XP user
10.03.2008, 22:59
I (http://virusinfo.info/showthread.php?t=19517) II (http://virusinfo.info/showthread.php?t=19516) III (http://virusinfo.info/showthread.php?t=19515) IV (http://virusinfo.info/showthread.php?t=19514) V (http://virusinfo.info/showthread.php?t=19513) VI (http://virusinfo.info/showthread.php?t=19512) VII (http://virusinfo.info/showthread.php?t=19511)
Что Belarc Advisor за программа обсуждается здесь:
http://virusinfo.info/showthread.php?t=19396
Повторять этого не буду. О чём я здесь? Дело в том, что Belarc Advisor на XP Pro даёт вам оценку за настройки безопасности от 0-10. В данной серии статьей будем рассматривать, что это за настройки, и почему они должны быть именно такими.
Наши инструменты для исправления результатов:
- Belarc Adisor:
http://www.belarc.com/Programs/advisor.exe
- Редактор групповой политики (gpedit.msc), или ещё лучше TweakUI (имеет более обширный редактор политик):
http://download.microsoft.com/download/f/c/a/fca6767b-9ed9-45a6-b352-839afb2a2679/TweakUiPowertoySetup.exe
- Редактор реестра
1 Service Packs and Security Updates – Сервис паки и Обновления Безопасности
1.1 Major Service Pack and Security Update Requirements – главные требования к сервис паку и к обновлениям безопасности
1.1.1 Current Service Pack installed – Текущий установленный сервис пак
1.2 Minor Service Pack and Security Update Requirements – второстепенные требования к сервис паку и к обновлениям безопасности
1.2.1 All Critical and Important Security Updates available to date have been installed – Все критические и важные обновления безопасности установлены
Здесь всё просто – если сервис пака или обновления не хватает, то тогда отнимается балы за это. Щёлкните на ссылку отсутствующих обновлений, и вы автоматически идёте на страницу, где можно это обновление загрузить (и потом вручную установить). Имейте в виду, что английские обновления на русской ОС не устанавливаются, и наоборот. Поэтому надо обязательно переключить сначала язык скачаемого обновления.
2. Auditing and Account Policies – Политики Аудита и Учётных Записей
2.1 Major Auditing and Account Policies Requirements –
Важные требования к политикам Аудита и Учётных Записей
2.1.1 Minimum Password Length – Минимальная длина пароля – 12 знаков
Определяет наименьшее число символов, которое может содержать пароль учётной записи пользователя. Требование против Brute Force атак (метод подбора пароля) — так называемые атаки методом ‘грубой силы’. Как правило, пользователи применяют простейшие пароли, например ‘123’, ‘admin’, test123 и т.д. Этим и пользуются компьютерные злоумышленники, которые при помощи специальных троянских программ вычисляют необходимый для проникновения в сеть пароль методом подбора - на основании заложенного в эту программу словаря паролей или генерируя случайные последовательности символов, например ‘AAAA1’, потом ‘AAAA2’, потом ‘AAAA3’ и т.д.
Кроме того, некоторые протоколы аутентификации Майкрософта страдают от определённой уязвимости, при которой набор не менее 8 знаков особенно важен. Эти протоколы на самом деле разбивают пароли в семизначные куски (chunks) для хранения хэша. Результат:
* пароль, состоящий из семи или меньше знаков, очень быстро ломается.
* Пароль, состоящий из 14 знаков – на самом деле всего в 2 раза сильнее, чем пароль, состоящий из 7 знаков.
Решение первой проблемы – использование восьми или более знаков.
Решение второй проблемы – требование более сложных протоколов. Например протоколы LANMan и NTLM – уязвимы. NTLMv2 и Kerberos – нет. См. раздел 3.2.1.47 для того, чтобы узнать, как можно требовать аутентификацию по NTLMv2 и Kerberios и как можно отключить сохранение LANMan хеш.
Примечание: Хотя политики XP этого не предусматривают, лучше установить в пароль не менее 15 знаков. Windows в таком случае совершает ошибку в сохранение хэша – она его сохраняет как AAD3B435B51404EEAAD3B435B51404EE (=null-session). Так как ваш пароль явно не ‘пустой’, попытки взломать этот хэш обречены на провал.
