Cyfroteka.pl

klikaj i czytaj online

Cyfro
Czytomierz
00694 009325 11023647 na godz. na dobę w sumie
100 sposobów na bezpieczeństwo Sieci - książka
100 sposobów na bezpieczeństwo Sieci - książka
Autor: Liczba stron: 304
Wydawca: Helion Język publikacji: polski
ISBN: 83-7361-670-5 Data wydania:
Lektor:
Kategoria: ebooki >> komputery i informatyka >> sieci komputerowe >> inne
Porównaj ceny (książka, ebook, audiobook).

Zbiór porad dla wszystkich, którzy chcą zabezpieczyć swój komputer

Internet, mimo wielu zalet, niesie za sobą zagrożenie -- wielu ludzi wykorzystuje go do działalności niezgodnej z prawem. Każdego dnia krakerzy włamują się do niezabezpieczonych komputerów, zamieniając je w przekaźniki spamu lub wykorzystując jako narzędzia do ataków blokady usług, ukrywając za ich pomocą swoją tożsamość.

'100 sposobów na bezpieczeństwo Sieci' to zbiór porad, dzięki którym zabezpieczysz swój komputer przed atakami sieciowych napastników. Każdy z przykładów został przetestowany w praktyce przez specjalistów zajmujących się na co dzień ochroną danych i systemów. Dzięki nim ochronisz komputer przed najbardziej wyrafinowanymi i przebiegłymi atakami.

'100 sposób na bezpieczeństwo Sieci' to książka przydatna każdemu użytkownikowi internetu. Dzięki niej, oszczędzając czas, zaimplementujesz sprawdzone i skuteczne mechanizmy zabezpieczeń.

Znajdź podobne książki Ostatnio czytane w tej kategorii

Darmowy fragment publikacji:

