте Web под непривелигированной учетной записью, а не под записью
Administrator, как это очень часто и бывает. Не переходите по непонят-
ным URL и не открывайте непонятных вложений (просто сотрите их). Мак-
симально жестко настройте зоны безопасности в IE, и в настройках Out-
look/OE используйте самую "злую" зону для чтения писем (как правило,
это зона Restricted Sites). Если вы потратили много времени, настра-
ивая зоны безопасности в IE и занося разные сайты в разные зоны, то
было бы неплохо сохранить эти настройки на случай переустановки систе-
мы. Для этого сохраните объекты HKCU\SOFTWARE\Microsoft\Windows\Curr-
entVersion\InternetSettings\Zones (собственно настройки зон) и ZoneMap
(список узлов, занесенных в те или иные зоны). Потом при необходимости
можно будет импортировать эти ключи в реестр.

= Ссылки. Русскоязычному сисадмину лучше всего начинать свои
поиски инофрмации по безопасности Windows с "Центра инструкций по
безопасности Microsoft" [10]. Много ссылок на статьи по безопасной
конфигурации серверных платформ Microsoft (как на уровне ОС, так и на
уровне конкретных сервисов) находится тут [11]. Руководство по безо-
пасности Windows XP SP2 можно скачать тут [12] (eng) или тут [13]
(rus). На [14] много ссылок на фирменные утилиты Microsoft, такие, как
IISLockdown, MBSA и пр., заметно облегчающие жизнь системному админи-
стратору. На сайте компании Systemexperts [15] есть среди прочего не-
плохое руководство [16] по безопасности Windows 2000 и полезные шаб-
лоны [19] фильтров IPSec.

Используемые материалы:
[1] http://www.microsoft.com/Rus/Securit...F/Default.mspx
[2] http://gfi.com/lannetscan
[3] http://www.microsoft.com/technet/sec...windowsserver-
2003/w2003hg/sgch00.mspx
[4] http://www.microsoft.com/technet/sec.../mbsahome.mspx
[5] http://www.msdn.microsoft.com/librar...l=/library/en-
us/secmod/html/secmod112.asp
[6] http://msdn.microsoft.com/library/de...library/en-us/
dnnetsec/html/HTHardTCP.asp
[7] http://www.microsoft.com/technet/sec.../locktool.mspx
[8] http://msdn.microsoft.com/library/de...library/en-us/
dnnetsec/html/thcmch16.asp
[9] http://msdn.microsoft.com/library/de...library/en-us/
dnnetsec/html/CL_SecWebs.asp
[10] http://www.microsoft.com/rus/securit...e/default.mspx
[11] http://www.microsoft.com/technet/security/topics/
ServerSecurity.mspx
[12] http://www.microsoft.com/technet/sec...ech/windowsxp/
secwinxp/default.mspx
[13] http://mnvbox.googlepages.com/xpsecrus.zip
[14] http://www.microsoft.com/technet/sec...s/default.mspx
[15] http://www.systemexperts.com
[16] http://www.systemexperts.com/tutors/hardenWin2K.pdf
[17] http://www.oszone.net/display.php?id=2357
[18] http://ntsecurity.nu/toolbox
[19] http://systemexperts.com/win2k/HardenWin2K.html
[20] http://support.microsoft.com/kb/q315669
[21] http://www.microsoft.com/technet/pro...ndows2000serv/
howto/ispstep.mspx
[22] http://www.microsoft.com/technet/its...work/security/
ipsecld.mspx
[23] http://mnvbox.googlepages.com/wsmht-wxp2kfw.txt
[24] http://www.microsoft.com/windows2000.../reskit/tools/
existing/ipsecpol-o.asp
[25] http://www.r-firewall.com
[26] http://force.coresecurity.com
[27] http://www.jetico.com/jpfirewall.htm
[28] http://www.hsc.fr/ressources/outils/.../index.html.en
[29] http://support.microsoft.com/default...b;en-us;832017
[30] http://support.microsoft.com/kb/875357/ru
[31]
[32]
[33] http://www.idrci.net (можно получить некоммерческую лицензию!)
http://mnvbox.googlepages.com/wsmht.txt
__________________
* Или ты выходишь из обреченного, но безопасного и уютного строя на режущий ветер навсегда одинокой свободы, кажущийся стоящим в строю сумасшествием, или останешься - тоже навсегда, и передумать уже нельзя. Предложение не повторится, такое предложение делается не всем, и не все из достойных его принимают.

Блог - Всяческие записи, мысли, пометки, цитаты
Сайт - Мир японской анимации. Аниме в Украине

Последний раз редактировалось Mr Mingan, 14.04.2008 в 19:44.
Mr Mingan вне форума   Ответить с цитированием
Реклама на форуме
Старый 14.04.2008, 19:48   #2
Mr Mingan
Темный Друид

Администратор форума
 
Аватар для Mr Mingan
 
Регистрация: 01.07.2001
Откуда: Днепропетровск
Сообщения: 6,591
Поблагодарил(а): 1,028
Поблагодарили 2,805 раз(а) в 1,599 сообщениях
Вы сказали Фуу: 34
Вам сказали Фуу 4 раз в 4 сообщениях
По умолчанию

Некоторые ссылки к сожалению бьются и становятся некликабельными. Так что просто правильно копируем их
__________________
* Или ты выходишь из обреченного, но безопасного и уютного строя на режущий ветер навсегда одинокой свободы, кажущийся стоящим в строю сумасшествием, или останешься - тоже навсегда, и передумать уже нельзя. Предложение не повторится, такое предложение делается не всем, и не все из достойных его принимают.

Блог - Всяческие записи, мысли, пометки, цитаты
Сайт - Мир японской анимации. Аниме в Украине
Mr Mingan вне форума   Ответить с цитированием
Реклама на форуме
Ответ


Здесь присутствуют: 1 (пользователей - 0 , гостей - 1)
 
Опции темы

Ваши права в разделе
Вы не можете создавать темы
Вы не можете отвечать на сообщения
Вы не можете прикреплять файлы
Вы не можете редактировать сообщения

BB-коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.
Быстрый переход


Часовой пояс GMT +3, время: 01:27.



реклама:

Copyright (c) 2001-2015 by проект Мир японской анимации (anime.ua). Администрирование и руководство сайтом, часть содержания - Mr Mingan. Дизайн - by fafhrd.
Администрация сайта не несет ответственности за достоверность информации, опубликованной в рекламных и баннерных объявлениях.
Мнение администрации сайта может не совпадать с мнением авторов сообщений в форуме



MyAnimeTop - рейтинг сайтов по аниме, манге и хентаю Rambler's Top100