2.1.2 Maximum Password Age – Максимальный срок действия пароля – 90 дней.
Определяет период времени (в днях), в течение которого можно использовать пароль, прежде чем система потребует от пользователя заменить его. При установке значения ‘0’ срок действия пароля не ограничен. Рекомендуется, на основе опыта в области безопасности, ограничивать срок действия паролей, в зависимости от используемой среды, значениями от 30 до 90 дней. В этом случае злоумышленник имеет ограниченный интервал времени для подбора пароля пользователя и получения доступа к сетевым ресурсам.
2.2 Minor Auditing and Account Policies Requirements – второстепенные требования к политикам Аудита и Учётных Записей.
2.2.1 Audit Policy (minimums) – Политики Аудита (минимальные требования)
Все системы XP Pro должны подвергаться аудиту. Политику аудита можно (и нужно) настроить таким образом, чтобы создавались записи о действиях пользователя или активности системы в указанной категории событий. Можно вести наблюдение за активностью, связанной с безопасностью, – например за тем, кто получает доступ к объекту, за входом пользователя в систему и выходом из системы, или за изменением параметров политики аудита.
2.2.1.1 Audit Account Logon Events – аудит событий входа в систему – Успех и Отказ.
Таким образом, в журнале аудита будут собраны сведения, точно описывающие, что происходит на компьютере в домене, кто хотел подключиться и т.д.
2.2.1.2 Audit Account Management – Аудит управления учётными записями – Успех и Отказ.
Если атакующему удастся преодолеть все рубежи защиты, мониторинг изменений объектов позволит оценить нанесённый ущерб. Этим параметром можно будет, например, определить причину блокировки компьютера.
2.2.1.3 Audit Directory Service Access – Аудит доступа к службе каталогов – Не задано.
Относится только к контроллерам домена. На XP Pro не требуется.
2.2.1.4 Audit Logon Events – Аудит входа в систему – Успех и Отказ.
Определяет, подлежит ли аудиту каждая попытка пользователя войти в систему с компьютера или выйти из неё (локальный уровень).
2.2.1.5 Audit Object Access – Аудит доступа к объектам – Успех и Отказ.
Определяет, подлежит ли аудиту событие доступа пользователя к объекту — например к файлу, папке, разделу реестра, принтеру и т.п., — для которого задана собственная системная таблица управления доступом (SACL).
2.2.1.6 Audit Policy Change – Аудит изменения политики – как минимум задать Успех.
2.2.1.7 Audit Privilege Use – Аудит использование привилегий – как минимум задать Отказ.
Определяет, подлежит ли аудиту каждая попытка пользователя воспользоваться предоставленным ему правом. Позволяет определить, хочет ли пользователь обходить заданные политики и каким образом. Задать ‘Успех’ – создаёт огромное количество ненужных записей.
2.2.1.8 Audit Process Tracking – Аудит отслеживания процессов – Не задано.
Определяет, подлежат ли аудиту такие события, как активизация программы, завершение процесса, повторение дескрипторов и косвенный доступ к объекту. Создаёт огромное количество записей, поэтому надо установить политики, только если это действительно необходимо.
2.2.1.9 Audit System Events – Аудит системных событий - как минимум задать Успех, но предпочтительно тоже Отказ.
Определяет, подлежат ли аудиту события перезагрузки или отключения компьютера, а также события, влияющие на системную безопасность или на журнал безопасности. Аудит ‘Успех’ и ‘Отказ’ даёт хороший отчёт по системным событиям по всей системе.
2.2.2 Account Policy – Политики Учётных Записей
Политики учетных записей определяются на компьютерах и определяют взаимодействие учётных записей с компьютером и доменом. Конечно, надо иметь в виду, где компьютер будет использоваться. Часто, однако, не мешает и дома установить такие политики. На работе приоритеты устанавливаются контроллерами домена.
2.2.2.1 Minimum Password Age – Минимальный срок действия пароля – 1 День.
Рекомендуется регулярно установить новые пароли, причём они должны отличаться от тех, которые находятся в ‘истории’ компьютера. Если оставить этот параметр на ‘0’, то тогда пользователь теоретически может задать столько новых паролей, что вчерашний пароль стирается из кэша, и всё равно использовать свой старый пароль. Параметр ‘1 день’ предотвращает такие трюки.