IDZ DO IDZ DO PRZYK£ADOWY ROZDZIA£ PRZYK£ADOWY ROZDZIA£ SPIS TREĎCI SPIS TREĎCI KATALOG KSI¥¯EK KATALOG KSI¥¯EK KATALOG ONLINE KATALOG ONLINE ZAMÓW DRUKOWANY KATALOG ZAMÓW DRUKOWANY KATALOG TWÓJ KOSZYK TWÓJ KOSZYK 100 sposobów na bezpieczeñstwo sieci Autor: Andrew Lockhart T³umaczenie: Witold Zio³o ISBN: 83-7361-670-5 Tytu³ orygina³u: Network Security Hacks Format: B5, stron: 292 DODAJ DO KOSZYKA DODAJ DO KOSZYKA Zbiór porad dla wszystkich, którzy chc¹ zabezpieczyæ swój komputer CENNIK I INFORMACJE CENNIK I INFORMACJE • Zainstaluj systemy wykrywania w³amañ • Zabezpiecz pocztê elektroniczn¹ • Ochroñ swój system operacyjny ZAMÓW INFORMACJE ZAMÓW INFORMACJE O NOWOĎCIACH O NOWOĎCIACH ZAMÓW CENNIK ZAMÓW CENNIK Internet, mimo wielu zalet, niesie za sob¹ zagro¿enie — wielu ludzi wykorzystuje go do dzia³alnoġci niezgodnej z prawem. Ka¿dego dnia krakerzy w³amuj¹ siê do niezabezpieczonych komputerów, zamieniaj¹c je w przekaĥniki spamu lub wykorzystuj¹c jako narzêdzia do ataków blokady us³ug, ukrywaj¹c za ich pomoc¹ swoj¹ to¿samoġæ. CZYTELNIA CZYTELNIA FRAGMENTY KSI¥¯EK ONLINE FRAGMENTY KSI¥¯EK ONLINE „100 sposobów na bezpieczeñstwo Sieci” to zbiór porad, dziêki którym zabezpieczysz swój komputer przed atakami sieciowych napastników. Ka¿dy z przyk³adów zosta³ przetestowany w praktyce przez specjalistów zajmuj¹cych siê na co dzieñ ochron¹ danych i systemów. Dziêki nim ochronisz komputer przed najbardziej wyrafinowanymi i przebieg³ymi atakami. • Bezpieczeñstwo systemu Windows — poprawki, zabezpieczanie portów i dzienników zdarzeñ • Bezpieczeñstwo systemu Unix — zabezpieczanie us³ug i plików • Zabezpieczanie Sieci — korzystanie z zapór ogniowych, certyfikatów i szyfrowania • Rejestrowanie zdarzeñ i monitorowanie Sieci • Metody wykrywania w³amañ i reagowanie na ataki „100 sposobów na bezpieczeñstwo Sieci” to ksi¹¿ka przydatna ka¿demu u¿ytkownikowi internetu. Dziêki niej, oszczêdzaj¹c czas, zaimplementujesz sprawdzone i skuteczne mechanizmy zabezpieczeñ. Wydawnictwo Helion ul. Chopina 6 44-100 Gliwice tel. (32)230-98-63 e-mail: helion@helion.pl Spis treści Twórcy książki ...................................................i...................................................i........................... 7 Wstęp..............................................i...................................................i............................................... 9 Rozdział 1. Bezpieczeństwo systemu Unix...................................................i.............................. 13 1. Zabezpieczenie punktów montowania ...................................................c..................... 13 2. Wynajdywanie programów z ustawionymi bitami SUID i SGID .............................. 15 3. Wynajdywanie katalogów zapisywalnych przez szerokie grono użytkowników...................................................c...................... 16 4. Tworzenie elastycznych hierarchii uprawnień za pomocą list ACL standardu POSIX...................................................c...................................................c..... 17 5. Zabezpieczenie dzienników zdarzeń przed modyfikacją ......................................... 20 6. Podział zadań administracyjnych ...................................................c.............................. 22 7. Automatyczna kryptograficzna weryfikacja sygnatury ............................................ 24 8. Odnalezienie nasłuchujących usług...................................................c........................... 26 9. Zapobieganie wiązaniu się usług z interfejsami...................................................c...... 28 10. Ograniczenie usług do środowiska sandbox...................................................c............ 30 11. Użycie serwera proftp z MySQL jako źródłem danych uwierzytelniających ........ 33 12. Zabezpieczenie się przed atakami rozbicia stosu...................................................c.... 35 13. grsecurity — zabezpieczenie na poziomie jądra...................................................c...... 37 14. Ograniczanie aplikacji za pomocą łatki grsecurity...................................................c.. 41 15. Ograniczanie wywołań systemowych za pomocą mechanizmu systrace............... 44 16. Automatyczne tworzenie polityk mechanizmu systrace........................................... 47 17. Kontrola logowania za pomocą modułów PAM ...................................................c..... 50 18. Środowiska ograniczonych powłok...................................................c........................... 54 19. Ograniczenie użytkownikom i grupom użycia zasobów.......................................... 55 20. Automatyczne uaktualnianie systemu...................................................c...................... 57 Rozdział 2. Bezpieczeństwo systemu Windows...................................................i...................... 59 21. Kontrola zainstalowanych poprawek...................................................c........................ 60 22. Lista otwartych plików oraz procesów, które ich używają....................................... 65 23. Lista działających usług i otwartych portów ...................................................c........... 66 24. Uruchomienie inspekcji ...................................................c............................................... 67 Spis treści | 3 25. Zabezpieczenie dzienników zdarzeń...................................................c......................... 69 26. Zmiana maksymalnej wielkości dzienników zdarzeń ............................................... 69 27. Wyłączenie udziałów domyślnych ...................................................c............................ 71 28. Zaszyfrowanie folderu Temp ...................................................c..................................... 72 29. Czyszczenie pliku stronicowania podczas zamykania systemu .............................. 73 30. Ograniczenie aplikacji dostępnych użytkownikom ...................................................c 75 Rozdział 3. Bezpieczeństwo sieci ...................................................i............................................. 79 31. Wykrywanie fałszowania odpowiedzi ARP...................................................c............. 79 32. Tworzenie statycznych tablic ARP ...................................................c............................ 82 33. Zapora sieciowa Netfilter ...................................................c............................................ 84 34. Zapora sieciowa PacketFilter systemu OpenBSD...................................................c.... 88 35. Tworzenie bramy uwierzytelniającej...................................................c......................... 93 36. Zapora sieciowa w systemie Windows ...................................................c..................... 96 37. Sieć z ograniczeniem na wyjściu ...................................................c................................ 99 38. Testowanie zapory sieciowej ...................................................c.................................... 100 39. Filtrowanie adresów MAC za pomocą zapory sieciowej Netfilter ........................ 103 40. Uniemożliwienie pobierania odcisków palców systemu operacyjnego................ 