ГлавнаяКонтактыКарта сайта
ЕПОС
О компанииКомпьютерная криминалистикаВосстановление информацииЗащита информацииПроизводство и ITСервисНаши разработки

Расследование инцидентов, компьютерная криминалистика, информационная безопасность

Книжная серия Взгляд на жесткий диск изнутри




Архив статей


13.01.2003
Персональный компьютер и безопасность работы в сети

Борис Косяков, инженер корпоративных проектов

Персональный компьютер что шахматы-
игра коллективная

Народный ЕПОС

 

В последнее время достаточно большое внимание уделяется вопросам обеспечения информационной безопасности в различных автоматизированных системах (корпоративных, межкорпоративных, платежных и прочих).

К защите периметра корпоративной сети ИТ персонал относится достаточно серьезно - тут установлены и брандмауэры, и системы обнаружения вторжений. То же можно сказать и о различных серверах - как внутренней сети, так и «демилитаризованной зоны».

Но достаточно часто можно видеть, что рабочие станции пользователей вниманием администраторов безопасности обделены. Хотя по данным статистики основным источником угроз безопасности корпоративной сети по-прежнему остаются именно легальные пользователи ваших информационных систем. При этом возникают две основные проблемы:

  • сохранение целостности любой оперативной информации компании, а особенно конфиденциальной;
  • обеспечение бесперебойной работы оборудования.

Любому понятно, что разглашение или потеря информации может не только повлечь за собой финансовые убытки, но и причинить вред репутации и конкурентоспособности фирмы. Не менее важна и бесперебойная работа оборудования - выход из строя того или иного узла приводит как к затратам на его восстановление, когда требуется обновить или заменить программное обеспечение, так и к простоям в обслуживании клиентов вашей компании, а значит, к снижению доходов. Утечка или потеря конфиденциальных данных и простои оборудования могут произойти:

  • в результате непреднамеренных ошибок пользователя;
  • в результате злонамеренных действий пользователя;
  • скрытно от пользователя в результате воздействия программных вирусов или других программных модулей: «червей», «троянских коней».

Для обеспечения информационной безопасности рабочих станций пользователей существует достаточно много комплексов средств защиты от разных производителей, но мы поговорим о встроенных возможностях операционных систем, которые почему-то используются достаточно редко.

Прежде всего, сделаем выбор операционной системы для рабочих станций нашей корпоративной сети. В настоящее время стандартом де-факто для этого являются ОС корпорации Microsoft. Но, по-моему, безопасность и семейство «операционок» Windows9x/Me - это два несовместимых понятия, поэтому остаются ОС, построенные на основе технологии NT.

Windows NT 4.0 Workstation - уже достаточно старая ОС, не поддерживает много из современного оборудования, да и Microsoft объявила о прекращении поддержки данной системы. Windows XP - относительно новый продукт, поэтому еще будет много бюллетеней о найденных ошибках и «дырах» в программном коде. Значит, делаем выбор в пользу Windows 2000 Professional, тем более для нее уже вышел третий пакет исправлений (Service Pack 3) - надеемся, что большинство «багов» исправлено. А вышедшее недавно сообщение о том, что ОС Windows 2000 получила сертификат Common Criteria, подтверждает, то, что эта операционная система соответствует определенному уровню безопасности. Если конечно чуть-чуть приложить руки, а не оставлять все настройки ОС по умолчанию.

Избыточные привилегии пользователей

Итак, установка ОС прошла успешно или же мы купили компьютер с предустановленной системой. Какой же первый вопрос настройки системы безопасности рабочей станции - естественно пароль, и не просто пароль, а пароль локального Администратора. Типичная ситуация - для аутентификации пользователей в сети используется служба каталогов - Microsoft Active Directory или Novell eDirectory - поэтому политика использования паролей сконфигурирована в службе каталогов, а о локальных бюджетах пользователей просто забывают. Часто пароль локального Администратора остается тот, который использовался при установке ОС и бывает очень слабым или вообще пустым.

Не менее часто системный администратор сам включает бюджеты пользователей, работающих на данном компьютере, в группу локальных администраторов, думая, что этим он облегчит себе жизнь. Пользователь не будет дергать его по разным пустякам - установить Acrobat Reader или разрешить другим пользователям доступ к каким-либо файлам, хранящимся на этом компьютере, а в системе безопасности всей сети с привилегиями локального администратора своей рабочей станции пользователь ничего опасного сделать не сможет. Это глубокое заблуждение! Фактически, системный администратор закладывает под себя мину замедленного действия. Рассмотрим, что может сделать неквалифицированный или злонамеренный пользователь с такими привилегиями.