2.2.2.2 Maximum Password Age – Максимальный срок действия пароля – 90 дней (См. 2.1.2)
Пока пользователь не выходит из системы, доступ сохраняется, несмотря на установленную политику. Политика применяется после перезагрузки.
2.2.2.3 Minimum Password Length – Мин. длина пароля – 12 знаков (См. 2.1.1)
2.2.2.4 Password Complexity – Пароли должны отвечать требованиям сложности – Включено.
В разделе 2.1.2 обсуждались Brute Force атаки. Эта политика дальше усложняет задачу взломщиков. При принудительном использовании сложных паролей каждый пользователь, изменяющий свой пароль, должен руководствоваться следующими правилами.
* Длина пароля в соответствии с установленной политикой (не менее 12 знаков).
* В пароле должны присутствовать символы трёх категорий из числа следующих четырёх:
– прописные буквы;
– строчные буквы;
– числа;
– специальные символы (например, !, $, #, %).
Пароли не должны включать имя пользователя или любую часть его полного имени.
2.2.2.5 Password History – Требовать неповторяемости паролей – хранить 24 пароля для каждого пользователя.
Пользователь, таким образом, не сможет заново использовать любой из хранимых паролей. Вы не должны разрешать пользователям менять пароли немедленно, чтобы они не смогли обойти политику (см. 2.2.2.1 Минимальный срок действия пароля – ‘1 День’).
2.2.2.6 Store Passwords using Reversible Encryption – Хранить пароли всех пользователей в домене, используя обратимое шифрование – Отключено.
Речь идёт о возможности расшифровки хэша пароля для того, чтобы получить исходный пароль. Понятно, что этого разрешить ни в коем случае нельзя. Любые программы, которые таким образом работают, надо немедленно снять с компьютера.
I (http://virusinfo.info/showthread.php?t=19517) II (http://virusinfo.info/showthread.php?t=19516) III (http://virusinfo.info/showthread.php?t=19515) IV (http://virusinfo.info/showthread.php?t=19514) V (http://virusinfo.info/showthread.php?t=19513) VI (http://virusinfo.info/showthread.php?t=19512) VII (http://virusinfo.info/showthread.php?t=19511)
Что Belarc Advisor за программа обсуждается здесь:
http://virusinfo.info/showthread.php?t=19396
Повторять этого не буду. О чём я здесь? Дело в том, что Belarc Advisor на XP Pro даёт вам оценку за настройки безопасности от 0-10. В данной серии статьей будем рассматривать, что это за настройки, и почему они должны быть именно такими.
Наши инструменты для исправления результатов:
- Belarc Adisor:
http://www.belarc.com/Programs/advisor.exe
- Редактор групповой политики (gpedit.msc), или ещё лучше TweakUI (имеет более обширный редактор политик):
http://download.microsoft.com/download/f/c/a/fca6767b-9ed9-45a6-b352-839afb2a2679/TweakUiPowertoySetup.exe
- Редактор реестра
1 Service Packs and Security Updates – Сервис паки и Обновления Безопасности
1.1 Major Service Pack and Security Update Requirements – главные требования к сервис паку и к обновлениям безопасности
1.1.1 Current Service Pack installed – Текущий установленный сервис пак
1.2 Minor Service Pack and Security Update Requirements – второстепенные требования к сервис паку и к обновлениям безопасности
1.2.1 All Critical and Important Security Updates available to date have been installed – Все критические и важные обновления безопасности установлены
Здесь всё просто – если сервис пака или обновления не хватает, то тогда отнимается балы за это. Щёлкните на ссылку отсутствующих обновлений, и вы автоматически идёте на страницу, где можно это обновление загрузить (и потом вручную установить). Имейте в виду, что английские обновления на русской ОС не устанавливаются, и наоборот. Поэтому надо обязательно переключить сначала язык скачаемого обновления.