104 41. Wprowadzanie w błąd programów identyfikujących systemy operacyjne ......... 107 42. Inwentaryzacja sieci ...................................................c...................................................c 110 43. Wyszukiwanie słabych punktów sieci ...................................................c.................... 113 44. Synchronizacja zegarów serwerów...................................................c.......................... 118 45. Tworzenie własnego ośrodka certyfikacyjnego ...................................................c..... 120 46. Rozpowszechnienie certyfikatu CA wśród klientów............................................... 123 47. Szyfrowanie usług IMAP i POP za pomocą SSL ...................................................c... 124 48. Konfiguracja serwera SMTP wykorzystującego szyfrowanie TLS......................... 126 49. Wykrywanie szperaczy działających w sieci Ethernet............................................. 128 50. Instalacja serwera Apache z rozszerzeniem SSL i z trybem suEXEC.................... 133 51. Zabezpieczenie serwera BIND...................................................c.................................. 136 52. Zabezpieczenie bazy danych MySQL...................................................c...................... 139 53. Bezpieczne udostępnianie plików w systemie Unix ................................................ 141 Rozdział 4. Rejestracja zdarzeń ...................................................i.............................................. 145 54. Centralny serwer rejestracji zdarzeń (syslog) ...................................................c........ 146 55. Konfigurowanie rejestracji zdarzeń ...................................................c......................... 147 56. Włączenie systemu Windows w infrastrukturę syslog............................................ 149 57. Automatyczne streszczanie dzienników zdarzeń ...................................................c. 156 58. Automatyczne monitorowanie dzienników zdarzeń............................................... 157 59. Zbieranie informacji o zdarzeniach ze zdalnych ośrodków ................................... 160 60. Rejestracja działań użytkowników za pomocą systemu rozliczeń ........................ 165 4 | Spis treści Rozdział 5. Monitorowanie i wyznaczanie trendów...................................................i............... 169 61. Monitorowanie dostępności usług...................................................c........................... 170 62. Kreślenie trendów ...................................................c...................................................c... 177 63. ntop — statystyki sieci w czasie rzeczywistym ...................................................c..... 179 64. Monitorowanie ruchu sieciowego...................................................c............................ 181 65. Gromadzenie statystyk za pomocą reguł zapory sieciowej .................................... 184 66. Nasłuchiwanie ruchu sieciowego zdalnie...................................................c............... 185 Rozdział 6. Bezpieczne tunele...................................................i................................................. 189 67. Konfiguracja protokołu IPsec w systemie Linux ...................................................c... 189 68. Konfiguracja protokołu IPsec w systemie FreeBSD ................................................. 192 69. Konfiguracja protokołu IPsec w systemie OpenBSD ............................................... 194 70. Tunelowanie PPTP ...................................................c...................................................c.. 196 71. Szyfrowanie oportunistyczne za pomocą FreeS/WAN........................................... 199 72. Przekazywanie i szyfrowanie ruchu za pomocą protokołu SSH................................ 201 73. Szybkie logowanie za pomocą kluczy klienta SSH .................................................. 203 74. Proxy Squid w połączeniu SSH...................................................c................................ 205 75. Użycie SSH jako proxy SOCKS 4 ...................................................c............................. 207 76. Szyfrowanie i tunelowanie ruchu za pomocą SSL ...................................................c 210 77. Tunelowanie połączeń wewnątrz HTTP...................................................c................. 212 78. Użycie programu VTun w połączeniu SSH...................................................c............ 214 79. Generator plików vtund.conf ...................................................c................................... 218 80. Tworzenie sieci VPN łączących różne platformy systemowe................................... 223 81. Tunelowanie PPP...................................................c...................................................c..... 227 Rozdział 7. Wykrywanie włamań do sieci...................................................i............................... 231 82. Wykrywanie włamań za pomocą programu Snort .................................................. 232 83. Śledzenie alarmów ...................................................c...................................................c.. 236 84. Monitorowanie w czasie rzeczywistym ...................................................c.................. 238 85. Zarządzanie siecią sensorów ...................................................c.................................... 245 86. Pisanie własnych reguł programu Snort...................................................c................. 250 87. Zapobieganie i powstrzymywanie włamań za pomocą programu Snort_inline ...................................................c........................ 255 88. Sterowanie zaporą sieciową za pomocą programu SnortSam.................................... 258 89. Wykrywanie nietypowego zachowania...................................................c.................. 261 90. Automatyczne uaktualnianie reguł programu Snort ............................................... 262 91. Budowa sieci niewidzialnych sensorów ...................................................c................. 263 92. Użycie programu Snort w wysokowydajnych środowiskach sieciowych............ 265 93. Wykrywanie i zapobieganie atakom na aplikacje WWW ....................................... 