Sunday, February 19, 2012

Как работи сигурността на Уиндоус НТ/2000/XP

Как работи сигурността на Уиндоус НТ/2000/XP

Сигурността на Windows е ориентирана към обекта и акаунта. да поясня, когато иде реч за сигурност в Уиндоус НТ/2000/XP, обект значи, файл, програма, папка или дори вирус подчинен на акаунта титуляр. Когато се логвате в уин НТ/2000/XP мобилизира няколко модула, които са пряко свързани със сигурността:

LSA - Local Security Authority - отговаря за успешното логване или отхвърляне на име и парола, както и за управлението на достъпа на локално ниво.

SAM - Security Account Мanager - Разпределя нивото на достъп и участието на акаунти в групи на локално ниво. Тук се съдържа информация за типа акаунт, групова принадлежност, и кода за валидация на потребителя.

SRM - Security Reference monitor - Тази част съдържа в себе копие на кода за валидация на потребителя, следи кой потребител какво се опитва да достъпи сравнява правилата за достъп до ресурсите записани в ACL - Access Control List за различните потребители, като използва копие на потребителският код за валидация, като така се гарантира че ресурсите са защитени.

ACL – Access Control List - Тази част от системата за сигурност, съдържа в себе си копие от потребителският код за валидация пред системата, и от там съдържа в себе си име на ресурс, адрес на ресурс, описание на ресурс и информация за позволен или забранен достъп на потребителя до ресурса. Потребителя се разпознава по кода за валидация. Кода за валидация, се генерира при създаването на акаунта, на основата на потребителското име, и носи в себе си информация кой е потребителя, какъв е акаунта, каква е груповата принадлежност на потребителя.

UI - User interface - Тази част извежда всички съобщения за отказан достъп, показва прозореца за въвеждане на име и парола, приема заявката за заключване и отключване на работната станция/сървъра.

NTFS – NT File System - Специална файлова система, специално проектирана за нуждите на мрежовият достъп и управление на сигурността. Позволява контрол на достъп на 2 условни групи:

Група 1 – достъп до файла и до данни на хард диска файл, подпапка, папка, основна директория (корен), дял.

Група 2 – достъп на потребителя логнат в системата - локален потребител, отдалечен потребител, група, всички локални, всички отдалечени, общо всички потребители.

След като се приключи цялата тази процедура, по разпознаване и валидиране на потребителя, неговата групова принадлежност ако се използва групово управление на акаунтите, правата и забраните за достъп, файловата система, започва да играе роля върху контрола на достъп. на много компютри с уин 2000 или ХР се използва файлова система фат - 32. Използването на файлова система фат - 32 е огромна грешка, това намалява почти на половина възможностите за фин контрол. често пъти достъпа до някой ресурс, може да се откаже, като се забрани достъпа, до файла който отговаря за ресурса. това може да стане под НТФС файлова система но не и под фат - 32. Когато управлявате сигурността, залагайте главно на сигурността и достъпа на акаунта. Уиндоус и програмите разчитат главно на това. Ако настроите добре Интернет експлорер, но не пипнете настройките на потребителя, все едно нищо не сте направили.

!!!ВНИМАНИЕ!!!

Настройката на части като .NET Frame Work, Internet Explorer, Windows Media Player, Oulook/Outlook Express, е само фина настройка на един или повече аспекти, и сам/сами по себе си не помагат много. Логиката по която Уин НТ/2000/ХР управляват сигурността е щом не е отметнато че е позволено, значи е забранено. Системата на сигурност възприема всички програми, папки и файлове, като дъщенри обекти, подчинени на акаунта титуляр, те се ползват с правата и забраните на акаунта, и системата на сигурност е така изградена, че щом акаунта няма достъп, значи който и да било обект няма достъп. Това води до натрупване на забрани, например забраните от .нет платформата се натрупват върху забраните на акаунта. Тези свойства могат да се използват за ограничаване на вирус, и улесняване на неговото чистене. Вирусът е програма, а програмата се стартира от името на потребителя, води се дъщерен обект, на акаунта титуляр и има неговите права и забрани. Тоест вие трябва да настроите достъпа и забраните на потребителя, изцяло от акаунта му, това ще е основната защита и като допълнение, ще е защитата, отделните модули, то е по-скоро като подсилване на защитата в дадена посока, но като цяло разчита на защитата на акаунта. акаунта е центъра около който се върти всичко, настройките на .NET Frame Work, Internet Explorer, Windows Media Player, Outlook/Outlook Express са само допълненията. Ако акаунта е силен, тогава със силни настройки на допълненията нямате проблем, основата е здрава и върху нея се гради, ако акаунта е слаб, основата е слаба и както да настройвате допълнително другите части няма има особена полза. при слаба основа, надстройките са безполезни.

