Здесь описаны малоизвестные
дополнительные возможности (по умолчанию
отключены!), которые предоставляют Service Pack 3, 4,
5. Вы должны это знать если всерьез
заботитесь о безопасности своей сети!
Вместе с тем надо помнить и о новых проблемах, которые могут
возникнуть после установки SP4,5. К
счастью, большинство из них не имеют отношения к
безопасности.
SMB Signing
Данный протокол (появился в SP3)
является модификацией SMB (используется для
доступа к файлам, принтерам и др. ресурсам
сервера) и позволяет добавлять в конец каждого
сообщения электронную подпись, что существенно
повышает его защищенность. Включить проверку
подлинности сообщений можно следующим образом:
Сервер: В разделе реестра
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\LanManServer\Parameters
установить значение параметра EnableSecuritySignature=1
(REG_DWORD).
Кроме того, если установить параметр RequireSecuritySignature=1
(REG_DWORD), то сервер будет работать только с
клиентами, поддерживающими SMB Signing.
установить значение параметра EnableSecuritySignature=1
(REG_DWORD). Для клиента это значение устанавливается
по умолчанию.
Следует иметь в виду, что
использование этого протокола вызывает
дополнительную нагрузку на процессор.
К сожалению, SMB Signing поддерживается
только в Windows NT.
Подробно - support.microsoft.com/support/kb/articles/q161/3/72.asp
Фильтрация
паролей
Начиная с SP2 появилась возможность
задавать более строгие правила фильтрации
вводимых пользователями паролей. Для этого
служит библиотека PASSFILT.DLL. При ее
использовании производится проверка того, что
новый пароль: -содержит не менее 6 символов; -содержит в себе символы по крайней мере
3-х наборов из 4-х возможных (прописные буквы
латинского алфавита; строчные буквы латинского
алфавита; цифры 0, 1,...9; специальные символы); -не содержит в себе имя пользователя или
любую часть его полного имени.
Режим проверки включается путем
добавления в раздел реестра
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
параметра Notification Packages (REG_MULTI_SZ) и
записи в него строки PASSFILT. Если этот
параметр уже создан и содержит строку FPNWCLNT,
строка PASSFILT дописывается после нее.
Библиотека PASSFILT.DLL должна находиться в
каталоге %system root%\System32.
Данная процедура выполняется только на PDC.
К сожалению, проверка не
производится для паролей, изменяемых
пользователями с 16-разрядных клиентов.
Подробно - support.microsoft.com/support/kb/articles/q151/0/82.asp support.microsoft.com/support/kb/articles/q161/9/90.asp
Ограничение прав анонимного
пользователя
Установка SP3 не только закрывает
для анонимного пользователя доступ к реестру, но
и позволяет запретить выдачу ему списка
сетевых ресурсов сервера и списка пользователей
домена. Данный режим можно включить установив
значение параметра RestrictAnonymous=1 (REG_DWORD) в
разделе
Шифрование
паролей В состав SP3 входит
программа SYSKEY, которая позволяет
установить режим дополнительного шифрования
паролей, хранящихся в базе данных SAM. SYSKEY
создает уникальный ключ при помощи которого
производится шифрование и сохраняет его в
реестре. Перед записью в реестр этот ключ (Password
Encryption Key) в свою очередь шифруется системным
ключом (System Key), который по усмотрению
администратора может быть сохранен либо в
реестре, либо на дискете, либо вообще может
вычисляться при каждом запуске системы на основе
пароля, вводимого администратором.
При наличии нескольких
контроллеров домена SYSKEY должна быть
запущена на каждом из них. Отменить однажды
установленный режим шифрования паролей
невозможно.
Перед применением этой программы
Microsoft рекомендует создать Emergensy Repair Disk.
Подробно - support.microsoft.com/support/kb/articles/q143/4/75.asp
Шифрование
"безопасного" канала
Безопасный канал (Secure Channel) -
это соединение между Windows NT-компьютером и
контроллером домена, устанавливаемое службой NetLogon.
По этому каналу передается регистрационная
информация о пользователях домена. Однако,
несмотря на то, что канал назван
"безопасным", сведения о группах, членом
которых является пользователь, передаются по
нему в незашифрованном виде. Это может
использовать злоумышленник для изменения
информации о членстве регистрирующегося в
системе пользователя в группах (атака типа
"Man-in-the-Middle"), включив его, например, в группу
Domain Admins. Последствия, думаю, очевидны.
В SP4 появилась возможность
"заткнуть" эту дыру. Для этого
необходимо добавить или модифицировать
следующие параметры в разделе реестра
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\netlogon\parameters
SignSecureChannel (REG_DWORD) = 1 (True) / 0 (False). Этот
параметр определяет, будет ли весь исходящий
трафик безопасного канала снабжаться
электронной подписью.
SealSecureChannel (REG_DWORD) = 1 (True) / 0 (False). Этот
параметр определяет, будет ли шифроваться весь
исходящий трафик безопасного канала.
Если этот параметр установлен в "1", то SignSecureChannel
автоматически присваивается то же значение.