268 94. Symulacja sieci niezabezpieczonych komputerów...................................................c 272 95. Rejestracja aktywności komputera-pułapki...................................................c............ 275 Spis treści | 5 Rozdział 8. Powrót do działania i reakcja...................................................i............................... 279 96. Tworzenie obrazu systemu plików...................................................c.......................... 279 97. Weryfikacja integralności plików...................................................c............................. 281 98. Wykrywanie zmodyfikowanych plików za pomocą pakietów RPM.................... 285 99. Poszukiwanie zainstalowanych zestawów rootkit...................................................c 287 100. Poszukiwanie właściciela sieci ...................................................c................................. 288 Skorowidz ...................................................i...................................................i.............................. 291 6 | Spis treści R O Z D Z I A Ł D R U G I Bezpieczeństwo systemu Windows Sposoby 21. – 30. W tym rozdziale omówione zostaną niektóre sposoby utrzymania aktualności oraz zabez- pieczenia systemu Windows, a tym samym uczynienia ze swojej sieci bezpieczniejszego miejsca do pracy (i zabawy). Mimo że wiele osób uważa użycie w jednym zdaniu wyra- zów Windows i bezpieczeństwo za drwinę, to jednak system Windows można całkiem skutecznie zabezpieczyć i to bez większego wysiłku. Jednym z powodów, dla których system Windows zbiera takie cięgi, jest kiepski stan ad- ministracyjny, w którym znajduje się wiele komputerów z tym systemem. Ostatnia plaga robaków i wirusów, która powaliła wiele sieci, świadczy tylko o tym, że w stwierdzeniu tym jest wiele prawdy. Przyczyny tego stanu rzeczy należy szukać w „łatwości” admini- strowania, jaką zapewnia system Windows, realizowanej przez skuteczne utrzymywanie administratora z dala od tego, co dzieje się wewnątrz systemu, co odbiera administrato- rowi możliwość panowania nad systemem. W rozdziale tym szukamy na tę dolegliwość lekarstwa, które przynajmniej w pewnym stopniu pozwoliłoby zobaczyć, co tak naprawdę dzieje się w serwerze. Poznawanie szcze- gółów otwartych portów oraz działających usług — czynność rutynowa dla doświadczo- nego administratora systemu Unix — dla wielu przeciętnych administratorów systemu Windows będzie czymś zupełnie nowym. Poza tym rozdział ten przedstawia, jak wyłą- czyć niektóre „udogodnienia” systemu Windows, takie jak automatyczne udzielanie do- stępu do plików czy urywanie dzienników zdarzeń. Można będzie się z niego również dowiedzieć, jak uruchomić w systemie Windows niektóre mechanizmy inspekcji i reje- strowania, które odpowiednio wcześnie powiadomią o wystąpieniu zdarzenia mogącego potencjalnie naruszać bezpieczeństwo systemu (dzięki czemu nie zaskoczy nas telefon od zdenerwowanego administratora sieci, którego dosięgnął właśnie atak blokady usług prowadzony z naszej sieci). Bezpieczeństwo systemu Windows | 59 SPOSÓB 21. Kontrola zainstalowanych poprawek S P O S Ó B 21. Kontrola zainstalowanych poprawek System Windows powinien mieć zawsze zainstalowane aktualne poprawki1. Utrzymanie aktualności systemu Unix jest trudne, ale utrzymanie aktualności systemu Windows może być jeszcze trudniejsze. Brak zaawansowanego, wewnętrznego systemu skryptów oraz możliwości zdalnego dostępu powoduje, że w systemie Windows trudno jest automatyzować jakiekolwiek działania. Poza tym, przed podjęciem próby uaktual- nienia systemu, należy się najpierw dowiedzieć, jakie poprawki zostały już zastosowane. W przeciwnym razie można stracić dużo czasu na uaktualnianie systemu, który tego nie wymaga. Oczywiście problem ten przybiera na sile wraz z liczbą zarządzanych systemów. Niepotrzebnego wysiłku ręcznego uaktualniania systemu można uniknąć za pomocą pro- gramu HFNetChk, który kiedyś był samodzielnym programem oferowanym przez firmę Shavlik Technologies, a teraz jest częścią programu Microsoft s Baseline Security Analyzer (http://www.microsoft.com/downloads/details.aspx?FamilyID=8b7a580d-0c91-45b7-91ba-fc47f7c- -3d6ad DisplayLang=en), a ściślej został włączony do jego wersji uruchamianej z wiersza poleceń (mbsacli.exe). Program HFNetChk nie tylko potrafi zdalnie sprawdzić stan uaktualnień systemów Win- dows Server 2003 oraz Windows XP/2000/NT, ale również może sprawdzić, czy zainsta- lowano krytyczne uaktualnienia serwerów IIS, SQL, Exchange, programu Media Player oraz przeglądarki Internet Explorer. Mimo że program jedynie sprawdza stan uaktualnień systemu (a nie uaktualnia go), i tak jest wartościowym, oszczędzającym czas narzędziem. Program HFNetChk po uruchomieniu pobiera z serwera firmy Microsoft podpisany i skom- presowany plik XML, zawierający informacje o aktualnie dostępnych poprawkach. Infor- macje te zawierają sumy kontrolne oraz numery wersji plików znajdujących się w każdym uaktualnieniu oraz klucze rejestru modyfikowane przez każde uaktualnienie. Dołączona jest również informacja o zależności między uaktualnieniami. Badając system, program HFNetChk poszukuje najpierw w rejestrze kluczy najbardziej aktualnych poprawek do- stępnych w bieżącej konfiguracji systemu operacyjnego. Jeżeli w systemie brakuje jakie- goś klucza rejestru lub wartość tego klucza nie odpowiada informacji zapisanej w pliku XML, program traktuje takie uaktualnienie jako niezainstalowane. Jeżeli w rejestrze znaj- duje się klucz poprawki odpowiadający informacjom z pliku XML, program HFNetChk sprawdza, czy pliki wymienione w informacji o uaktualnieniu są w systemie obecnie i czy ich wersje i sumy kontrolne są odpowiednie. Jeżeli któreś z tych sprawdzeń zakończy się niepowodzeniem, program traktuje takie uaktualnienie jako niezainstalowane. Wszystkie niezainstalowane uaktualnienia są wymieniane w tworzonym raporcie, łącznie z odnie- sieniem do odpowiedniego artykułu Bazy Wiedzy, zawierającym bardziej szczegółowe informacje o danym uaktualnieniu. i 1 W terminologii systemu Windows termin „łatka” został zastąpiony terminem „poprawka”. Można się z tym zgodzić, szczególnie, że natura oraz sposób stosowania łatek i poprawek jest zupełnie inny — przyp. tłum. 60 | Bezpieczeństwo systemu Windows Kontrola zainstalowanych poprawek SPOSÓB 21. Aby zainstalować program HFNetChk, należy najpierw pobrać i zainstalować program Microsoft Baseline Security Analyzer2. Aby uruchomić program, należy otworzyć wiersz polecenia i przejść do katalogu, w którym zainstalowany został Microsoft Baseline Security Analyzer. Domyślnie jest to katalog C:Program FilesMicrosoft Baseline Security Analyzer. Aby zbadać stan uaktualnień lokalnego systemu, należy wydać następujące polecenie: C: Program FilesMicrosoft Baseline Security Analayzer mbsacli /hf Microsoft Baseline Security Analyzer Version 1.1.1 Powered by HFNetChk Technology - Version 3.82.0.1 Copyright (C) Shavlik Technologies, 2001-2003 Developed for Microsoft by Shavlik Technologies, LLC info@shavlik.com (www.shavlik.com) Please use the -v switch to view details for Patch NOT Found, Warning and Note messages Attempting to get cab from http://go.microsoft.com/fwlinak/?LinkId=16932 XML successfully loaded. Scanning PLUNDER ............................. Done scanning PLUNDER ---------------------------- PLUNDER(192.168.0.65) ---------------------------- * WINDOWS XP SP1 Note MS02-008 317244 Warning MS02-055 323255 Note MS03-008 814078 Note MS03-030 819696 Patch NOT Found MS03-041 823182 Patch NOT Found MS03-044 825119 Patch NOT Found MS03-045 824141 Patch NOT Found MS03-049 828035 Note MS03-051 813360 * INTERNET EXPLORER 6 SP1 Patch NOT Found MS03-048 824145 * WINDOWS MEDIA PLAYER FOR WINDOWS XP SP1 Information All necessary hotfixes have been applied. i 2 Program HFNetChk w dalszym ciągu pozostaje samodzielną aplikacją, a pobrać go można po zarejestrowaniu się na stronie http://www.shavlik.com/pDownloadForm4.aspx — przyp. tłum. Bezpieczeństwo systemu Windows | 61 SPOSÓB 21. Kontrola zainstalowanych poprawek Pierwsza kolumna informuje, dlaczego sprawdzenie obecności uaktualnienia nie powiodło się. Druga kolumna