2. Auditing and Account Policies – Политики Аудита и Учётных Записей
2.1 Major Auditing and Account Policies Requirements –
Важные требования к политикам Аудита и Учётных Записей
2.1.1 Minimum Password Length – Минимальная длина пароля – 12 знаков
Определяет наименьшее число символов, которое может содержать пароль учётной записи пользователя. Требование против Brute Force атак (метод подбора пароля) — так называемые атаки методом ‘грубой силы’. Как правило, пользователи применяют простейшие пароли, например ‘123’, ‘admin’, test123 и т.д. Этим и пользуются компьютерные злоумышленники, которые при помощи специальных троянских программ вычисляют необходимый для проникновения в сеть пароль методом подбора - на основании заложенного в эту программу словаря паролей или генерируя случайные последовательности символов, например ‘AAAA1’, потом ‘AAAA2’, потом ‘AAAA3’ и т.д.
Кроме того, некоторые протоколы аутентификации Майкрософта страдают от определённой уязвимости, при которой набор не менее 8 знаков особенно важен. Эти протоколы на самом деле разбивают пароли в семизначные куски (chunks) для хранения хэша. Результат:
* пароль, состоящий из семи или меньше знаков, очень быстро ломается.
* Пароль, состоящий из 14 знаков – на самом деле всего в 2 раза сильнее, чем пароль, состоящий из 7 знаков.
Решение первой проблемы – использование восьми или более знаков.
Решение второй проблемы – требование более сложных протоколов. Например протоколы LANMan и NTLM – уязвимы. NTLMv2 и Kerberos – нет. См. раздел 3.2.1.47 для того, чтобы узнать, как можно требовать аутентификацию по NTLMv2 и Kerberios и как можно отключить сохранение LANMan хеш.
Примечание: Хотя политики XP этого не предусматривают, лучше установить в пароль не менее 15 знаков. Windows в таком случае совершает ошибку в сохранение хэша – она его сохраняет как AAD3B435B51404EEAAD3B435B51404EE (=null-session). Так как ваш пароль явно не ‘пустой’, попытки взломать этот хэш обречены на провал.
2.1.2 Maximum Password Age – Максимальный срок действия пароля – 90 дней.
Определяет период времени (в днях), в течение которого можно использовать пароль, прежде чем система потребует от пользователя заменить его. При установке значения ‘0’ срок действия пароля не ограничен. Рекомендуется, на основе опыта в области безопасности, ограничивать срок действия паролей, в зависимости от используемой среды, значениями от 30 до 90 дней. В этом случае злоумышленник имеет ограниченный интервал времени для подбора пароля пользователя и получения доступа к сетевым ресурсам.
2.2 Minor Auditing and Account Policies Requirements – второстепенные требования к политикам Аудита и Учётных Записей.
2.2.1 Audit Policy (minimums) – Политики Аудита (минимальные требования)
Все системы XP Pro должны подвергаться аудиту. Политику аудита можно (и нужно) настроить таким образом, чтобы создавались записи о действиях пользователя или активности системы в указанной категории событий. Можно вести наблюдение за активностью, связанной с безопасностью, – например за тем, кто получает доступ к объекту, за входом пользователя в систему и выходом из системы, или за изменением параметров политики аудита.
2.2.1.1 Audit Account Logon Events – аудит событий входа в систему – Успех и Отказ.
Таким образом, в журнале аудита будут собраны сведения, точно описывающие, что происходит на компьютере в домене, кто хотел подключиться и т.д.
2.2.1.2 Audit Account Management – Аудит управления учётными записями – Успех и Отказ.
Если атакующему удастся преодолеть все рубежи защиты, мониторинг изменений объектов позволит оценить нанесённый ущерб. Этим параметром можно будет, например, определить причину блокировки компьютера.
2.2.1.3 Audit Directory Service Access – Аудит доступа к службе каталогов – Не задано.
Относится только к контроллерам домена. На XP Pro не требуется.
2.2.1.4 Audit Logon Events – Аудит входа в систему – Успех и Отказ.
Определяет, подлежит ли аудиту каждая попытка пользователя войти в систему с компьютера или выйти из неё (локальный уровень).
2.2.1.5 Audit Object Access – Аудит доступа к объектам – Успех и Отказ.
Определяет, подлежит ли аудиту событие доступа пользователя к объекту — например к файлу, папке, разделу реестра, принтеру и т.п., — для которого задана собственная системная таблица управления доступом (SACL).