RequireSignOrSeal (REG_DWORD) = 1 (True) / 0 (False). Этот
параметр определяет, что весь исходящий трафик
безопасного канала должен быть либо зашифрован,
либо снабжен электронной подписью. Этот флажок
выставляется только если все контроллеры
доменов во всех доменах, связанных
доверительными отношениями, поддерживают
шифрование и электронную подпись данных,
передаваемых по безопасному каналу. Если
этот параметр установлен в "1", то SignSecureChannel
должен быть "1".
Подробно - support.microsoft.com/support/kb/articles/q183/8/59.asp
"Выключение"
пароля LAN Manager
Как известно, при открытии
SMB-сеанса клиент формирует "ответ" серверу
основываясь на двух паролях: родном
(используемом только в Windows NT) и LAM Manager -
совместимом. Первый способ аутентификации
известен как NTLM challenge/response, второй - как LM
challenge/response. Последний используется для
сохранения совместимости с серверами,
поддерживающими только LM challenge/response и
обладает недостаточной криптостойкостью.
Поэтому уже появились программы, осуществляющие
подбор паролей по паре "вызов"-"ответ",
использующие именно "ответ", зашифрованный
паролем LAN Manager (например - L0phtCrack).
После установки SP4 у вас появляется
возможность отключить использование пароля LAN
Manager + использовать новую, более совершенную
версию NTLM - NTLMv2.
В раздел
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
реестра необходимо добавить параметр:
LMCompatibilityLevel (REG_DWORD) = 0, 1, 2, 3, 4 или 5.
Этот параметр задает тип используемого
алгоритма аутентификации: Клиенты: 0 - всегда возвращаются два ответа, LMи NTLM. NTLMv2 никогда не используется. 1 - используется NTLMv2, еслипоступил
соответствующий запрос. При установке этого или
более высокого уровня после изменении пароля
пользователя с клиента, работающего под WFW или
MS-DOS LanManager 2.x становиться невозможна
регистрация на DC с установленным SP4. 2 - посылается только NTLM ответ.
Клиент не сможет взаимодействовать с
серверами, поддерживающими только LM
аутентификацию (например, Windows 95/98, WFW),
если на DC этого клиента не установлен SP4. 3 - посылается только NTLMv2 ответ. При
установке этого или более высокого уровня клиент
сможет взаимодействовать с серверами,
поддерживающими только LM аутентификацию только
если на DC этого клиента установлен SP4. При
этом если на LM сервере установлен режим Share Level
security с ненулевым паролем, то взаимодействие
будет невозможно. Серверы/DCs: 4 - LM-ответы игнорируются. Установка
этого и более высокий уровень приводит к
тому, что пользователь с локальной учетной
записью на данном сервере не сможет с ее помощью
соединяться с сервером с LM-клиентов. Для
контроллеров домена эта установка приведет к
тому, что пользователи домена не смогут с
LM-клиентов связаться ни с каким member-сервером
используя доменную учетную запись. 5 - игнорируются LM и NTLM - ответы
(принимаются только NTLMv2). Пользователь с
локальной учетной записью на данном сервере не
сможет с ее помощью соединяться с сервером с Windows
NT клиента, на котором не стоит SP4.
Security
Configuration Manager (SCM) В некоторых документах именуется
Security Configuration Editor (SCE). Появился в SP4. По умолчанию не
устанавливается. На компакте с SP4 он находится в
отдельном каталоге \Mssce. В интернете
также лежит отдельно от SP: ftp://ftp.microsoft.com/bussys/winnt/winnt-public/tools/scm/.
Очень удобное средство для настройки и
анализа состояния системы безопасности Windows NT.
Имеется набор готовых шаблонов для установки
того или иного уровня безопасности. Кроме
варианта с GUI в комплект входит и утилита
командной строки (secedit.exe) с несколько меньшими
вохможностями.
Подробно SCM описан в статье MS
Security Configuration Manager for Windows NT 4 из Microsoft TechNet.
Информация об обновлениях SCM лежит
на www.microsoft.com/security/ntprod.htm.
Быстрая
перезагрузка Добавив в раздел реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon переменнуюEnableQuickReboot (REG_SZ) и
присвоив ей значение "1" вы получите
возможность выполнять быструю перезагрузку
системы нажатием <Shift>+<Ctrl>+<Alt>+<Delete>.
В Event Log при этом появляется запись:
Event ID - 6008
The previous system shutdown at <time> on <date> was unexpected
+
Безопасность компьютерных сетей на основе Windows NT
под редакцией В.С.Люцарева. Издательство Русская редакция, 1998г.
Независимые эксперты о малоизвестных
свойствах системы безопасности Windows NT.
Лучшая книга на русском языке по
этой тематике.
Рекомендую всем!!!
О возможных проблемах, возникающих после
установки SP4, можно прочитать на страничке SP4,5 bugs & hotfixes.
Microsoft, MS-DOS, Windows и Windows NT
являются зарегистрированными торговыми марками
Microsoft Corporation. Все другие торговые марки являются
собственностью соответствующих фирм.