określa, którego uaktualnienia to dotyczy, a trzecia zawiera numer artykułu Bazy Wiedzy (http://support.microsoft.com), zawierającego więcej informacji na temat problemu rozwiązywanego przez dane uaktualnienie. Jeżeli sprawdzenie obecności którejś poprawki zakończyło się niepowodzeniem, za pomocą opcji -v można uzyskać więcej informacji o przyczynie tego niepowodzenia. Oto wyniki działania poprzedniego polecenia, użytego tym razem dodatkowo z opcją -v: Scanning PLUNDER ............................. Done scanning PLUNDER ---------------------------- PLUNDER(192.168.0.65) ---------------------------- * WINDOWS XP SP1 Note MS02-008 317244 Please refer to Q306460 for a detailed explanation.a Warning MS02-055 323255 File C:WINDOWSsystem32hhctrl.ocx has a file version [5.2.3735.0] greater than what is expected [5.2.a3669.0]. Note MS03-008 814078 Please refer to Q306460 for a detailed explanation.a Note MS03-030 819696 Please refer to Q306460 for a detailed explanation.a Patch NOT Found MS03-041 823182 File C:WINDOWSsystem32cryptui.dll has a file version [5.131.2600.1106] that is less than what is eaxpected [5.131.2600.1243]. Patch NOT Found MS03-044 825119 File C:WINDOWSsystem32itircl.dll has a file version [5.2.3644.0] that is less than what is expectead [5.2.3790.80]. Patch NOT Found MS03-045 824141 File C:WINDOWSsystem32user32.dll has a file version [5.1.2600.1134] that is less than what is expeacted [5.1.2600.1255]. Patch NOT Found MS03-049 828035 File C:WINDOWSsystem32msgsvc.dll has a file version [5.1.2600.0] that is less than what is expectaed [5.1.2600.1309]. Note MS03-051 813360 Please refer to Q306460 for a detailed explanation.a * INTERNET EXPLORER 6 SP1 Patch NOT Found MS03-048 824145 The registry key **SOFTWAREMicrosoftInternet ExploraerActiveX 62 | Bezpieczeństwo systemu Windows Kontrola zainstalowanych poprawek SPOSÓB 21. Compatibility{69DEAF94-AF66-11D3-BEC0-00105AA9B6AE}** does not exist. It is required for this patch to be consiadered installed. * WINDOWS MEDIA PLAYER FOR WINDOWS XP SP1 Information All necessary hotfixes have been applied. Po zastosowaniu brakujących poprawek wynik działania programu wygląda następująco: Scanning PLUNDER ............................. Done scanning PLUNDER ---------------------------- PLUNDER(192.168.0.65) ---------------------------- * WINDOWS XP SP1 Information All necessary hotfixes have been applied. * INTERNET EXPLORER 6 SP1 Information All necessary hotfixes have been applied. * WINDOWS MEDIA PLAYER FOR WINDOWS XP SP1 Information All necessary hotfixes have been applied. Do zbadania stanu uaktualnień w systemie potrzebne są uprawnienia administratora. Jeżeli zbadany ma być stan uaktualnień komputera zdalnego, potrzebne będą uprawnienia admi- nistratora w jego systemie. Istnieje kilka sposobów zbadania stanu uaktualnień kompu- terów zdalnych. Aby zbadać pojedynczy komputer, można w opcji -h podać jego nazwę NetBIOS. Aby zamiast tego móc posłużyć się adresem IP, należy użyć opcji -i. Aby na przykład zbadać zdalnie komputer PLUNDER, można posłużyć się jednym z dwóch poleceń: mbsacli /hf -h PLUNDER mbsacli /hf -i 192.168.0.65 Można też przebadać kilka systemów jeden po drugim, podając w wierszu poleceń ich nazwy NetBIOS lub adresy IP, oddzielone od siebie przecinkami. Należy pamiętać, że poza posiadaniem uprawnień administratora do systemu zdalnego, w systemie tym nie może być wyłączony udział domyślny [Sposób 27.], w przeciwnym razie program HFNetChk nie będzie w stanie stwierdzić obecności odpowiednich plików w jego systemie, a w konsekwencji nie będzie mógł sprawdzić, czy uaktualnienie zostało zastosowane. Bezpieczeństwo systemu Windows | 63 SPOSÓB 21. Kontrola zainstalowanych poprawek Istnieje również kilka możliwości zbadania całej grupy systemów. Za pomocą opcji -fh można podać nazwę pliku zawierającego do 256 nazw NetBIOS komputerów (każda na- zwa w osobnym wierszu), które mają zostać przebadane. Podobnie, za pomocą opcji -fip można podać ich adresy IP. Za pomocą opcji -r można określać zakresy adresów IP. Aby na przykład zbadać systemy o adresach IP w zakresie od 192.168.1.123 do 192.168.1.172, należy wydać polecenie: mbsacli /hf -r 192.168.1.123 - 192.168.1.172 Wszystkie opisane tu opcje są bardzo elastyczne i można używać ich kombinacji. Poza podawaniem nazwy NetBIOS albo adresu IP, można również za pomocą opcji -d podać nazwę domeny lub za pomocą opcji -n zbadać cały lokalny segment sieci. Przy badaniu systemów zdalnych ze stacji roboczej przydatne mogą okazać się opcje -u i -p. Umożliwiają one podanie nazwy użytkownika oraz hasła, potrzebnych do uzyska- nia dostępu do zdalnego systemu. Opcje te są szczególnie przydatne, gdy nie logujemy się na konto Administratora. Oczywiście użytkownik określony za pomocą opcji -u musi posiadać w zdalnym systemie uprawnienia administracyjne. W przypadku badania dużej liczby systemów, warto posłużyć się opcją -t. Określa ona liczbę wątków używanych przez program, a zwiększenie tej liczby na ogół przyśpiesza badanie. Dopuszczalnymi wartościami są liczby z przedziału od 1 do 128. Wartością do- myślną jest liczba 64. W przypadku badania więcej niż jednego komputera, na ekranie pojawi się wiele danych. Za pomocą opcji -f można podać nazwę pliku, do którego zostaną zapisane wyniki bada- nia i który można będzie przejrzeć w późniejszym czasie za pomocą edytora tekstu. Program HFNetChk jest niezwykle elastycznym narzędziem i może być używany do bada- nia stanu uaktualnień dużej liczby komputerów, i to w dość krótkim czasie. Szczególnie przydatny bywa wówczas, gdy na horyzoncie pojawia się nowy robak i trzeba bardzo szybko sprawdzić, czy wszystkie systemy mają zainstalowane aktualne poprawki. Zobacz również Microsoft Network Security Hotfix Checker (Hfnetchk.exe) — artykuł w Bazie Wiedzy • o numerze 303215, dostępny pod adresem http://support.microsoft.com/default.aspx? scid=kb;en-us;303215 Frequently Asked Questions about the Microsoft Network Security Hotfix Checker • (Hfnetchk.exe) artykuł w Bazie Wiedzy o numerze 305385, dostępny pod adresem http://support.microsoft.com/default.aspx?scid=kb;en-us;305385 64 | Bezpieczeństwo systemu Windows Lista otwartych plików oraz procesów, które ich używają SPOSÓB 22. S P O S Ó B 22. Lista otwartych plików oraz procesów, które ich używają Monitorując korzystanie z plików, można wykryć podejrzaną aktywność. Wyobraźmy sobie, że po zauważeniu dziwnego zachowania stacji roboczej, przyglądając się liście procesów Menedżera zadań, dostrzegliśmy tam nazwę nieznanego procesu. Co w takim przypadku można zrobić? W przypadku innego systemu operacyjnego można by stwierdzić, co robi ten proces, sprawdzając, jakie pliki otworzył. Niestety w systemie Windows nie ma odpowiedniego do tego celu narzędzia. Firma Sysinternals stworzyła3 znakomite narzędzie o nazwie Handle, dostępne za darmo pod adresem http://www.sysinternals.com/ntw2k/freeware/handle.shtml. Program Handle bar- dzo przypomina program lsof [Sposób 8.], z tym że informuje również o wielu innych zasobach systemu operacyjnego takich jak wątki, zdarzenia czy semafory. Pokazuje także otwarte klucze rejestru oraz struktury IOCompletion. Program Handle, uruchomiony bez dodatkowych parametrów, pokazuje uchwyty wszyst- kich otwartych w systemie plików. Po podaniu jako parametru nazwy