Безопасность Windows XP: защити себя сам!

При настройке домашних и офисных систем можно выделить пять основных конфигураций, настройки безопасности которых коренным образом различаются. Рассмотрим их подробно.

18.11.2003 00:00
Безопасность Windows XP: защити себя сам!
Страницы: Пред. 1 2

Почему надо блокировать активное содержимое веб-страниц

В Internet Explorer существует, и до последнего момента не была прикрыта уязвимость, определяемая антивирусами как Exploit.CodeBaseExec. Эта уязвимость позволяет запускать любые программы, расположенные на ПК пользователя, открывшего веб-страничку с нехитрым кодом. Чтобы проверить, подвержен ли ваш ПК такой атаке, создайте простейший html-файл с таким содержанием:

<html>
<span datasrc="#oExec" datafld="exploit" dataformatas="html"></span><xml id="oExec">
<security>
<exploit>
<![CDATA[
<object id="oFile" classid="clsid:11111111-1111-1111-1111-111111111111" codebase="c:/windows/notepad.exe"></object>
]]>
</exploit>
</security>
</xml>
</html>

Если спустя несколько секунд после его открытия в Internet Explorer сам собой запустится Блокнот, то ваш ПК уязвим. Антивирусы выявляют такой код и, возможно, не дадут ему запуститься. Если же вы хотите повысить уровень защиты самого IE от подобных атак, то в реестре установите такой параметр:

HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Internet Settings\ Zones\
"1004"=dword:00000001

После этого при попытке запуска потенциально опасного скрипта будет выдаваться запрос к пользователю.


Локальная сеть

При работе в составе локальной сети, особенно если к вашему ПК имеют физический доступ другие лица, возникают две дополнительные, но противоречащие друг другу задачи: предотвратить несанкционированный доступ к своим приватным документам и обеспечить удалённым пользователям возможность работы с файлами, которые вы хотите выложить на всеобщее обозрение. Для решения этой проблемы обычно используют возможности NTFS по разграничению прав пользователей. То есть на своём ПК необходимо завести несколько учётных записей удалённых пользователей и разрешить им доступ из сети к разделённым (Shared) ресурсам. Разумеется, эти самые ресурсы общего пользования необходимо задать очень чётко, чтобы случайно не открыть на обозрение всей сети диск C: или папку «Мои документы». Для этого в свойствах предназначенной для «зашаривания» папки надо выбрать вкладку «Доступ» («Sharing»), отметить опцию «Открыть общий доступ к этой папке» («Share this folder») и затем на вкладке «Безопасность» («Security») указать, каким учётным записям или группам пользователей разрешается работать с файлами этой папки — читать, изменять и так далее. Лучше всего, если вы ограничите круг пользователей, которым разрешён доступ. Если же необходимо сделать так, чтобы папка была доступна всей сети, то можно разблокировать учётную запись Гостя и в свойствах этой папки установить соответствующие разрешения. Учтите только, что изначально в Windows XP Pro для повышения безопасности учётная запись Гостя (Guest) заблокирована не только в диалоге «Управление компьютером» — «Локальные пользователи и группы» — «Пользователи» («Computer Management» — «Local Users and Groups» — «Users»). Необходимо ещё снять блокировку в диалоге «Панель управления» — «Администрирование» — «Локальная политика безопасности» — «Параметры безопасности» — «Локальные политики» — «Назначение прав пользователя» («Control Panel» — «Administrative tools» — «Local Security settings» — «Security settings» — «Local Policies» — «User Rights Assignments»): щёлкнув на строке «Отказ в доступе к компьютеру из сети» («Deny access to this computer from the network»), удалите из списка заблокированных пользователей учётную запись Гостя.

Кроме того, в Windows XP появилась новая системная папка «Общие документы» («Shared Documents») — если в неё переместить мышью какой-либо файл или папку, то они станут доступны из сети. Если же вам не нравится эта опция, и вы хотите сами контролировать ресурсы общего пользования, то просто удалите раздел реестра HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Explorer\ MyComputer\ NameSpace\ DelegateFolders\ {59031a47-3f72-44a7-89c5-5595fe6b30ee} — папка «Shared Documents» после перезагрузки исчезнет.

Такой метод работы с разделяемыми ресурсами наиболее приемлем в локальных сетях небольших предприятий (если у вас на работе имеется администратор, то предоставьте все настройки ему). Главный же его недостаток состоит в том, что приходится открывать порты NetBIOS, чем частично дезавуировать настройки безопасности, рекомендуемые при работе с Интернетом. То есть для IP-адресов локальной сети придётся открывать те самые порты 137, 138 и 139. При этом нужно добиться того, чтобы эти порты были закрыты для доступа из Интернета. Далеко не каждый файерволл позволяет удобно разграничить правила, применяемые для внешних адресов и для внутренних. Возможно, наиболее удачно это реализовано в новом Norton Internet Security 2004 — там наряду с удобным мастером настройки локальной сети появилась возможность создания совершенно независимых профилей настроек, применяемых в зависимости от ситуации — для дома один профиль, для рабочей LAN — другой. Но в любом случае грамотно настроить систему не очень просто. К тому же, совсем не факт, что во внутренней сети не найдётся любителя поискать прорехи в защите вашего ПК.