!!!ВНИМАНИЕ!!!

Когато вируса зарази администраторски акаунт, вирусът има всички права на администратор, той само това и чака, за да се регистрира като системен процес и да влоши положението.

Ако вирусът зарази акаунт с права по-ниски от администраторски, в сила влиза правилото че вирусът е програма, а програмата се стартира от името на потребителя, води се дъщерен обект, подчинен на акаунта титуляр и има неговите права и забрани.

Използвайки НТФС можете допълнително да ограничите вируса. веднъж вируса заразил не администраторски акаунт, можете просто да забраните достъп на заразеният потребител, до дяла/папката с важната информация. така вируса няма да може да повреди важната информация. Ограничавайки достъпа на този потребител, вие улеснявате и чистенето, както и намалявате възможностите на вируса да се защити и съпротивлява успешно. Това е само във ваша полза.

Администратори, не забравяйте че е само и единствено ваша отговорност и задача и на никой друг, сървърите и работните, станции да са максимално защитени и настроени за оптимална работа, както и че към вашите задължения, се включва редовното обновяване на операционните системи, браузерите, пощенските програми, спам филтрите, защитния софтуер в мрежата. Никой не ви е виновен, ако вие нещо не сте направили. Щом са ви хакнали сървъра, значи вие виновни че не сте си свършили работата. Мизерници винаги е имало, сега има и винаги ще има, и те търсят мързеливи, некадърни, безотговорни, небрежни и самонадеяни администратори които "поддържат" сървър който предлага дадена услуга по интернет или по лан. както и където да ви хакнат сървъра, важното е че е хакнат, и е хакнат защото вие по някоя причина не сте си свършили работата. Уиндоус е операционна система, която изисква вие да знаете какво искате от потребителите и от самата операционна система. Най-добре е да се научите да управлявате ресурсите, да знаете кой ресурс за какво отговаря и кой файл отговаря за ресурса. научете се че простото държане на всички ресурси отворени, защото не знаете какво искате от себе си и ОС, е глупаво и опасно. Направете на потребителите User Account с който те да работят и да си вършат работата. разрешете на този акаунт, само и единствено това, което е необходимо на потребителя за да работи, забранете всичко останало. като преминете на NTFS по подразбиране група everyone има права Full control над всички файлове. преминаването към НТФС само по себе си, няма да ви помогне. след като сте преминали, на НТФС, е време да махнете правилото за група everyone да има full control и да разпределите привилегиите по потребителите и акаунтите. тук трябва да сте запознати с 3 потребителя които уин НТ/2000/ХР използва.

1 група everyone - ако е внимавате, може да ви докара неприятности или да се заключите, и да останете с кравешки поглед пред монитора.

2 System - това е самият уиндоус. самата ОС. Поради архитектурата на уиндоус, като потребител system e единственият начин, ОС да участва пряко в ставащото. Забранявайки достъп до дял и всичките папки, подпапки и файлове, можете да забраните на уиндоус да ги достъпва, но вие като потребител или администратор да ги достъпвате или ползвате. Общо взето получава се картинката че вие ровите по файловете, но ОС не знае нито къде ровите, нито какво правите. интересно нали? Внимавайте и с този потребител че да не ви остави и той с кравешки поглед пред монитора.

3 Администратор - вграденият в уинодус администраторски акаунт. внимавайте, ако искате да разрешите нещо само на този акаунт, и да го забраните на останалите, използвайте права за всеки акаунт. масова грешка при потребителите, е да използват следната комбинация от правила за дял С:\> разрешено за админ и забранено за група everyone. Група everyone включва множеството от всички акаунти включително акаунти system и Administrator тя отменя индивидуалните права на акаунтите и ги изравнява с тези на групата. Така се заключвате, та трябва да се отключвате после.

