Belarc Advisor I: Тестируем безопасность XP Pro

[url=http://virusinfo.info/showthread.php?t=19517][b][color=red]I[/color][/b][/url] [url=http://virusinfo.info/showthread.php?t=19516][b]II[/b][/url] [url=http://virusinfo.info/showthread.php?t=19515][b]III[/b][/url] [url=http://virusinfo.info/showthread.php?t=19514][b]IV[/b][/url] [url=http://virusinfo.info/showthread.php?t=19513][b]V[/b][/url] [url=http://virusinfo.info/showthread.php?t=19512][b]VI[/b][/url] [url=http://virusinfo.info/showthread.php?t=19511][b]VII[/b][/url]

Что Belarc Advisor за программа обсуждается здесь:
[url]http://virusinfo.info/showthread.php?t=19396[/url]
Повторять этого не буду. О чём я здесь? Дело в том, что Belarc Advisor на XP Pro даёт вам оценку за настройки безопасности от 0-10. В данной серии статьей будем рассматривать, что это за настройки, и почему они должны быть именно такими.

Наши инструменты для исправления результатов:
- Belarc Adisor:
[url]http://www.belarc.com/Programs/advisor.exe[/url]
- Редактор групповой политики (gpedit.msc), или ещё лучше TweakUI (имеет более обширный редактор политик):
[url]http://download.microsoft.com/download/f/c/a/fca6767b-9ed9-45a6-b352-839afb2a2679/TweakUiPowertoySetup.exe[/url]
- Редактор реестра

[B]1 Service Packs and Security Updates – Сервис паки и Обновления Безопасности[/b]
[B]1.1 Major Service Pack and Security Update Requirements[/B] – главные требования к сервис паку и к обновлениям безопасности
[B]1.1.1 Current Service Pack installed[/B] – Текущий установленный сервис пак
[B]1.2 Minor Service Pack and Security Update Requirements[/B] – второстепенные требования к сервис паку и к обновлениям безопасности
[B]1.2.1 All Critical and Important Security Updates available to date have been installed[/b] – Все критические и важные обновления безопасности установлены

Здесь всё просто – если сервис пака или обновления не хватает, то тогда отнимается балы за это. Щёлкните на ссылку отсутствующих обновлений, и вы автоматически идёте на страницу, где можно это обновление загрузить (и потом вручную установить). Имейте в виду, что английские обновления на русской ОС не устанавливаются, и наоборот. Поэтому надо обязательно переключить сначала язык скачаемого обновления.

[B]2. Auditing and Account Policies[/B] – Политики Аудита и Учётных Записей

[B]2.1 Major Auditing and Account Policies Requirements[/B] –
Важные требования к политикам Аудита и Учётных Записей