pliku, program pokaże listę procesów korzystających aktualnie z tego pliku: C: handle nazwa_pliku Można też uzyskać listę plików otwartych przez określony proces, w poniższym przykładzie — przez przeglądarkę Internet Explorer: C: handle -p iexplore Handle v2.10 Copyright (C) 1997-2003 Mark Russinovich Sysinternals - www.sysinternals.com ---------------------------------------------------------------------------- IEXPLORE.EXE pid: 688 PLUNDERandrew 98: Section BaseNamedObjectsMTXCOMM_MEMORY_MAPPED_FILE 9c: Section BaseNamedObjectsMtxWndList 12c: Section BaseNamedObjects\__R_0000000000d4_SMem_ _ 18c: File C:Documents and SettingsandrewaLocal Settings Temporary Internet FilesContent.IE5index.dat 198: Section BaseNamedObjectsC:_Documents and Seattings_andrew_ Local Settings_Temporary Internet Files_Content.IE5_index.daat_3194880 1a0: File C:Documents and SettingsandrewaCookiesindex.dat 1a8: File C:Documents and SettingsandrewaLocal Settings HistoryHistory.IE5index.dat 1ac: Section BaseNamedObjectsC:_Documents and Saettings_andrew_ Local Settings_History_History.IE5_index.dat_245760 1b8: Section BaseNamedObjectsC:_Documents and Seattings_andrew_ Cookies_index.dat_81920 228: Section BaseNamedObjectsUrlZonesSM_andrew 2a4: Section BaseNamedObjectsSENS Information Caache 540: File C:Documents and SettingsandrewAapplication Data MicrosoftSystemCertificatesMy i 3 Firma ta jest autorem wielu innych prawdziwych pereł darmowego oprogramowania systemowego, między innymi programów TCPView, Process Explorer, File Monitor czy Registry monitor — przyp. tłum. Bezpieczeństwo systemu Windows | 65 SPOSÓB 23. Lista działających usług i otwartych portów 574: File C:Documents and SettingsAll UserasDesktop 5b4: Section BaseNamedObjectsmmGlobalPnpInfo 5cc: File C:WINNTsystem32mshtml.tlb 614: Section BaseNamedObjectsWDMAUD_Callbacks 640: File C:WINNTsystem32MacromedFlashFlash.aocx 648: File C:WINNTsystem32STDOLE2.TLB 6a4: File Dfs 6b4: File C:Documents and SettingsandrewDeasktop 6c8: File C:Documents and SettingsandrewaLocal Settings Temporary Internet FilesContent.IE5Q5USFST0softwareDownloaadIndex[1].htm 70c: Section BaseNamedObjectsMSIMGSIZECacheMap 758: File C:WINNTsystem32iepeers.dll 75c: File C:Documents and SettingsandrewaDesktop 770: Section BaseNamedObjectsRotHintTable Chcąc odnaleźć proces Internet Explorera korzystający z zasobu, którego nazwa zawiera wyraz „handle”, należy użyć następującego polecenia: C: handle -p iexplore handle Handle v2.10 Copyright (C) 1997-2003 Mark Russinovich Sysinternals - www.sysinternals.com IEXPLORE.EXE pid: 1396 C:Documents and Settingsandrewa Local SettingsTemporary Internet FilesContent.IE5H1EZGFSHhandle[1].htm Chcąc obejrzeć listę wszystkich zasobów, należy posłużyć się opcją -a. Program Handle jest bardzo wszechstronnym narzędziem, umożliwiającym użycie naraz kilku opcji wier- sza poleceń, dzięki czemu szybko można odnaleźć poszukiwany element. S P O S Ó B 23. Lista działających usług i otwartych portów Kontrola dostępnych zdalnie usług systemu Windows. W Uniksie można bardzo szybko sprawdzić, które porty systemu są otwarte, ale jak to zrobić w systemie Windows4? Z pomocą przychodzi, podobny do starego dobrego pro- gramu netstat, program FPort firmy Foundstone (http://www.foundstone.com/resources/index_ resources.htm). Program FPort ma niewiele opcji wiersza poleceń, a dostępne opcje decydują głównie o sposobie sortowania prezentowanych informacji. Jeżeli na przykład informacje należy posortować według nazw programów, należy użyć opcji /a, a jeżeli według identyfika- torów procesu — opcji /i. I choć program nie ma tylu funkcji co netstat, niewątpliwie to co robi, robi dobrze. Aby uzyskać listę otwartych w systemie portów, wystarczy wydać polecenie fport. Jeżeli lista ta ma być posortowana według numeru portu, należy dodatkowo użyć opcji /p: i 4 Można to zrobić, o czym autor najwyraźniej zapomniał, za pomocą tego samego co w systemie Unix — programu netstat, dostępnego we wszystkich systemach Windows, a w systemach Windows XP/2000/2003 informującego dodatkowo o identyfikatorach procesów używających portów — przyp. tłum. 66 | Bezpieczeństwo systemu Windows Uruchomienie inspekcji SPOSÓB 24. C: fport /p FPort v2.0 - TCP/IP Process to Port Mapper Copyright 2000 by Foundstone, Inc. http://www.foundstone.com Pid Process Port Proto Path 432 svchost - 135 TCP C:WINNTsystem32svchost.aexe 8 System - 139 TCP 8 System - 445 TCP 672 MSTask - 1025 TCP C:WINNTsystem32MSTask.exea 8 System - 1028 TCP 8 System - 1031 TCP 1116 navapw32 - 1035 TCP C:PROGRA~1NORTON~1 avapw32.exea 788 svchost - 1551 TCP C:WINNTsystem32svchost.aexe 788 svchost - 1553 TCP C:WINNTsystem32svchost.eaxe 788 svchost - 1558 TCP C:WINNTsystem32svchost.eaxe 1328 svchost - 1565 TCP C:WINNTSystem32svchost.eaxe 8 System - 1860 TCP 1580 putty - 3134 TCP C:WINNTputty.exe 772 WinVNC - 5800 TCP C:Program FilesTightVaNCWinVNC.exe 772 WinVNC - 5900 TCP C:Program FilesTightVaNCWinVNC.exe 432 svchost - 135 UDP C:WINNTsystem32svchost.eaxe 8 System - 137 UDP 8 System - 138 UDP 8 System - 445 UDP 256 lsass - 500 UDP C:WINNTsystem32lsass.eaxe 244 services - 1027 UDP C:WINNTsystem32services.aexe 688 IEXPLORE - 2204 UDP C:Program FilesInternet Eaxplorer IEXPLORE.EXE 1396 IEXPLORE - 3104 UDP C:Program FilesInternet aExplorer IEXPLORE.EXE 256 lsass - 4500 UDP C:WINNTsystem32lsass.exea Należy zauważyć, że niektóre wymienione procesy, takie jak navapw32, putty oraz IEXPLO- RE, nie są procesami. Ich nazwy pojawiły się na ekranie, gdyż FPort przedstawia informacje o wszystkich otwartych portach, nie tylko o portach nasłuchujących. I mimo że program FPort nie ma tylu możliwości co programy dostępne w innych syste- mach operacyjnych, jest wartościowym, działającym szybko i łatwym w użyciu narzędziem, znakomicie uzupełniającym system Windows. S P O S Ó B 24. Uruchomienie inspekcji Rejestrowanie podejrzanej aktywności pomaga w wykryciu intruzów. System Windows 2000 wyposażono w bardzo efektywną funkcję inspekcji, niestety domyśl- nie jest ona wyłączona. W systemie Windows 2003 naprawiono to, uaktywniając domyślnie kilka jej funkcji, mimo to warto sprawdzić, czy inspekcji podlega to co trzeba. Na przykład istnieje możliwość monitorowania zakończonego niepowodzeniem logowania, zdarzeń związanych z zarządzaniem kontami, dostępu do plików, użycia uprawnień i wielu in- nych zdarzeń. Można również rejestrować zmiany polityki bezpieczeństwa oraz zdarze- nia systemowe. Bezpieczeństwo systemu Windows | 67 SPOSÓB 24. Uruchomienie inspekcji Aby włączyć inspekcję w jednej z tych kategorii, należy kliknąć dwukrotnie znajdującą się w Panelu sterowania ikonę Narzędzia administracyjne, następnie ikonę Zasady zabezpieczeń lokalnych i rozwinąć węzeł Zasady lokalne. Na ekranie powinien pojawić się widok podob- ny do pokazanego na rysunku 2.1. Rysunek 2.1. Ustawienia zasad inspekcji w aplecie Ustawienia zabezpieczeń lokalnych Teraz można zapoznać się z każdą zasadą inspekcji i zdecydować, czy rejestrować powo- dzenia, czy niepowodzenia każdej z nich. W tym celu należy dwukrotnie kliknąć modyfi- kowaną zasadę znajdującą się w prawej części okna, po czym na ekranie pojawi się okno dialogowe podobne do przedstawionego na rysunku 2.2. Rysunek 2.2. Okno dialogowe Przeprowadź inspekcję zdarzeń logowania Niewłączanie inspekcji jest równoważne z nierejestrowaniem niczego, dlatego należy włączyć inspekcję wszystkich zasad. Po włączeniu inspekcji określonej zasady w dzien- nikach zdarzeń zaczną pojawiać się pozycje informujące o sukcesach i niepowodzeniach zdarzeń tej zasady. Na przykład po włączeniu rejestracji zdarzeń logowania, w dzienniku zdarzeń Zabezpieczenia pojawiać się będą komunikaty informujące o powodzeniu lub niepowodzeniu logowania. 