Някои ресурси, се забраняват, като се забранят файловете отговарящи за тези ресурси, това е една от целите на НТФС като файлова система. пример: няма да можете да пипате и ровите в регистри, ако, от НТФС на потребителя му е забранен файла Rededit.exe или самите файлове на регистри. друг начин е самите файлове на регистри да са с достъп само за четене от потребителя, така ако нещо поиска достъп до регистри за да пише, по правилото за програмата подчинена на акаунта титуляр, няма да може да пише по регистри. улеснение, за вас и затруднение за вируса, хем няма да имате съобщение за грешка, че уиндоус не може да зареди акаунта, не може да зареди вашият профил при буутване...

 !!!ВНИМАНИЕ!!!

Преди да тръгнете да раздавате права и забрани, знайте че забраните и разрешенията са с натрупване. Още нещо което трябва да се знае, че уиндоус, следва логиката, щом не е отметнато че е позволено, значи е забранено. Освен че генерално забраните са с натрупване, можете да налагате и индивидуални забрани, да даден потребител за достъп до даден ресурс. Примерно имате потребител pakostnik в група Power Users. Като основен комплект правила за достъп и забрани, този потребител, има достъпа и забраните на групата. В последствие този на този потребител му се налага индивидуална примерно забрана за достъп до .нет ресурсите, заради злоупотреби. Добре, налагате забрана и юзера няма достъп до .нет. Тази забрана за достъп до .нет, ще се натрупа към забраните на потребителя които има от групата, но няма да се отрази на групата като такава, и ако се отдели от групата и остане сам, или се премести в друга група, тази забрана ще го последва и ще се натрупа към забраните на новата групата. Тази индивидуална забрана следва само потребител pakostnik, и го следва навсякъде, и не влияе по никакъв начин, на останалите потребители в групата или в групите в които е разпределен, както и не влияе на групата като такава. Нали за това се нарича ИНДИВИДУАЛНА забрана. На същият принцип стои въпроса с разрешението за достъп.

Основният контрол над потребителския достъп до ресурсите става от :

my computer -> control panel -> administrative tools -> computer management контролирате поведението на уиндоус спрямо хардуера, управлявате и настройвате хардуера, поддържате хардуера. няма пряка връзка със сигурността, но с повече изобретателност може да се използва като допълнителен начин за забрана на ресурс.

my computer -> control panel -> administrative tools -> Local security policy от тук контролирате, основните правила за сигурност които ОС ще налага зададеният потребител. Регулирате достъп, протоколи, услуги, функции, акаунти, поведение спрямо акаунта и групата, защита на акаунтите и групите, позволени и забранени протоколи за връзки с други компютри, условия за приемане и отказ на връзките. като цяло от тук идва голям процент от сигурността на операционната система. Настройвайки тази група настройки, не забравяйте да нагласите my computer -> control panel -> administrative tools -> Local security policy -> account policy -> Account lockout policy, задайте 3 опита за влизане и при три опита за влизане с грешна парола, акаунта да се заключва за 150 минути (2 часа и половина) идеята е уиндоус да е неподатлив на опити за отдалечено логване, с Brute Force и Dictionary атаки за отгатване на паролата. Резултата е при всеки 3 опита за влизане с грешна парола, акаунта се заключва за 2 часа и половина. когато акаунта е заключен уин просто пренебрегва всички опити за логване, през времето за заключване, така че дори да отгатне вярната парола, шанса да опита паролата на заключен акаунт е повече от 90%, и хакера остава с илюзията че е грешната парола.

my computer -> control panel -> administrative tools -> .net framework wizards - управление на .нет платформата, не забравяйте, .нет платформата предлага избор, между глобални настройки за цялата система и настройки за самият потребител. Не се опитвайте да настроите двата раздела едновременно, невъзможно е, всеки отменя настройките на другия налагайки свойте. За това първо помислете в кой раздел попадате, и тогава настройвайте този раздел. Първият раздел отговаря за цялата система, прави промените глобални за всички потребители, глобално за цялата операционна система. Вторият раздел е раздел за потребителя прави промените само за даденият потребител, не прави глобални промени. можете да зададете много потребители, с различни права на достъп, и те ще си останат напълно независими един от друг. допълнителна настройка на .нет платформата за двата разела, има в интирнет експлорер, където във всяка от четирите зони за сигурност на браузера, се определя и поведението на .нет платформата, спрямо източници поставени в съответната категория.