[B]2.1.1 Minimum Password Length[/B] – Минимальная длина пароля – [B]12 знаков[/B]
Определяет наименьшее число символов, которое может содержать пароль учётной записи пользователя. Требование против Brute Force атак (метод подбора пароля) — так называемые атаки методом ‘грубой силы’. Как правило, пользователи применяют простейшие пароли, например ‘123’, ‘admin’, test123 и т.д. Этим и пользуются компьютерные злоумышленники, которые при помощи специальных троянских программ вычисляют необходимый для проникновения в сеть пароль методом подбора - на основании заложенного в эту программу словаря паролей или генерируя случайные последовательности символов, например ‘AAAA1’, потом ‘AAAA2’, потом ‘AAAA3’ и т.д.
Кроме того, некоторые протоколы аутентификации Майкрософта страдают от определённой уязвимости, при которой набор не менее 8 знаков особенно важен. Эти протоколы на самом деле разбивают пароли в семизначные куски (chunks) для хранения хэша. Результат:
* пароль, состоящий из семи или меньше знаков, очень быстро ломается.
* Пароль, состоящий из 14 знаков – на самом деле всего в 2 раза сильнее, чем пароль, состоящий из 7 знаков.
Решение первой проблемы – использование восьми или более знаков.
Решение второй проблемы – требование более сложных протоколов. Например протоколы LANMan и NTLM – уязвимы. NTLMv2 и Kerberos – нет. См. раздел 3.2.1.47 для того, чтобы узнать, как можно требовать аутентификацию по NTLMv2 и Kerberios и как можно отключить сохранение LANMan хеш.
Примечание: Хотя политики XP этого не предусматривают, лучше установить в пароль не менее 15 знаков. Windows в таком случае совершает ошибку в сохранение хэша – она его сохраняет как AAD3B435B51404EEAAD3B435B51404EE (=null-session). Так как ваш пароль явно не ‘пустой’, попытки взломать этот хэш обречены на провал.
[B]2.1.2 Maximum Password Age[/b] – Максимальный срок действия пароля – [B]90 дней[/B].
Определяет период времени (в днях), в течение которого можно использовать пароль, прежде чем система потребует от пользователя заменить его. При установке значения ‘0’ срок действия пароля не ограничен. Рекомендуется, на основе опыта в области безопасности, ограничивать срок действия паролей, в зависимости от используемой среды, значениями от 30 до 90 дней. В этом случае злоумышленник имеет ограниченный интервал времени для подбора пароля пользователя и получения доступа к сетевым ресурсам.

[B]2.2 Minor Auditing and Account Policies Requirements[/B] – второстепенные требования к политикам Аудита и Учётных Записей.
[B]2.2.1 Audit Policy (minimums)[/B] – Политики Аудита (минимальные требования)
Все системы XP Pro должны подвергаться аудиту. Политику аудита можно (и нужно) настроить таким образом, чтобы создавались записи о действиях пользователя или активности системы в указанной категории событий. Можно вести наблюдение за активностью, связанной с безопасностью, – например за тем, кто получает доступ к объекту, за входом пользователя в систему и выходом из системы, или за изменением параметров политики аудита.

[B]2.2.1.1 Audit Account Logon Events[/B] – аудит событий входа в систему – [B]Успех[/B] и [B]Отказ[/B].
Таким образом, в журнале аудита будут собраны сведения, точно описывающие, что происходит на компьютере в домене, кто хотел подключиться и т.д.
[B]2.2.1.2 Audit Account Management[/B] – Аудит управления учётными записями – [B]Успех[/B] и [B]Отказ[/B].
Если атакующему удастся преодолеть все рубежи защиты, мониторинг изменений объектов позволит оценить нанесённый ущерб. Этим параметром можно будет, например, определить причину блокировки компьютера.
[B]2.2.1.3 Audit Directory Service Access[/B] – Аудит доступа к службе каталогов – [B]Не задано[/B].
Относится только к контроллерам домена. На XP Pro не требуется.
[B]2.2.1.4 Audit Logon Events[/B] – Аудит входа в систему – [B]Успех[/B] и [B]Отказ[/B].
Определяет, подлежит ли аудиту каждая попытка пользователя войти в систему с компьютера или выйти из неё (локальный уровень).
[B]2.2.1.5 Audit Object Access[/B] – Аудит доступа к объектам – [B]Успех[/B] и [B]Отказ[/B].
Определяет, подлежит ли аудиту событие доступа пользователя к объекту — например к файлу, папке, разделу реестра, принтеру и т.п., — для которого задана собственная системная таблица управления доступом (SACL).
[B]2.2.1.6 Audit Policy Change[/B] – Аудит изменения политики – как минимум задать [B]Успех[/B].
[B]2.2.1.7 Audit Privilege Use[/B] – Аудит использование привилегий – как минимум задать [B]Отказ[/B].
Определяет, подлежит ли аудиту каждая попытка пользователя воспользоваться предоставленным ему правом. Позволяет определить, хочет ли пользователь обходить заданные политики и каким образом. Задать ‘Успех’ – создаёт огромное количество ненужных записей.
[B]2.2.1.8 Audit Process Tracking[/B] – Аудит отслеживания процессов – [B]Не задано[/B].
Определяет, подлежат ли аудиту такие события, как активизация программы, завершение процесса, повторение дескрипторов и косвенный доступ к объекту. Создаёт огромное количество записей, поэтому надо установить политики, только если это действительно необходимо.
[B]2.2.1.9 Audit System Events[/B] – Аудит системных событий - как минимум задать [B]Успех[/B], но предпочтительно тоже [B]Отказ[/B].
Определяет, подлежат ли аудиту события перезагрузки или отключения компьютера, а также события, влияющие на системную безопасность или на журнал безопасности. Аудит ‘Успех’ и ‘Отказ’ даёт хороший отчёт по системным событиям по всей системе.

[B]2.2.2 Account Policy[/B] – Политики Учётных Записей
Политики учетных записей определяются на компьютерах и определяют взаимодействие учётных записей с компьютером и доменом. Конечно, надо иметь в виду, где компьютер будет использоваться. Часто, однако, не мешает и дома установить такие политики. На работе приоритеты устанавливаются контроллерами домена.

[B]2.2.2.1 Minimum Password Age[/B] – Минимальный срок действия пароля – [B]1 День[/B].
Рекомендуется регулярно установить новые пароли, причём они должны отличаться от тех, которые находятся в ‘истории’ компьютера. Если оставить этот параметр на ‘0’, то тогда пользователь теоретически может задать столько новых паролей, что вчерашний пароль стирается из кэша, и всё равно использовать свой старый пароль. Параметр ‘1 день’ предотвращает такие трюки.
[B]2.2.2.2 Maximum Password Age[/B] – Максимальный срок действия пароля – [B]90 дней[/B] (См. 2.1.2)
Пока пользователь не выходит из системы, доступ сохраняется, несмотря на установленную политику. Политика применяется после перезагрузки.
[B]2.2.2.3 Minimum Password Length[/B] – Мин. длина пароля – [B]12 знаков[/B] (См. 2.1.1)
[B]2.2.2.4 Password Complexity[/B] – Пароли должны отвечать требованиям сложности – [B]Включено[/B].
В разделе 2.1.2 обсуждались Brute Force атаки. Эта политика дальше усложняет задачу взломщиков. При принудительном использовании сложных паролей каждый пользователь, изменяющий свой пароль, должен руководствоваться следующими правилами.
* Длина пароля в соответствии с установленной политикой (не менее 12 знаков).
* В пароле должны присутствовать символы трёх категорий из числа следующих четырёх:
– прописные буквы;
– строчные буквы;
– числа;
– специальные символы (например, !, $, #, %).
Пароли не должны включать имя пользователя или любую часть его полного имени.
[B]2.2.2.5 Password History[/B] – Требовать неповторяемости паролей – [B]хранить 24 пароля для каждого пользователя[/B].
Пользователь, таким образом, не сможет заново использовать любой из хранимых паролей. Вы не должны разрешать пользователям менять пароли немедленно, чтобы они не смогли обойти политику (см. 2.2.2.1 Минимальный срок действия пароля – ‘1 День’).
[B]2.2.2.6 Store Passwords using Reversible Encryption[/B] – Хранить пароли всех пользователей в домене, используя обратимое шифрование – [B]Отключено[/B].
Речь идёт о возможности расшифровки хэша пароля для того, чтобы получить исходный пароль. Понятно, что этого разрешить ни в коем случае нельзя. Любые программы, которые таким образом работают, надо немедленно снять с компьютера.

[url=http://virusinfo.info/showthread.php?t=19517][b][color=red]I[/color][/b][/url] [url=http://virusinfo.info/showthread.php?t=19516][b]II[/b][/url] [url=http://virusinfo.info/showthread.php?t=19515][b]III[/b][/url] [url=http://virusinfo.info/showthread.php?t=19514][b]IV[/b][/url] [url=http://virusinfo.info/showthread.php?t=19513][b]V[/b][/url] [url=http://virusinfo.info/showthread.php?t=19512][b]VI[/b][/url] [url=http://virusinfo.info/showthread.php?t=19511][b]VII[/b][/url]

Круто, нужно читать и вникать. А нельзя это все выложить в одну темы, в разные сообщения. По темам бегать как-то не хочется.

[quote=PavelA;200269]Круто, нужно читать и вникать. А нельзя это все выложить в одну темы, в разные сообщения. По темам бегать как-то не хочется.[/quote]
Я получил запрет. Видимо стоит ограничение на 10.000 знаков. У меня пальчики набрали ГОРАЗДО больше... :D
Я тоже заметил, что надо ждать определённое время для того, чтобы отвечать самому себе (по моему сутки), иначе форум хочет сунуть всё в одно сообщение. Может быть модераторы выручат... ;)

Paul

Может оформить это всё в виде PDF или CHM, чтобы удобнее читать было.
И ещё можно переместить в "Наши Статьи".

Имхо, уж слишком жесткие ограничения будут если руководствоваться всем правилам!
Я когда проверил свои компы то у мну комп на 3.75 процентов соответствовал технике безопасности!

[quote=Marielito07;203114]Имхо, уж слишком жесткие ограничения будут если руководствоваться всем правилам!
Я когда проверил свои компы то у мну комп на 3.75 процентов соответствовал технике безопасности![/quote]
Зависит, где эти компьютеры находятся - я сам считаю их недостаточно жёсткими для закрытых предприятий с коммерческими и другими тайнами; этот шаблон лишь - консенсус.
Настройки в принципе нацелены на корпоративную среду и на админов-профессионалов, хотя и дома есть многое, над которым стоило бы подумать. Но цель не обязательно - 'как можно больше баллов набрать'. Я хотел просто, чтобы люди задумались о том, что *можно* делать на уровне ОС, и почему надо бы это делать. Выбор за вами.

Paul

В Nessus 3.2.0 со свежими плагинами есть проверки на уязвимость Win приложений (и что интересно таких как KAV, DrWeb, BitDefender, Nod32...), Microsoft patches, User Management и др.

А есть какието общие HotFix`ы а то у мну выдло что то около 75-заплаток которых не хватает, так вот хотелось бы одну какуето или пару которые в себе вобрали все ниже перечисленные, тоесть те которые выдает Belarc
Q329115 - Unrated
Q816093 - Critical
Q823182 - Unrated
Q823559 - Unrated
Q824105 - Unrated
Q826232 - Critical
Q828035 - Unrated
Q828741 - Critical
Q835732 - Critical
Q837001 - Important
Q840987 - Critical
Q841356 - Important
Q841533 - Important
Q841872 - Important
Q841873 - Critical
Q842526 - Important
Q871250 - Important
Q873339 - Important
Q885835 - Important
Q885836 - Important
Q890859 - Important
Q891781 - Important
Q893066 - Important
Q893756 - Important
Q896358 - Important
Q896422 - Important
Q896423 - Critical
Q899587 - Moderate
Q899589 - Important
Q900725 - Important
Q901017 - Important
Q901214 - Critical
Q905414 - Moderate
Q905495 - Moderate
Q905749 - Important
Q908519 - Critical
Q908531 - Critical
Q911280 - Critical
Q911564 - Important
Q913580 - Moderate
Q914388 - Critical
Q914389 - Important
Q917008 - Critical
Q917344 - Critical
Q918118 - Important
Q920213 - Critical
Q920670 - Important
Q920683 - Critical
Q920685 - Moderate
Q921398 - Moderate
Q923191 - Critical
Q923414 - Important
Q923810 - Critical
Q923980 - Important
Q924270 - Critical
Q924667 - Important
Q925398 - Critical
Q925902 - Critical
Q926436 - Important
Q928843 - Critical
Q930178 - Critical
Q931784 - Important
Q931906 - Critical
Q933729 - Low
Q935839 - Critical
Q935840 - Moderate
Q936021 - Critical
Q936181 - Critical
Q937894 - Important
Q938127 - Critical
Q938827 - Critical
Q938829 - Critical
Q941202 - Critical
Q941568 - Critical
Q941569 - Critical
Q941644 - Moderate
Q943055 - Critical
Q943485 - Important
Q944533 - Critical

Меншье чем через месяц выйдет SP3 для XP, там всё и будет.

Это Win 2000 c SP4

Аа, сорри, у M$ же после SP4 выходил какой-то RollUp Pack.

Эм, может ссылку найдешь где можно скачать

Оффтоп конечно :)

[url]http://www.microsoft.com/downloads/details.aspx?FamilyID=b54730cf-8850-4531-b52b-bf28b324c662&displaylang=en[/url]
Вроде оно, для английской, но там и другие можно выбрать.

[url=http://support.microsoft.com/kb/891861]Возможные проблемы[/url]

гы, ну не совсем!
А чем вообще отличаются RollUP от HotFix`ов?

[size="1"][color="#666686"][B][I]Добавлено через 15 минут[/I][/B][/color][/size]

Понял уже, только имхо пакет был выпущен в 2005 году, довольно старый!

[quote=Marielito07;203715]
Понял уже, только имхо пакет был выпущен в 2005 году, довольно старый![/quote]
[url=http://support.microsoft.com/kb/900345/]Исправления, включенные в накопительный пакет обновления 1 для Microsoft Windows 2000 с пакетом обновления 4 (SP4), датированный 28 июня 2005 г.[/url]. Все, что сюда не включено, придется закачивать отдельно.

[QUOTE=PavelA;200269]Круто, нужно читать и вникать.[/QUOTE]не нужно: тулза доверия не заслуживает.
Система ХР Про СП 2 + все автоматически установленные апдейты.
Скачал, установил, прогнал.
Сообщает:
[QUOTE]KB944533-IE7 - Critical These required security hotfixes (using the 03/11/2008 Microsoft Security Bulletin Summary) were not found installed. Note: CIS benchmarks require that Critical and Important severity security hotfixes must be installed.
[/QUOTE]
причем у меня автоматическое получение обновлений от Мелкософта включено, а такое мне и предложено не было. И в списке дополнительных не было. Ну, ладно, думаю, скачал этот патч экстра, установил, ребутнул - а этот адвайзер настаивает, что такого апдейта у меня не хватает.
Резюме: Удалить и забыть 8)

да, кстати тоже самое, я кое что поменял а у мну как был 3.7 рейтинг так и есть!

С обновлениями - прошу всех иметь в виду, что
* [b]английские хотфиксы и обновления[/b] (то есть - те, на которые Belarc даёт ссылку) [b]НЕ устанавливаются на русских, немецких, и т.д. системах[/b] - надо на данной странице [b]переключить язык[/b], скачать своё обновление и установить то, что требуется.
* Служба Автоматические Обновления Windows НЕ УСТАНАВЛИВАЕТ ВСЁ, ЧТО НУЖНО.

@ Marielito07:
'Кое что поменять' не даст высший бал - если вы в одном разделе хоть один параметр провалите, вы провалите весь раздел.

Paul

Так а эта служба обновлений она хоть чем то полезна, или смысла в ней большого нет, и можно ограничиться SP и RollUp`ами

[quote=Marielito07;204025]Так а эта служба обновлений она хоть чем то полезна, или смысла в ней большого нет, и можно ограничиться SP и RollUp`ами[/quote]
В среднем раз в месяц она может загрузить обновления. Этим её полезность заканчивается. Её сестра BITS (Фоновая Интеллектуальная...), без которой служба Автоматические Обновления работать НЕ будет, используется троянами для того, чтобы скачать файлы. Майкрософт говорит, что это не уязвимость, а 'свойство'.
P.S.: У меня это всё отключено - то, что мне нужно я устанавливаю вручную.

Paul