Во-первых, пользователь получает доступ к установке любых параметров ОС своего компьютера. И вот в один прекрасный момент он решит, что получать адрес IP от сервера DHCP не серьезно и установит его вручную, естественно используя для этого IP адрес сервера баз данных системы управления предприятием. В результате конфликта адресов IP будут остановлены сетевые службы на сервере и на рабочей станции пользователя. Как вам такой вариант событий?

Во-вторых, пользователь получает возможность устанавливать программное обеспечение, которое требует изменения установок системного реестра или устанавливается в профили всех пользователей, работающих на этом компьютере, а не только в свой пользовательский профиль. Я, конечно, не сомневаюсь, что в сети вашей компании установлен корпоративный пакет антивирусного программного обеспечения, который регулярно обновляется. Но кто может дать гарантию, что какой-нибудь доступный в Интернет продукт Freeware с множеством полезных функций не заражен новым вирусом или не содержит в коде каких-либо «закладок»?

В-третьих, пользователь получает полные права к файловой системе NTFS. Естественно, совершенно случайно он удаляет папку C:Program Files и пару папок в C:Winnt. Или решив дать доступ другим пользователям к своим документам, выделяет в полный доступ группе Everyone, как на уровне сетевого ресурса, так и на уровне NTFS, весь диск С. Тогда подобную операцию произведет неизвестный доброжелатель удаленно.

Что касается отсутствия опасности такого пользователя для всей сети - это только первое впечатление. Что, если у вас в компании работает «непризнанный гений», который считает, что он получает неоправданно маленькую зарплату и хочет получить доступ к данным бухгалтерии, чтобы узнать оклады других сотрудников? Для этого ему нужно узнать имя пользователя и пароль соответствующего администратора домена.

Имея привилегии локального администратора - это не составляет труда. Как известно, пароль текущего пользователя кэшируется и его легко получить с помощью утилиты passdump. Достаточно скопировать эту утилиту на жесткий диск и прописать ее на автоматическую загрузку в профиле системного администратора (папка C:Documents and SettingsИмя учетной записи администратораStart MenuProgramsStartup) или в реестре. Теперь осталось дождаться, когда системный администратор для решения каких-либо проблем зарегистрируется в сети с данного компьютера. Затем регистрируется «непризнанный гений», открывает файл C:Winntpassdump.txt (результат работы утилиты passdump) и «Золотой ключик» к сети компании у него в кармане:

 



Рис. 1

 

Можно смотреть нужную информацию или создавать новые проблемы ИТ персоналу, чтобы не скучали.

Как затруднить жизнь «гению»?

При установке нового компьютера необходимо устанавливать пароль локального администратора длиной не менее 7 символов, используя не менее трех разных типов символов. При этом пароль локального администратора не должен совпадать с паролями, используемыми в сети.

Установите принудительное использование устойчивых паролей в апплете политики локальной безопасности (Local Security Policy Account Policies Password Policy).

 



Рис. 2

 

Включите режим блокировки учетных записей после заданного количества неудачных регистраций в апплете политики локальной безопасности (Local Security Policy Account Policies Account Lockout Policy).

 



Рис. 3

 

Переименуйте встроенную учетную запись Администратор (Administrator) в апплете политики локальной безопасности (Local Security Policy Local Policies Security Options).

 



Рис. 4

 

Можно использовать одинаковое имя и пароль на тех компьютерах, за которые отвечает один администратор поддержки пользователей.

Создайте новую учетную запись с именем Администратор (Administrator), не включая ее ни в одну группу пользователей.

Максимальный уровень привилегий, назначаемый пользователю на компьютере - Опытный пользователь (Power User) и то лишь в том случае, когда он должен разрешать другим доступ к своим документам или принтеру, подключенному к его компьютеру. А лучше всего ограничиться уровнем Пользователь (User).

Альтернативная загрузка

Итак, пользователи имеют минимум привилегий, необходимый для работы. Но если после установки ОС забыли отключить в BIOS Setup возможность загрузки со сменных носителей: гибких дисков или компакт-дисков, то получить имя и пароль локального администратора, загрузившись с альтернативной ОС - не проблема.