68 | Bezpieczeństwo systemu Windows Zmiana maksymalnej wielkości dzienników zdarzeń SPOSÓB 26. S P O S Ó B 25. Zabezpieczenie dzienników zdarzeń Systemowe dzienniki zdarzeń należy chronić przed modyfikacją. System Windows wyposażony jest w bardzo zaawansowane funkcje rejestracji zdarzeń. Niestety, domyślnie dzienniki zdarzeń nie są chronione przed nieautoryzowanym dostę- pem ani przed modyfikacją. Przeglądając dzienniki za pomocą programu Podgląd zdarzeń, można nie być świadomym tego, że przechowywane są w zwykłych plikach. Zatem, aby je zabezpieczyć, wystarczy je odnaleźć, a następnie utworzyć dla nich poprawne listy ACL. O ile położenie dzienników zdarzeń nie zostało zmienione w rejestrze, można je znaleźć w katalogu SystemRoot system32config. Znajdują się tam trzy pliki: AppEvent.Evt, SecEvent.Evt i SysEvent.Evt, odpowiadające kolejno Dziennikowi aplikacji, Dziennikowi zabezpieczeń i Dziennikowi systemu. Dla plików tych należy utworzyć listy ACL, umożliwiające korzystanie z nich jedynie administratorowi. W tym celu należy w oknie Właściwości plików wybrać zakładkę Zabezpieczenia, a następ- nie usunąć z górnego panelu wszystkich użytkowników i grupy poza Administratorzy i SYSTEM. S P O S Ó B 26. Zmiana maksymalnej wielkości dzienników zdarzeń Żeby dzienniki zdarzeń zawierały cały obraz wydarzeń, należy zmienić niektóre ich właściwości. Z punktu widzenia bezpieczeństwa dzienniki zdarzeń są jednym z najbardziej wartościo- wych zasobów serwera. Bez nich nie byłoby możliwości stwierdzenia, czy i kiedy ktoś wdarł się do komputera. Dlatego absolutną koniecznością jest, by dzienniki niczego nie przeoczyły. W przypadku śledzenia incydentu naruszenia bezpieczeństwa, brak jakiś za- pisów w dzienniku zdarzeń ma taki sam skutek jak brak dzienników w ogóle. Często występującym problemem jest zbyt mała maksymalna wielkość plików dzienni- ków zdarzeń, wynosząca domyślnie zaledwie 512 KB. Aby to zmienić, należy w panelu Narzędzia administracyjne uruchomić program Podgląd zdarzeń. Na ekranie pojawi się widok pokazany na rysunku 2.3. W lewym panelu okna Podgląd zdarzeń należy wybrać jeden z dzienników zdarzeń, kliknąć go prawym przyciskiem myszy, a następnie wybrać Właściwości. Pojawi się okno dialogowe pokazane na rysunku 2.4. W oknie należy odnaleźć pole tekstowe Maksymalny rozmiar dziennika. Nową wartość mak- symalnej wielkości pliku dziennika można wpisać w pole bezpośrednio lub ustalić za pomocą znajdujących się obok pola strzałek. Wprowadzona wartość powinna być nie mniejsza niż 1 MB, a zależy ona od tego, jak często dzienniki są przeglądane i archiwi- zowane. Warto pamiętać, że zwiększenie wielkości plików dzienników zdarzeń nie spo- woduje zwiększenia obciążenia serwera, a jedynie może to mieć wpływ na szybkość ich przeglądania za pomocą programu Podgląd zdarzeń. W tym samym oknie dialogowym można również zmienić zachowanie dzienników zdarzeń po osiągnięciu przez nie mak- symalnej wielkości. Domyślnie w takim przypadku zapisy starsze niż siedmiodniowe są Bezpieczeństwo systemu Windows | 69 SPOSÓB 26. Zmiana maksymalnej wielkości dzienników zdarzeń Rysunek 2.3. Podgląd zdarzeń systemu Windows Rysunek 2.4. Właściwości dziennika zabezpieczeń 70 | Bezpieczeństwo systemu Windows Wyłączenie udziałów domyślnych SPOSÓB 27. nadpisywane. Zaleca się zwiększenie tej wartość na przykład do 31 dni. Można również nie zezwolić na automatyczne nadpisywanie dzienników zdarzeń — w takim przypad- ku trzeba je będzie czyścić ręcznie. S P O S Ó B 27. Wyłączenie udziałów domyślnych Czyli jak przestać udostępniać swoje pliki całemu świaitu. System Windows tworzy udział domyślny dla każdego dysku logicznego (na przykład C$ dla dysku C) oraz dodatkowo dla katalogu SystemRoot (czyli na przykład C:WINNT) tworzy udział o nazwie ADMIN$. Mimo że dostępne one są jedynie dla administratorów, warto je jednak wyłączyć (jeżeli to możliwe), gdyż stanowią potencjalną lukę w bezpie- czeństwie. Aby wyłączyć udziały domyślne, należy za pomocą programu regedit.exe otworzyć rejestr do edycji, a następnie odszukać w nim klucz HKey_Local_MachineSYSTEMCurrent åControlSetServiceslanmanserverparameters. W przypadku stacji roboczej z systemem Windows 2000 należy dodać do klucza wartość DWORD AutoShareWks o danej równej 0 (co pokazano na rysunku 2.5). W tym celu nale- ży wybrać Edycja/Nowy/ Wartość DWORD. W przypadku serwera Windows 2000 należy dodać wartość AutoShareServer również o danej równej 0. Aby zmiany wprowadzo- ne do rejestru odniosły skutek, system Windows należy uruchomić ponownie. Rysunek 2.5. Dodawanie do rejestru wartości AutoShareWks Bezpieczeństwo systemu Windows | 71 SPOSÓB 28. Zaszyfrowanie folderu Temp Aby upewnić się, że domyślny udział już nie istnieje, należy po ponownym uruchomieniu systemu Windows wydać polecenie net share: C: net share Udział Zasób Uwaga ---------------------------------------------------------------------------- IPC$ Zdalne wywołaanie IPC Polecenie zostało wykonane pomyślnie. Przed wyłączeniem udziałów domyślnych należy upewnić się, że nie wpłynie to negatyw- nie na środowisko sieciowe. Brak dostępu do udziałów może spowodować, że niektóre programy (takie jak HFNetChk [Sposób 21.] czy System Management Server) nie będą działać. Dzieje się tak dlatego, że programy tego typu wykorzystują udziały administra- cyjne do uzyskania dostępu do zawartości dysków. S P O S Ó B 28. Zaszyfrowanie folderu Temp Przed wścibskimi oczami trzeba chronić również pliki tymczasowe. Wiele programów systemu Windows tworzy podczas pracy pliki tymczasowe. Programy umieszczają je przeważnie w specjalnie przeznaczonym do tego celu folderze, znajdują- cym się w katalogu bieżącego użytkownika. Wiele z tych plików jest dostępnych do od- czytu dla wszystkich, a nie zawsze są one usuwane po zakończeniu działania programu. Świadomość, że na przykład edytor tekstu pozostawił tam kopię ostatnio tworzonego dokumentu nie należy do przyjemnych. Nieprawdaż? Jednym ze sposobów zabezpieczenia się przed tego typu niespodziankami jest zaszyfro- wanie folderu plików tymczasowych. W tym celu należy uruchomić program Explorator Windows i przejść w nim do folderu C:Documents and Settings nazwa_użytkownika Ustawienia lokalne. W folderze tym znajduje się folder Temp, przechowujący pliki tymcza- sowe. Po kliknięciu go prawym przyciskiem myszy i wybraniu pozycji Właściwości należy wybrać zakładkę Ogólne i nacisnąć przycisk Zaawansowane. Na ekranie pojawi się poka- zane na rysunku 2.6 okno dialogowe Atrybuty zaawansowane, w którym można polecić zaszyfrowanie folderu. Następnie należy zaznaczyć pole wyboru Szyfruj zawartość, aby zabezpieczyć dane i nacisnąć przycisk OK. Po powrocie do okna Właściwości należy nacisnąć przycisk Zastosuj. Pojawi się okno dialogowe pokazane na rysunku 2.7, zawierające pytanie, czy zaszyfrowane mają zostać również podfoldery wybranego folderu. Aby zaszyfrowane zostały również podfoldery, należy