Если же вы хотите обмениваться файлами в городской или «подъездной» LAN, то наиболее безопасным и простым в настройке будет отказ от инструментов Windows и переход на использование FTP-сервера. При этом вы не только запретите стандартный File Sharing, но и сможете без усилий определять полосу пропускания для каждого входящего соединения, дабы желающие скачать у вас новый фильм не перекрыли доступ в Сеть вам самому, полностью забив линию связи. Кроме того, FTP-серверы обычно позволяют создавать учётные записи пользователей, разрешать или запрещать анонимный доступ, устанавливать ограничения времени работы и числа потоков. Можно даже установить правило, согласно которому удаленный пользователь, чтобы получить возможность скачивания, обязан будет сначала загрузить некий объем файлов на ваш диск! Одним из самых популярных FTP-серверов считается Serv-U.

Таким образом, доступ к локальным файлам из сети мы обеспечили. Теперь надо позаботиться о том, чтобы это не вышло нам боком. Первым делом проследите, чтобы в вашей системе не было зарегистрировано лишних пользователей. Для этого в диалоге «Управление компьютером» («Computer Management») на вкладке пользователей («Local Users and Groups» — «Users») нужно заблокировать учётную запись Гостя, если в ней нет необходимости, а стандартную «секретную» учётную запись типа SUPPORT_586975a0 вообще удалить. Последняя встроена в систему для того, чтобы вы могли получить удалённую помощь от службы технической поддержки, имеет административные привилегии, а потому является потенциально опасной. Вообще говоря, работать в Интернете и локальной сети безопаснее из-под учётной записи с ограниченными правами. Далее, ещё раз запустив оснастку «Локальная политика безопасности» («Local Security Settings», файл secpol.msc), откройте диалог «Параметры безопасности» — «Локальные политики» — «Назначение прав пользователя» («Security settings» — «Local Policies» — «User Rights Assignments») и обратите внимание на такие параметры, как «Access this computer from the network», «Allow logon through Terminal Services», «Deny access to this computer from the network», «Deny logon locally», «Deny logon through Terminal Services», «Log on locally» — разобраться, что они означают, совсем не сложно. В идеале необходимо проштудировать вообще все параметры оснасток secpol.msc и gpedit.msc — благодаря им можно существенно повысить устойчивость системы к внешним атакам. Например, для конкретного пользователя можно разрешить удалённый доступ к ресурсам ПК, одновременно запретив локальный вход, чтобы излишне любопытный коллега по работе не смог загрузить ваш ПК, пока вы пьёте кофе в столовой. Для этого измените значение параметра «Deny logon locally» таким образом, чтобы в списке локально заблокированных учётных записей оказался и выбранный пользователь (имя пользователя либо выбирайте из списка «Add User or Group» — «Advanced» — «Find», либо вводите в виде Имя компьютера \ Имя пользователя). В этом же меню можно проделать и обратную процедуру — запретить определённым пользователям доступ из сети — за это отвечает параметр «Deny access to this computer from the network».

Далее обратите внимание на то, что после каждой загрузки система автоматически открывает скрытый доступ к локальным дискам компьютера (С:, D:) для пользователей, входящих в группу Администраторов. Если необходимости в этих системных ресурсах нет (уточните у администратора сети, если таковой имеется), то вполне допускается запретить их создание, для чего нужно в разделе реестра HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Services\ LanmanServer\ Parameters установить равным «0» параметр «AutoShareServer» (типа REG_DWORD) для сервера (то есть Windows 2000/2003 Server) или параметр «AutoShareWks» для рабочей станции (Windows XP). Эту операцию можно осуществить и с помощью редактора системных политик (System Policy Editor — POLEDIT.EXE) — за управление скрытыми ресурсами общего доступа отвечает параметр «Windows NT» — «Network» — «Sharing» — «Create Hidden Drive Shares». Правда, отключение этих ресурсов иногда вызывает проблемы (например, появляется сообщение об ошибке «The RPC Service is not available.»), поэтому в случае осложнений попробуйте вернуть всё на свои места.

Следующий этап — защита паролей учётных записей. Достаточно дать злоумышленнику подсмотреть через плечо ваш пароль или перехватить его по сети, как все усилия по защите системы будут сведены на нет: заходи кто хочешь, бери что хочешь. В домашней многопользовательской конфигурации хорошей превентивной мерой защиты пароля будет висящий на видном месте ремень. Если же ваше чадо несмотря на все предостережения проявит себя заправским хакером, то наилучшей реакцией будет порадоваться над тем, как хорошо он изучил внутреннее устройство операционной системы. В рабочей же сети последствия взлома пароля могут оказаться гораздо серьёзнее. Если говорить коротко, то обязательно выбирайте для своей учётной записи очень длинный пароль — более 14 знаков. Например, строку из любимого стихотворения, причем лучше вводить её кириллическими символами. Ни в коем случае это не должно быть одно слово — по словарю подобные пароли вскрываются за секунды. Если же вас интересуют подробности, то обязательно изучите статью о методах взлома и защиты Windows 2000/XP. И, наконец, просто блокируйте компьютер, когда теряете его из виду: либо нажмите клавиши Win+L — появится Welcome Screen, либо используйте такой ярлык:

%SystemRoot%\system32\rundll32.exe USER32.DLL,LockWorkStation


Конфиденциальные данные

Самое сложное, если ваш ПК, вернее, хранящаяся на нём информация действительно представляет какой-то интерес для третьих лиц. Дело в том, что говорить о какой-то серьёзной защите Windows XP можно только в том случае, если у злоумышленников нет физического доступа к компьютеру. Например, вне зависимости от прав доступа к файлам, паролей и разграничения привилегий любая информация из разделов NTFS может быть считана с помощью элементарной программы NTFS For DOS (www.winternals.com) или загрузочного диска ERD Commander от того же производителя. В конце концов, можно просто вытащить жёсткий диск и препарировать его в спокойной обстановке. Частично от этого спасает шифрование важных файлов средствами самой NTFS (вернее — EFS), однако, уже существуют несколько программ, позволяющих при ряде условий декодировать такие файлы (например, Advanced EFS Data Recovery - www.elcomsoft.com). Кроме того, даже если вы зашифруете папку Мои документы, то информация из конфиденциальных файлов может оказаться во временных файлах, файле hyberfil.sys, создаваемом при переходе ПК в спящий режим, или в файле подкачки. Конечно, от спящего режима можно отказаться, своп-файл можно заставить обнуляться при выключении компьютера, если прописать в разделе реестра HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Control\ Session Manager\ Memory Management параметр «ClearPageFileAtShutdown» типа DWORD со значением «1», а для удаления временных файлов написать небольшой скрипт или bat-файл. Но, по слухам, уже существуют методы восстановления информации на диске по следам остаточной намагниченности «блинов» винчестера. Впрочем, средство для борьбы с восстановлением удаленных файлов тоже имеется, это, например, утилиты типа Kremlin (www.kremlinencrypt.com), затирающие файлы в несколько проходов.

Но всё это слишком неудобно. Поэтому, если не требуется профессиональная, сертифицированная система защиты, то оптимальный результат для защиты SOHO-систем будет при шифровании всего системного диска, а не отдельных файлов. Шифрованная файловая система EFS из состава Windows для этого не подходит, так как не способна закриптовать системные файлы, а программы, работающие с виртуальными контейнерами или логическими дисками, скорее всего, оставят без внимания файл виртуальной памяти и временные файлы. Одна из лучших программ, работающих начиная с этапа загрузки компьютера и шифрующая целиком системный жёсткий диск — DriveCrypt Plus Pack (www.securstar.com). Кроме того, она имеет встроенную защиту против подбора пароля, клавиатурных шпионов и троянских вирусов. Если же такой уровень защиты вы считаете излишним, то попробуйте что-нибудь ещё, например, тот же PGP или программы от Steganos (www.steganos.com).

Максимальную же степень защиты информации SOHO-систем обеспечивают, пожалуй, аппаратные средства типа специализированных контроллеров дисков, способных шифровать «на лету» любые данные, записываемые на жёсткий диск. На российском рынке наибольшее распространение получили шифрующие устройства семейства КРИПТОН. Это и платы шифрующих дисковых контроллеров, и различные замки, и их программные аналоги-эмуляторы, и сетевые карты и шифрующие маршрутизаторы. Устройства КРИПТОН разработаны и производятся компанией АНКАД (www.ancud.ru), и реализуют криптографический алгоритм ГОСТ 28147-89 «Системы обработки информации. Защита криптографическая. Алгоритмы криптографического преобразования». Большинство из них сертифицированы ФАПСИ. Самой последний аппаратный шифропроцессор — плата «Криптон-9/PCI» — позволяет шифровать информацию на лету при скорости 10 МБ/c! Выполнены такие устройства в виде плат расширения ISA или PCI, продаются достаточно свободно, и использовать их может любое предприятие, заботящееся о безопасности своих данных. Конечно, существуют и другие средства защиты от несанкционированного доступа, подробнее о них можно узнать, например, на сайте «Защита Информации» (www.zinfo.ru).

Настройка параметров безопасности Windows XP — не самое трудоёмкое занятие, правда, требующее от пользователя хотя бы минимального уровня подготовки. В этом вопросе нельзя добиться успеха, не понимая, что делаешь. Но зато как наглядно проявляется эффект от качественно защищённой Windows в случае глобальных вирусных эпидемий, поражающих компьютеры менее предусмотрительных пользователей!.

Страницы: Пред. 1 2
Оцените материал:  
(Голосов: 8, Рейтинг: 3.51)

Каждый вечер мы будем присылать вам одно письмо со всеми опубликованными за день материалами. Нет материалов - нет писем, просто и удобно (другие варианты).

Материалы по теме


Комментарии (0)