Источник информации для этого - файл базы данных диспетчера учетных записей защиты (Security Account Manager). Если на контроллерах доменов Windows 2000 хэш-коды паролей пользователей хранятся в зашифрованном виде в базе данных службы каталогов Active Directory, то на рабочих станциях и серверах местоположение хэш-кодов осталось, как и в предыдущих версиях ОС, в файле sam, который расположен в папке C:Winntsystem32config. Доступ к этому файлу во время работы блокируется системой, но при загрузке с альтернативной ОС эта блокировка не работает. И чтобы получить полный доступ к системе, достаточно просто удалить этот файл! При этом будет обнулен пароль локального администратора, а также удалены все пользовательские бюджеты локальной системы и утеряны списки доступа файловой системы NTFS.

Но если нужно реализовать более изящную атаку, не привлекая лишнего внимания ИТ персонала? Имеются и такие возможности.

Пароли в системе Window не хранятся в открытом виде. Более того, в системе Windows NT 4.0 и Windows 2000 шифрование паролей осуществляется достаточно надежным способом. Однако, для совместимости с другими сетевыми клиентами (Windows 95, Windows for Workgroup, Lan Manager) наряду с хэшированным значением пароля Windows NT в базе SAM хранится и хэшированное значение пароля в стандарте системы Lan Manager. Этот пароль гораздо менее устойчив к взлому. Как правило, именно он и вскрывается широко распространенными программами.

В системе Windows 2000 задача непризнанных гениев осложняется тем, что в отличие от Windows NT 4.0 файл sam по умолчанию зашифрован с использованием нового алгоритма SYSKEY. Поэтому попытка скопировать файл, а затем получить из него хэш-коды паролей и взломать их с помощью широко известной утилиты LOphtcrack (сейчас доступна версия LC4), как это легко проходило в Windows NT 4.0, окончится неудачей. Но, как известно, то, что один человек сделал, другой всегда сломать может. И вот имеется утилита chntpw, написанная Питером Нордалом-Хагеном, которая позволяет менять пароли пользователей, хранящиеся в файле sam. Но любой человек тут же спросит, а как же шифрование хэш-кодов паролей с помощью 128-разрядного ключа утилиты SYSKEY? Как можно изменить пароль, не зная ключа? Питер Нордал-Хаген выяснил, как можно отключить эту защиту. Но и это не все - он решил эту проблему еще проще - он не стал ломать стену, а просто обошел ее! Оказывается, при добавлении в файл sam хэш-кодов, сгенерированных по старому алгоритму, они не считаются недействительными, а автоматически шифруются при перезагрузке системы. Утилита chntpw убирает из файла sam зашифрованный хэш-код пароля нужного пользователя, просит ввести новый пароль, генерирует хэш-код, используя старый изученный алгоритм, и прописывает его в файл. Остается только перезагрузиться и зарегистрироваться в системе с новым паролем! Причем Питер Нордал-Хаген предлагает не только утилиту, а загрузочную дискету с ОС Linux, сконфигурированную специально для подключения системных дисков Windows NT/2000 и изменения пароля администратора.

Проблему сброса пароля локального администратора можно решить с помощью утилиты SYSKEY. Для этого достаточно изменить режим использования ключа SYSKEY, установленный по умолчанию. По умолчанию ключ, с помощью которого шифруются хэш-функции базы данных SAM, хранится в системном реестре в открытом виде. Нужно изменить эту настройку так, чтобы он был закрыт дополнительно паролем или экспортировать его на дискету.

 



Рис. 5

 

Единственный действенный путь борьбы с утилитой chntpw - обеспечить физическую защищенность рабочих станций, отключив режим загрузки со съемных носителей в BIOS, закрыв паролем BIOS Setup и заблокировав корпус компьютера от несанкционированного доступа, чтобы предотвратить сброс установок BIOS.

Доступ к файловой системе

Достаточно много важной информации хранится не только на файл-сервере, но и на рабочих станциях пользователя. И эти данные легко могут быть утрачены или разглашены, если не принимать определенные меры. Прежде всего, рекомендуется использовать файловую систему NTFS для системного раздела жесткого диска и раздела, где хранятся критические данные, чем обеспечивается ряд дополнительных возможностей защиты данных.

Одна из этих возможностей - управление доступом. С помощью списков управления доступом (ACL) пользователь может ограничить доступ к своим данным, размещенным на компьютере. Списки управления доступом позволяют ограничить доступ к файлам для конкретного пользователя, компьютера или группы пользователей. При настройке разрешений устанавливается уровень доступа для групп и пользователей. Например, одному из пользователей разрешается читать содержимое файла, другому - вносить изменения в файл, а всем остальным пользователям запрещается любой доступ к файлу.

Это необходимо, если на одном компьютере работают несколько пользователей или в сети компании не установлены ограничения на регистрацию пользователей на определенных компьютерах и любой пользователь домена, имеющий физический доступ к консоли компьютера, может зарегистрироваться на нем.

В операционной системе Windows 2000 применяется пятая версия NTFS. Одно из новых средств этой версии файловой системы NTFS - это шифрованная файловая система (Encrypting File System, EFS). Система шифрования EFS создана на основе инфраструктуры открытого ключа (Public Key Infrastructure, PKI) и позволяет шифровать файлы и папки(рис. 6).

Шифрованная файловая система является средством защиты от атак, направленных на получение данных в обход операционной системы - путем загрузки альтернативной ОС со съемного носителя или подключением жесткого диска с данными к другому компьютеру. Даже если кто-то посторонний получит доступ к зашифрованному файлу (например, украв компьютер или диск, на котором хранится этот файл), он не сможет расшифровать файл и получить доступ к информации. Система EFS интегрирована с файловой системой, что затрудняет атаку на EFS и упрощает управление.

Существуют определенные ограничения на шифрование файлов. Файлы и папки в сжатом виде не шифруются. Прежде чем шифровать сжатый файл или папку, их необходимо распаковать. Не шифруются также файлы с атрибутом System и файлы, находящиеся в корневой системной папке C:Winnt.

 



Рис. 6

 

Операцию шифрования или дешифрования файлов можно выполнить с помощью графического интерфейса в диалоговом окне свойств файла или папки, нажав кнопку Advanced, а также из командной строки с помощью утилиты cipher. Ключ шифрования файла генерируется при этом автоматически специально для каждого файла или папки. Затем полученный ключ в свою очередь тоже шифруется открытым ключом пользователя, а также открытым ключом агента восстановления данных EFS. Эти зашифрованные данные хранятся как атрибуты NTFS у каждого объекта.

Возникает вопрос - а как же получить доступ к зашифрованным файлом или папкам, если пользователь, зашифровавший данные, заболел или уволился? Для обеспечения такой возможности в Windows 2000 и существует агент восстановления данных EFS. Но существование такой возможности облегчает жизнь и злоумышленникам, так как агентом восстановления по умолчанию является локальный администратор системы. А получить права локального администратора с пустым паролем, имея физический доступ к компьютеру или жесткому диску, как уже описано выше - очень просто!

Другой способ получить доступ к зашифрованным файлам - с помощью утилиты chntpw, написанной Питером Нордалом-Хагеном (см. выше), изменить пароль пользователя, зашифровавшего данные.

Итак, остается только загрузиться и дешифровать данные с помощью открытого ключа агента восстановления или пользователя. Но неужели не существует способа защиты от вскрытия зашифрованных данных?

Не все так плохо - если компьютер является членом домена Active Directory, то агентом восстановления является не локальный администратор, а администратор домена и открытый ключ восстановления данных EFS хранится в базе данных Active Directory, а не локально. Если пользователь - владелец зашифрованных данных является пользователем домена Active Directory, а не локальным пользователем компьютера, все данные его бюджета также хранятся на контроллере домена и воспользоваться ими для взлома данных EFS - не получится.

Если компьютер используется не в домене, но изменен режим использования ключа SYSKEY, установленный по умолчанию (см. выше), то злоумышленник также не получит доступа к зашифрованным файлам EFS, даже если и зарегистрируется в системе. Ведь в этом случае открытые ключи пользователя и агента восстановления зашифрованы с помощью утилиты SYSKEY, ключ которой недоступен злоумышленнику.

Аудит

Даже если в вашей компании не было никаких проблем с рабочими станциями, все равно имеет смысл установить аудит событий безопасности не только на серверах, но и на рабочих станциях. Аудит в Windows 2000 включается с помощью апплета политики локальной безопасности (Local Security Policy Local Policies Audit Policy).

 



Рис. 7

 

Я бы рекомендовал отслеживать следующие события, как успешные, так и нет:

  • регистрация пользователей;
  • управление бюджетами;
  • доступ к объектам;
  • использование привилегий;
  • изменение политики.

Не забудьте, что если вы хотите контролировать доступ к файлам или папкам, хранящимся на компьютере, то также необходимо включить аудит в свойствах этих файлов и папок. Для этого нужно добавить в список группы или пользователей, действия которых нужно отслеживать.

Но одна регистрация событий без последующего контроля и анализа ничего не дает.

К сожалению, в Windows 2000 журналы событий аудита хранятся локально и отсутствуют встроенные средства для их контроля и анализа. Правда, на сайте Microsoft имеется доступная утилита EventCombNT, которая позволяет администраторам обрабатывать журналы событий удаленных компьютеров и отфильтровывать сообщения по установленным критериям (рис. 8).

 



Рис. 8

 

Если вас не устраивает функциональность данной утилиты, то воспользуйтесь для контроля и анализа журналов событий программами сторонних производителей.

Групповая политика

В операционной системе Windows 2000 появилось новое мощное средство администрирования, которое в том числе полезно и для настроек безопасности на группе компьютеров - это групповая политика (Group Policy).

С помощью групповой политики можно распространить настройки параметров, которые на локальной системе доступны через апплет политики локальной безопасности: политики учетных записей, политики аудита, настройки журналов событий, открытые ключи - на компьютеры в пределах всего домена Active Directory, сайта или только организационной единицы (Organization Unit, OU). Причем по умолчанию политики уровня сайта перезаписывают локальные; политики, установленные на уровне домена Active Drectory, перезаписывают политики сайта; политики уровня структурной единицы перезаписывают политики домена в случаях, когда они противоречивы. Таким образом, формируется общая эффективная политика.

Для облегчения жизни администраторов безопасности в составе Windows 2000 компания Microsoft предлагает шаблоны безопасности - структурированные списки настроек операционной системы Windows 2000 для разных уровней безопасности: обычный, защищенный и с повышенной защитой, а также разных ролей компьютеров с ОС Windows 2000: рабочая станция, сервер, контроллер домена. Эти шаблоны можно применять, как есть, или редактировать согласно вашим требованиям. Хранятся они в каталоге C: Winntsecuritytemplates.

Для применения шаблона достаточно открыть в редакторе групповой политики нужный объект, открыть ветвь Computer Configuration Windows Setting Security Setting и выбрать пункт меню Импорт (Import). Затем необходимо указать каталог, где хранятся шаблоны, и выбрать нужный вам.

Итак, с групповой политикой вам не нужно бегать по всем компьютерам вашей компании для настройки безопасности рабочих станций. Достаточно определить необходимые требования для компьютеров всего домена и разных департаментов, сформировать в соответствии с требованиями групповые политики и применить их. Применяются групповые политики на рабочих станциях при загрузке ОС, а затем с установленным в службе каталогов интервалом (по умолчанию 90 минут). Хранятся все настройки в базе данных службы каталогов Active Directory на контроллерах доменов, что гарантирует их восстановление при сбоях компьютеров.

Не теряйте свою информацию!

Информацию можно потерять при физическом отказе жесткого диска, и даже специалисты фирмы «ЕПОС» не всегда смогут восстановить их при этом. Задача сохранения данных или их восстановления после аварийной ситуации - это очень обширная тема, выходящая за рамки данной статьи. Поэтому ограничусь только двумя советами:

  1. не забывайте о старом надежном способе защиты данных - резервном копировании, и не только серверов. Современные системы резервного копирования, такие как Veritas Backup Exec или CA ARCserve Backup обеспечивают резервное копирование данных, хранящихся на рабочих станциях.
  2. Если же вы используете встроенные средства резервного копирования операционной системы сервера, тогда имеет смыл хранить папки пользователей с критической информацией(папки My documents, профили пользователей) на файл-сервере. Причем для пользователя данные будут продолжать выглядеть, как локальные. Настроить это очень просто с помощью групповой политики(Group Policy).

В заключение хотелось бы сказать, что применение любых вышеизложенных рекомендаций только тогда сыграет свою положительную роль, если они используются не в результате сиюминутного желания системного администратора после прочтения умной книги, а как часть разработанной ИТ персоналом вашей компании политики информационной безопасности.


Поделиться информацией