допълнителният контрол над потребителите става от

my computer -> control panel -> administrative tools -> services - управление на работещите услуги

my computer -> control panel -> administrative tools -> component services - управление на модулите на ОС свързани с работещите услуги

my computer -> control panel -> administrative tools -> telnet server administration - управление на входящите телнет връзки, изготвяне на правила за приемане и отхвърляне на телнет връзки

my computer -> control panel -> administrative tools -> Internet services manager - управление на начина по който работи IIS

my computer -> control panel -> administrative tools -> Data Sources (ODBC) - управление на MDAC приставката, необходима за всеки който иска да работи и създава сайтове и бази данни, с PHP и SQL под уиндоус

Част от поведението на уиндоус в локалната мрежа/интранет/екстранет се контролира от интернет експлорер раздела Local Intranet – Отворете интернет експлорер и от меню tools -> internet options -> Security -> Local intranet така че не забравяйте да настроите и този раздел.

от my computer -> control panel -> Users and Passwords -> advanced можете да нагласите привилегиите на всяка група, да променяте групи в които са групирани потребителите, да премахвате, променяте и създавате групи както и да нагласяте техният достъп според нуждите ви, това ви дава по-добър контрол над потребителите, техните права за достъп от там на сигурността като цяло. Друга полезна опция която може да активирате, е secure boot тоест потребителя трябва да натисне Ctrl+alt+del за да се разреши логване, така можете да предпазите уиндоус от автоматично логване на rootkits на вашата работна станция, както и от автоматизирано логване като цяло. полезна опция ако искате да държите под контрол кой, кога и как се логва.

От my computer -> control panel -> Network and dial up connections, кликнете с десен бутон иконата на мрежовата карта, изберете Properties -> Internet Protocol (TCP/IP) -> Advanced -> Options. Появяват се две опции. едната е IPSecurity другата е TCP/IP Filtering.

От опциите, на TCP/IP Filtering, можете да нагласяте отворени и затворени портове по TCP и UDР за лан и интернет, което ви дава много силен контрол върху това което се опитва да влезне или излезе от компютъра. Списъка е whitelist - списък на разрешените портове. при активирането му, операционната система държи само тези портове отворени, които са сложени в списъка. всички портове извън списъка са затворени. това важи както за TCP така и за UDP. проверете внимателно, кои портове отваряте и затваряте. Отварянето на порт става с добавянето му в списъка, затварянето на порт става с премахването му от списъка.

От IPSecurity указвате допълнителен контрол на условията при които вашият компютър може да приема или отказва връзки с други компютри, допълвайки правилата създадени от my computer -> control panel -> administrative tools -> computer management и my computer -> control panel -> administrative tools -> Local security policy.

От тук нататък, сте вие на ход, да видите какво ви трябва, и какво не, да си направите правилата, използвайки всички тези елементи на ОС. Не забравяйте, щом са ви хакнали значи е ваша вина че не сте си свършили работата. Няма непробиваема ОС, има добре настроена и зле настроена операционна система, има добре и зле настроен сървър, и добре и зле настроена работна станция. дали настройките и резултатите ще са ваша вина или заслуга, зависи само от вас, вашето желание и старание. щом сте администратор, извинението ама не знаех това - не важи. уиндоус има подробна помощна информация, с развити примери и примерни настройки. повече подробности за настройките на елементите споменати в статията, и как те се отразяват на работата, има написани в помощната информация на уиндоус, заедно с развити примери които искат да ви покажат кое как се прави, защо се прави така, какво и как ще се промени. Администратори, запретвайте ръкави, загърбете мързела и самонадеяността и си стягайте мрежите, защото всеки от вас е потенциална мишена.

No comments:

Post a Comment

Note: Only a member of this blog may post a comment.