2.2.1.6 Audit Policy Change – Аудит изменения политики – как минимум задать Успех.
2.2.1.7 Audit Privilege Use – Аудит использование привилегий – как минимум задать Отказ.
Определяет, подлежит ли аудиту каждая попытка пользователя воспользоваться предоставленным ему правом. Позволяет определить, хочет ли пользователь обходить заданные политики и каким образом. Задать ‘Успех’ – создаёт огромное количество ненужных записей.
2.2.1.8 Audit Process Tracking – Аудит отслеживания процессов – Не задано.
Определяет, подлежат ли аудиту такие события, как активизация программы, завершение процесса, повторение дескрипторов и косвенный доступ к объекту. Создаёт огромное количество записей, поэтому надо установить политики, только если это действительно необходимо.
2.2.1.9 Audit System Events – Аудит системных событий - как минимум задать Успех, но предпочтительно тоже Отказ.
Определяет, подлежат ли аудиту события перезагрузки или отключения компьютера, а также события, влияющие на системную безопасность или на журнал безопасности. Аудит ‘Успех’ и ‘Отказ’ даёт хороший отчёт по системным событиям по всей системе.
2.2.2 Account Policy – Политики Учётных Записей
Политики учетных записей определяются на компьютерах и определяют взаимодействие учётных записей с компьютером и доменом. Конечно, надо иметь в виду, где компьютер будет использоваться. Часто, однако, не мешает и дома установить такие политики. На работе приоритеты устанавливаются контроллерами домена.
2.2.2.1 Minimum Password Age – Минимальный срок действия пароля – 1 День.
Рекомендуется регулярно установить новые пароли, причём они должны отличаться от тех, которые находятся в ‘истории’ компьютера. Если оставить этот параметр на ‘0’, то тогда пользователь теоретически может задать столько новых паролей, что вчерашний пароль стирается из кэша, и всё равно использовать свой старый пароль. Параметр ‘1 день’ предотвращает такие трюки.
2.2.2.2 Maximum Password Age – Максимальный срок действия пароля – 90 дней (См. 2.1.2)
Пока пользователь не выходит из системы, доступ сохраняется, несмотря на установленную политику. Политика применяется после перезагрузки.
2.2.2.3 Minimum Password Length – Мин. длина пароля – 12 знаков (См. 2.1.1)
2.2.2.4 Password Complexity – Пароли должны отвечать требованиям сложности – Включено.
В разделе 2.1.2 обсуждались Brute Force атаки. Эта политика дальше усложняет задачу взломщиков. При принудительном использовании сложных паролей каждый пользователь, изменяющий свой пароль, должен руководствоваться следующими правилами.
* Длина пароля в соответствии с установленной политикой (не менее 12 знаков).
* В пароле должны присутствовать символы трёх категорий из числа следующих четырёх:
– прописные буквы;
– строчные буквы;
– числа;
– специальные символы (например, !, $, #, %).
Пароли не должны включать имя пользователя или любую часть его полного имени.
2.2.2.5 Password History – Требовать неповторяемости паролей – хранить 24 пароля для каждого пользователя.
Пользователь, таким образом, не сможет заново использовать любой из хранимых паролей. Вы не должны разрешать пользователям менять пароли немедленно, чтобы они не смогли обойти политику (см. 2.2.2.1 Минимальный срок действия пароля – ‘1 День’).
2.2.2.6 Store Passwords using Reversible Encryption – Хранить пароли всех пользователей в домене, используя обратимое шифрование – Отключено.
Речь идёт о возможности расшифровки хэша пароля для того, чтобы получить исходный пароль. Понятно, что этого разрешить ни в коем случае нельзя. Любые программы, которые таким образом работают, надо немедленно снять с компьютера.
I (http://virusinfo.info/showthread.php?t=19517) II (http://virusinfo.info/showthread.php?t=19516) III (http://virusinfo.info/showthread.php?t=19515) IV (http://virusinfo.info/showthread.php?t=19514) V (http://virusinfo.info/showthread.php?t=19513) VI (http://virusinfo.info/showthread.php?t=19512) VII (http://virusinfo.info/showthread.php?t=19511)