wybrać opcję Zastosuj zmiany do tego folderu, podfolderów i plików. Jeżeli żadne foldery w systemie nie były jeszcze nigdy szyfrowane, utworzona zostanie para kluczy. W przeciwnym razie system użyje klucza publicznego utworzonego wcześniej. Podczas odszyfrowywania, system Windows prze- chowuje klucze prywatne w niestronicowanej pamięci jądra, zatem nie ma niebezpieczeń- stwa, że zostaną one zapisane w pliku stronicowania. Niestety, zastosowany do szyfro- wania algorytm DESX jest tylko nieznacznym usprawnieniem algorytmu DES i nie jest 72 | Bezpieczeństwo systemu Windows Czyszczenie pliku stronicowania podczas zamykania siystemu SPOSÓB 29. Rysunek 2.6. Okno dialogowe Atrybuty zaawansowane katalogu Temp Rysunek 2.7. Potwierdzenie szyfrowania folderu i jego podfolderów tak bezpieczny jak 3DES. Mimo to do szyfrowania plików tymczasowych zupełnie wystar- czy. Do szyfrowania innych plików niż tymczasowe lepiej jest użyć programów twórców niezależnych, na przykład GnuPG (http://www.gnupg.org), dostępnego również dla systemu Windows. S P O S Ó B 29. Czyszczenie pliku stronicowania podczas zamykania systemu Aby zapobiec wyciekaniu informacji, system przed zatrzymaniem powinien automatycznie wyczyścić zawartość pliku stronicowania. Mechanizm zarządzania pamięcią wirtualną (VMM) jest znakomitym rozwiązaniem. Chroni on programy jeden przed drugim i powoduje, że uważają one, iż dysponują większą ilo- ścią pamięci niż pamięć fizycznie zainstalowana w systemie. Do tego celu mechanizm VMM wykorzystuje tak zwany plik stronicowania. Bezpieczeństwo systemu Windows | 73 SPOSÓB 29. Czyszczenie pliku stronicowania podczas zamykania siystemu Po uruchomieniu kilku programów w systemie może zabraknąć wolnej pamięci fizycznej. Ponieważ nie można do tego dopuścić, menedżer pamięci szuka najrzadziej używanego fragmentu pamięci należącego do programu, który w danej chwili akurat nic nie robi i zapisuje ten obszar pamięci na dysk. Proces ten nazywany jest wymianą. Mechanizm ten ma jednak jedną wadę. Jeżeli jakiś program przechowuje w pamięci infor- macje poufne, zawartość tej strony pamięci może zostać zapisana na dysk. Kiedy system operacyjny pracuje, niczym to nie grozi, gdyż system zabezpiecza plik stronicowania przed odczytem. Gorzej jest, gdy system zostanie wyłączony lub w komputerze zostanie uru- chomiony inny system operacyjny. W tym miejscu z pomocą przychodzi ta porada. Powiemy w niej, jak nakazać systemowi operacyjnemu, by w momencie jego zamykania wypełnił plik stronicowania zerami. Nale- ży jednak pamiętać, że rozwiązanie to na nic się nie zda, gdy ktoś wyjmie wtyczkę z gniazd- ka zasilającego lub system zostanie zatrzymany w sposób nieprawidłowy. Sposób ten działa jedynie wówczas, gdy system jest zamykany prawidłowo. Aby uruchomić tę funkcję systemu Windows, należy dokonać zmian w rejestrze. W tym celu należy uruchomić edytor rejestru i otworzyć klucz HKEY_LOCAL_MACHINESYSTEM CurrentControlSetControlSession ManagerMemory Management. Na ekra- nie pojawi się widok pokazany na rysunku 2.8. Rysunek 2.8. Klucz rejestru Memory Management W prawym panelu okna należy odnaleźć wartość ClearPageFileAtShutdown i zmie- nić jej daną na 1. Aby wprowadzona zmiana odniosła skutek, system należy uruchomić ponownie. Od tej pory podczas każdego zamykania systemu plik wymiany będzie czysz- 74 | Bezpieczeństwo systemu Windows Ograniczenie aplikacji dostępnych użytkownikom SPOSÓB 30. czony. Jedyną wadą uruchomienia tego mechanizmu jest wydłużenie czasu trwania pro- cesu zamykania systemu. Jednak ile czasu będzie trwało nadpisane pliku stronicowania zerami, zależy od używanego sprzętu (układów scalonych kontrolera dysku, szybkości dysku, szybkości procesora i tym podobnych). S P O S Ó B 30. Ograniczenie aplikacji dostępnych użytkownikom Warto uniemożliwić użytkownikom uruchamianie potencjalnie niebezpiecznych programów. Uniemożliwianie użytkownikom uruchamiania pewnych aplikacji nie ma takiego znacze- nia, gdy administrator przechowuje wszystkie programy administracyjne w swojej stacji roboczej. W przypadku użytkowników dużych środowisk sieciowych nie można pozwo- lić, by mogli oni używać szkodliwych programów. Należą do nich programy, które mogą zniszczyć system operacyjny, utworzyć luki w bezpieczeństwie systemu, a nawet atakować inne komputery w sieci. Istnieje kilka sposobów ograniczania aplikacji dostępnych dla użytkownika. Pierwszy z nich polega na modyfikacji listy ACL danego programu, tak by nie mogli go używać zwykli użytkownicy. Załóżmy na przykład, że w systemie użytkownika zainstalowany został do celów diagnostycznych szperacz (ang. sniffer). Korzystać z tego rodzaju progra- mów powinien móc jedynie administrator, ale nie zwykli użytkownicy. Aby uniemożliwić im uruchamianie programu, należy odebrać grupie Użytkownicy uprawnienia do wyko- nywania programu. W tym celu należy znaleźć plik wykonywalny programu, kliknąć go prawym przyciskiem myszy i z menu podręcznego wybrać pozycję Właściwości. Na ekra- nie pojawi się okno dialogowe pokazane na rysunku 2.9. Rysunek 2.9. Okna dialogowe Właściwości pliku ethereal.exe — szperacza Ethereal Bezpieczeństwo systemu Windows | 75 SPOSÓB 30. Ograniczenie aplikacji dostępnych użytkownikom Następnie należy kliknąć zakładkę Zabezpieczenia i z listy znajdującej się w górnej części okna wybrać grupę Użytkownicy. Na ekranie pojawi się widok pokazany na rysunku 2.10. Rysunek 2.10. Zakładka Zabezpieczenia okna dialogowego Właściwości pliku ethereal.exe Teraz w pozycji uprawnień Odczyt i wykonywanie należy zaznaczyć pole Odmów. Po naci- śnięciu przycisku Zastosuj żaden z członków grupy Użytkownicy nie będzie mógł uru- chomić programu. Można by również zmienić listę ACL katalogu, w którym znajduje się program i zabronić odczytu z niego. To rozwiązanie jest lepsze, gdy wszystkie narzędzia administracyjne są przechowywane w jednym folderze i można w ten sposób za jednym razem ograniczyć korzystanie z nich wszystkich. W przypadku wersji terminalowej systemu Windows istnieje inna możliwość poza uży- ciem list ACL. W pakiecie Microsoft Windows 2000 Resource Kit znajduje się program AppSec, umożliwiający zabronienie użycia wybranego programu za pomocą kilku kliknięć. Po odnalezieniu i uruchomieniu, program AppSec przedstawi listę programów. Jeżeli pro- gram, którego wykonywania należy zabronić użytkownikom korzystającym z terminali, znajduje się na liście, wystarczy wybrać opcję Disabled. Aby na przykład zabronić użycia programu cmd.exe, należy postąpić tak, jak pokazano na rysunku 2.11. Jeżeli programu, do którego dostęp ma być ograniczony, nie ma na liście, należy nacisnąć przycisk Add, a następnie odnaleźć go na dysku. Aby zakończyć działanie programu, należy nacisnąć przycisk Exit. Żeby wprowadzone zmiany odniosły skutek, wszyscy użytkownicy muszą się wylogować z serwera terminali. 76 | Bezpieczeństwo systemu Windows Ograniczenie aplikacji dostępnych użytkownikom SPOSÓB 30. Rysunek 2.11. Ograniczenie uruchamiania programu cmd.exe Bezpieczeństwo systemu Windows | 77
Pobierz darmowy fragment (pdf)

Gdzie kupić całą publikację:

100 sposobów na bezpieczeństwo Sieci
Autor:

Opinie na temat publikacji:


Inne popularne pozycje z tej kategorii:


Czytaj również:


Prowadzisz stronę lub blog? Wstaw link do fragmentu tej książki i współpracuj z Cyfroteką: