Cyfroteka.pl

klikaj i czytaj online

Cyfro
Czytomierz
00240 007809 10476866 na godz. na dobę w sumie
100 sposobów na serwery Windows - książka
100 sposobów na serwery Windows - książka
Autor: Liczba stron: 376
Wydawca: Helion Język publikacji: polski
ISBN: 83-7361-811-2 Data wydania:
Lektor:
Kategoria: ebooki >> komputery i informatyka >> serwery internetowe >> inne
Porównaj ceny (książka, ebook, audiobook).

Niezawodne rozwiązania
dla administratorów serwerów Windows

Popularność systemów z rodziny Windows Server to efekt połączenia olbrzymich możliwości z łatwością administracji i użytkowania. Dzięki wygodnemu interfejsowi graficznemu, spójnemu zestawowi narzędzi oraz kreatorom przeprowadzającym przez większość zadań, można szybko poznać podstawowe zasady instalacji, konfiguracji i administrowania serwerami opartymi na systemach Windows Server. Z czasem jednak, po opanowaniu podstawowych możliwości pojawia się pytanie -- czy nie można wycisnąć z nich więcej. Można --wystarczy zajrzeć 'pod maskę', aby odkryć dodatkowe własności i możliwości.

Książka '100 sposobów na serwery Windows' to zestawienie sztuczek i metod, które zmienią Twoje podejście do administrowania serwerami Windows. Nauczysz się korzystać z trybu tekstowego i narzędzi skryptowych, optymalizować działanie serwerów i wykonywać standardowe zadania w szybszy i wygodniejszy sposób. Dowiesz się, jak wykorzystać niewidoczne na pierwszy rzut oka możliwości narzędzi i elementów systemu i sprawisz, że sieć oparta o serwer Windows będzie wydajniejsza, bezpieczniejsza i łatwiejsza do administracji.

Jeśli nie poświęcasz zbyt wiele czasu na korzystanie z wiersza poleceń serwera Windows to nie wiesz, co tracisz. Po przeczytaniu tej książki przekonasz się, jak wiele możesz zmienić stosując to, pozornie przestarzałe, narzędzie.

Znajdź podobne książki Ostatnio czytane w tej kategorii

Darmowy fragment publikacji:

IDZ DO IDZ DO PRZYK£ADOWY ROZDZIA£ PRZYK£ADOWY ROZDZIA£ SPIS TREĎCI SPIS TREĎCI KATALOG KSI¥¯EK KATALOG KSI¥¯EK KATALOG ONLINE KATALOG ONLINE ZAMÓW DRUKOWANY KATALOG ZAMÓW DRUKOWANY KATALOG TWÓJ KOSZYK TWÓJ KOSZYK DODAJ DO KOSZYKA DODAJ DO KOSZYKA CENNIK I INFORMACJE CENNIK I INFORMACJE ZAMÓW INFORMACJE ZAMÓW INFORMACJE O NOWOĎCIACH O NOWOĎCIACH ZAMÓW CENNIK ZAMÓW CENNIK CZYTELNIA CZYTELNIA FRAGMENTY KSI¥¯EK ONLINE FRAGMENTY KSI¥¯EK ONLINE Wydawnictwo Helion ul. Chopina 6 44-100 Gliwice tel. (32)230-98-63 e-mail: helion@helion.pl 100 sposobów na serwery Windows Autor: Mitch Tulloch T³umaczenie: Rados³aw Meryk ISBN: 83-7361-811-2 Tytu³ orygina³u: Windows Server Hacks Format: B5, stron: 376 Niezawodne rozwi¹zania dla administratorów serwerów Windows • Wykorzystaj skrypty i narzêdzia tekstowe • Zoptymalizuj wydajnoġæ serwerów • Popraw bezpieczeñstwo i szybkoġæ dzia³ania sieci Popularnoġæ systemów z rodziny Windows Server to efekt po³¹czenia olbrzymich mo¿liwoġci z ³atwoġci¹ administracji i u¿ytkowania. Dziêki wygodnemu interfejsowi graficznemu, spójnemu zestawowi narzêdzi oraz kreatorom przeprowadzaj¹cym przez wiêkszoġæ zadañ, mo¿na szybko poznaæ podstawowe zasady instalacji, konfiguracji i administrowania serwerami opartymi na systemach Windows Server. Z czasem jednak, po opanowaniu podstawowych mo¿liwoġci pojawia siê pytanie — czy nie mo¿na wycisn¹æ z nich wiêcej. Mo¿na — wystarczy zajrzeæ „pod maskê”, aby odkryæ dodatkowe w³asnoġci i mo¿liwoġci. Ksi¹¿ka „100 sposobów na serwery Windows” to zestawienie sztuczek i metod, które zmieni¹ Twoje podejġcie do administrowania serwerami Windows. Nauczysz siê korzystaæ z trybu tekstowego i narzêdzi skryptowych, optymalizowaæ dzia³anie serwerów i wykonywaæ standardowe zadania w szybszy i wygodniejszy sposób. Dowiesz siê, jak wykorzystaæ niewidoczne na pierwszy rzut oka mo¿liwoġci narzêdzi i elementów systemu i sprawisz, ¿e sieæ oparta o serwer Windows bêdzie wydajniejsza, bezpieczniejsza i ³atwiejsza do administracji. • Administrowanie systemem • Konfigurowanie us³ugi Active Directory • Zarz¹dzanie kontami u¿ytkowników • Us³ugi sieciowe • Serwer DHCP • Optymalizowanie dzia³ania IIS • Zabezpieczenia antywirusowe • Instalowanie aktualizacji • Tworzenie kopii zapasowych Jeġli nie poġwiêcasz zbyt wiele czasu na korzystanie z wiersza poleceñ serwera Windows to nie wiesz, co tracisz. Po przeczytaniu tej ksi¹¿ki przekonasz siê, jak wiele mo¿esz zmieniæ stosuj¹c to, pozornie przestarza³e, narzêdzie. Spis treści Prezentacje ........................................................................................................................................ 7 Słowo wstępne ................................................................................................................................ 17 Przedmowa ...................................................................................................................................... 19 Rozdział 1. Ogólna administracja ................................................................................................. 27 1. Zastosowanie opcji Uruchom jako do przeprowadzania zadań administracyjnych .. 27 2. Zastosowanie techniki Przeciągnij i upuść do menu Uruchom ...................................... 33 3. Wyszukiwanie i zastępowanie kluczy Rejestru z wiersza polecenia ...................... 35 4. Automatyczne zalogowanie się po załadowaniu systemu ....................................... 36 5. Oczekiwanie i opcjonalne zakańczanie procesu ...................................................i...... 39 6. Zamykanie zdalnego komputera ...................................................i............................... 46 7. Zmiana nazwy zmapowanego napędu ...................................................i..................... 51 8. Wykonywanie polecenia w każdym komputerze w domenie ................................. 52 9. Dodawanie, usuwanie lub odczytywanie zmiennych środowiskowych ................ 55 10. Rozszerzanie zasad grupy...................................................i........................................... 58 11. Wyłączanie EFS...................................................i...................................................i.......... 61 12. Pobieranie informacji z dziennika zdarzeń ...................................................i.............. 64 13. Skrót do Pomocy zdalnej...................................................i............................................. 66 14. Analizator komputera...................................................i.................................................. 68 15. Pięć doskonałych narzędzi...................................................i.......................................... 78 16. Witryna myITforum.com ...................................................i............................................ 80 Rozdział 2. Active Directory .......................................................................................................... 83 17. Pobieranie listy starych kont domeny ...................................................i....................... 83 18. Automatyzacja tworzenia struktury jednostek organizacyjnych.................................... 86 19. Modyfikowanie wszystkich obiektów w jednostce organizacyjnej ......................... 89 20. Delegowanie uprawnień do jednostki organizacyjnej ............................................... 90 21. Wysyłanie informacji o jednostce organizacyjnej usługi Active Directory na stronę HTML ...................................................i...................................................i...... 93 22. Wyświetlanie informacji o usłudze Active Directory ................................................ 95 23. Zapisywanie i wyświetlanie informacji kontaktowych w usłudze Active Directory..... 97 24. Odtworzenie ikony Active Directory w systemie Windows XP................................. 104 Spis treści | 3 Rozdział 3. Zarządzanie użytkownikami..................................................................................... 107 25. Wyszukiwanie użytkowników domeny ...................................................i................. 107 26. Zarządzanie kontami użytkowników w usłudze Active Directory....................... 109 27. Pobieranie listy nieaktywnych kont ...................................................i........................ 112 28. Pobieranie informacji o kontach użytkowników ...................................................i... 113 29. Wyszukiwanie haseł, które nigdy nie wygasają ...................................................i.... 116 30. Zapisanie informacji o przynależności użytkowników do grup w pliku CSV .... 118 31. Modyfikacja właściwości wszystkich użytkowników w wybranej jednostce organizacyjnej ...................................................i.................... 120 32. Sprawdzanie przynależności do grup i mapowanie dysków w skrypcie logowania ...................................................i............................................... 122 33. Tworzenie katalogu macierzystego użytkownika i nadawanie mu uprawnień za pomocą skryptu...................................................i. 124 34. Blokowanie możliwości tworzenia lokalnych kont przez zwykłych użytkowników...................................................i............................. 126 35. Umieszczenie na pulpicie ikony Wyloguj się...................................................i......... 127 Rozdział 4. Usługi sieciowe......................................................................................................... 129 36. Zarządzanie usługami w zdalnych komputerach ...................................................i. 129 37. Uproszczenie procesu przedawnienia (oczyszczania) strefy DNS ........................ 133 38. Rozwiązywanie problemów z DNS...................................................i......................... 138 39. Ręczne odtwarzanie uszkodzonej bazy danych WINS............................................ 141 40. Modyfikacja usługi WINS dla wszystkich włączonych kart sieciowych .............. 142 41. Zapewnienie dostępności serwera DHCP ...................................................i.............. 143 42. Modyfikacja adresu IP karty sieciowej...................................................i.................... 145 43. Zmiana statycznego adresowania IP na adresowanie z wykorzystaniem serwera DHCP ...................................................i........................ 146 44. Zwolnienie i odnowienie adresów IP...................................................i...................... 148 45. Zastosowanie narzędzia netsh do zmiany ustawień konfiguracyjnych................ 149 46. Usuwanie „osieroconej” karty sieciowej...................................................i................. 150 47. Implementacja równoważenia obciążenia sieci w systemie Windows 2000 ........ 152 Rozdział 5. Pliki i drukowanie ..................................................................................................... 155 48. Mapowanie dysków sieciowych ...................................................i.............................. 155 49. Sprawdzenie, kto otworzył określony plik w sieci...................................................i 156 50. Wyświetlanie drzewa katalogu ...................................................i................................ 159 51. Automatyzacja zarządzania drukarkami...................................................i................ 160 52. Ustawienie domyślnej drukarki na podstawie lokalizacji....................................... 163 53. Dodawanie drukarek na podstawie nazwy komputera .......................................... 164 4 | Spis treści Rozdział 6. IIS ................................................................................................................................ 179 54. Archiwizacja metabazy...................................................i.............................................. 179 55. Odtwarzanie metabazy...................................................i.............................................. 185 56. Mapa metabazy...................................................i...................................................i........ 188 57. Modyfikacje metabazy ...................................................i............................................... 194 58. Ukrywanie metabazy ...................................................i................................................. 201 59. Skrypty ułatwiające administrację serwerem IIS ...................................................i... 203 60. Uruchamianie innych serwerów WWW ...................................................i................. 213 61. IISFAQ...................................................i...................................................i....................... 215 Rozdział 7. Instalacja .................................................................................................................... 217 62. Wprowadzenie w tematykę usługi zdalnej instalacji (RIS)..................................... 217 63. Dostosowanie usługi RIS do potrzeb użytkownika ................................................. 221 64. Dostrajanie usługi RIS...................................................i................................................ 228 65. Dostosowanie programu SysPrep...................................................i............................ 229 66. Usuwanie składników Windows z poziomu wiersza polecenia ................................ 236 67. Instalacja składników systemu Windows bez udziału użytkownika.................... 237 68. Utworzenie sieciowego dysku startowego ...................................................i............. 238 Rozdział 8. Bezpieczeństwo ........................................................................................................ 241 69. Podstawowe zasady obowiązujące w sieci wolnej od wirusów................................. 241 70. Najczęściej zadawane pytania dotyczące ochrony antywirusowej........................ 251 71. Zmiana nazw kont Administrator i Gość ...................................................i............... 253 72. Pobranie listy lokalnych administratorów...................................................i.............. 255 73. Wyszukiwanie wszystkich komputerów, w których działa określona usługa .... 256 74. Zapewnienie dostępu administracyjnego do kontrolera domeny ......................... 263 75. Bezpieczne kopie zapasowe...................................................i...................................... 264 76. Wyszukiwanie komputerów z włączoną opcją automatycznego logowania....... 268 77. Najczęściej zadawane pytania dotyczące bezpieczeństwa...................................... 270 78. Narzędzia zabezpieczeń firmy Microsoft ...................................................i............... 273 Rozdział 9. Zarządzanie uaktualnieniami ................................................................................... 277 79. Najlepsze praktyki zarządzania uaktualnieniami ...................................................i. 277 80. Zarządzanie uaktualnieniami w firmie — przewodnik dla początkujących ....... 283 81. Najczęściej zadawane pytania dotyczące zarządzania uaktualnieniami .............. 288 82. Wyświetlenie listy zainstalowanych poprawek hotfix ............................................ 290 83. Instalacja uaktualnień we właściwym porządku...................................................i... 292 84. Najczęściej zadawane pytania dotyczące aktualizacji Windows................................... 292 85. Pobieranie aktualizacji z Katalogu rozszerzenia Windows Update ...................... 295 86. Skuteczne korzystanie z automatycznych aktualizacji ............................................ 297 Spis treści | 5 87. Wykorzystanie zasad grupy do konfiguracji automatycznych aktualizacji ......... 301 88. Najczęściej zadawane pytania dotyczące własności automatycznych aktualizacji systemów Windows 2000/XP/2003...................................................i...... 305 89. Najczęściej zadawane pytania dotyczące usługi aktualizacji oprogramowania (SUS) ...................................................i........................................... 306 Rozdział 10. Kopie zapasowe i odtwarzanie .............................................................................. 311 90. Pobieranie plików naprawczych ...................................................i.............................. 311 91. Tworzenie kopii zapasowej pojedynczych plików z wiersza polecenia ............... 315 92. Tworzenie kopii zapasowych stanu systemu w zdalnych komputerach ............. 318 93. Tworzenie kopii zapasowych i odtwarzanie usługi urzędu certyfikacji.................... 321 94. Archiwizacja systemu plików EFS...................................................i........................... 328 95. Wykorzystanie kopii w tle ...................................................i........................................ 334 96. Tworzenie kopii zapasowej i zerowanie dzienników zdarzeń............................... 341 97. Tworzenie kopii zapasowej przestrzeni nazw DFS.................................................. 344 98. Automatyczne odzyskiwanie systemu Windows...................................................i.. 346 99. Wskazówki dotyczące odtwarzania ...................................................i........................ 351 100. Ostatnia deska ratunku...................................................i.............................................. 357 Skorowidz ...................................................................................................................................... 359 6 | Spis treści Podstawowe zasady obowiązujące w sieci wolnej od wirusów SPOSÓB 69. R O Z D Z I A Ł Ó S M Y Bezpieczeństwo Sposoby 69. – 78. Prawdopodobnie nie ma dziś ważniejszego obszaru zadań administratora systemu od bez- pieczeństwa, a szczególnie dotyczy to komputerów z systemem Windows. Ciągle rosnące ryzyko infekcji wirusowych, robaków, Trojanów i innych eksploitów oznacza, że admi- nistratorzy muszą poświęcać czas i energię na uczenie się sposobów ochrony sieci swoich firm przed zakusami złośliwych hakerów z internetu. W tym rozdziale przeanalizowano sposoby ochrony sieci przed tymi zagrożeniami. Opi- sano też najlepsze praktyki ochrony antywirusowej, sposoby zabezpieczeń konta admi- nistratora, kopii zapasowych, kontrolerów domen, a także wyszukiwania komputerów z włączoną funkcją automatycznego logowania. Wiedzę zawartą w niniejszym rozdziale można uzupełnić, zapoznając się z odpowiedziami na najczęściej zadawane pytania oraz przeglądając narzędzia zabezpieczeń dostępne w witrynie WWW firmy Microsoft. W ten sposób zbudujemy arsenał najlepszych praktyk i narzędzi, które pozwolą na utrzymanie bezpieczeństwa sieci na odpowiednim poziomie. Opisy dodatkowych sposobów zabez- pieczeń — mówiąc dokładniej, instalacji i zarządzania poprawkami bezpieczeństwa w sieci, można znaleźć w rozdziale 9. S P O S Ó B 69. Podstawowe zasady obowiązujące w sieci wolnej od wirusów W tym punkcie opisano podstawowe zasady, które należy zachować, aby zabezpieczyć się przed wirusami w sieci. Opisane w tym punkcie reguły sformułowałem metodą prób, błędów i obserwacji przez prawie trzy lata pracy w podwójnej roli administratora serwera SMS oraz specjalisty w dziedzinie ochrony antywirusowej. Zastosowanie tych reguł w mojej pracy umożliwiło osiągnięcie zerowego czasu przestojów w sieci z powodu infekcji wirusowych w okresie od stycznia 2000 roku do chwili obecnej (grudzień 2003). Świadomość zagrożeń Pierwsza zasada to świadomość zagrożeń. Mówiąc prosto: nie można zabezpieczyć sieci przed zagrożeniami, jeśli się nie wie, że takie zagrożenia istnieją. Administratorzy muszą na bieżąco śledzić zagadnienia dotyczące wirusów, bieżących trendów w tej dziedzinie, a także Bezpieczeństwo | 241 SPOSÓB 69. Podstawowe zasady obowiązujące w sieci wolnej od wirusów słabych punktów aplikacji i systemów operacyjnych. Poziom wiedzy administratora w za- kresie tych tematów ma bardzo istotne znaczenie, ponieważ zależą od tego wszystkie jego decyzje podejmowane w celu zabezpieczenia sieci przed wirusami. Jest kilka sposobów zdobywania wiedzy na temat zagrożeń w sieci. Informacje na temat wirusów oraz panujących trendów w tej dziedzinie można uzyskać w witrynach WWW producentów technologii antywirusowych (oprogramowanie wirusowe omówię wkrótce). W witrynach wszystkich producentów technologii antywirusowych można znaleźć sekcje zawierające informacje o wirusach. Osobiście polecam, aby witrynę producenta swojego systemu antywirusowego odwie- dzać kilka razy dziennie (najlepiej co kilka godzin). Autorzy wirusów są coraz sprytniejsi i stosują coraz bardziej wyrafinowane metody. W dogodnych warunkach, w ciągu kilku godzin, a nawet minut, może dojść do globalnej infekcji wirusowej, równie groźnej, jak te spowodowane przez wirusy Nimda czy Blaster. Im częściej odwiedzamy witrynę pro- ducenta oprogramowania antywirusowego, tym większe szanse, że nie poddamy się global- nej infekcji wirusowej. Ponieważ producenci rozwiązań antywirusowych poziom zagrożenia wirusami oceniają, między innymi, na podstawie liczby próbek wirusów dostarczanych im przez klientów, informacji o wirusach dobrze poszukiwać w więcej niż jednej witrynie. Polecam odwie- dzanie dwóch lub trzech witryn producentów technologii — to powinno wystarczyć, aby dobrze orientować się w temacie. Oto kilka przykładów witryn producentów technologii antywirusowych: Symantec (http://securityresponse.symantec.com); • Network Associates (http://vil.nai.com/vil/newly-discovered-viruses.asp); • Trend Micro (http://www.trendmicro.com/vinfo); • Computer Associates (http://www3.ca.com/virusinfo); • F-Secure (http://www3. ca. com/virusinfo). • Osobiście najwyżej cenię witryny WWW firm Symantec, Network Associates oraz Trend Micro. Zgodnie z badaniami przeprowadzonymi przez ICSA Labs w 2002 roku (http://www. icsalabs.com/2002avpsurvey/index.shtml), sprzedaż produktów tych trzech firm stanowi około 89 rynku programów antywirusowych. Jeśli zdarzy się nowa światowa epidemia wirusowa, istnieje duże prawdopodobieństwo, że jedna z tych firm uzyska na ten temat informacje jako pierwsza. Ostatnio również firma Microsoft uruchomiła witrynę zawierającą informacje na temat wirusów (http://www.microsoft.com/security/antivirus/). Witryna ta ma stanowić centralne źródło informacji o wirusach wykorzystujących wrażliwe punkty aplikacji i systemów operacyjnych firmy Microsoft. Jest to również doskonałe źródło informacji na temat wy- korzystania produktów firmy Microsoft w sposób, który zabezpiecza przed infekcjami wirusowymi. Dostępny jest także artykuł bazy wiedzy firmy Microsoft na temat rozwią- zań antywirusowych (http://support.microsoft.com/default.aspx?scid=kb;pl:Q49500). 242 | Bezpieczeństwo Podstawowe zasady obowiązujące w sieci wolnej od wirusów SPOSÓB 69. W celu uzyskania informacji na temat słabych punktów aplikacji oraz systemów opera- cyjnych, można zapisać się do grupy mailingowej NTBugtraq (http://www.ntbugtraq.com). Jeśli ktoś znajdzie słaby punkt oprogramowania lub systemu, z reguły można przeczytać o tym na liście wcześniej niż gdziekolwiek indziej. Do innych dobrych witryn WWW należą SecurityFocus (http://www.securityfocus.com), CERT Coordination Center (http://www.cert.org) oraz ICSA Labs firmy TruSecure (http://www.icsalabs.com). Polecam także zapisanie się do usługi Security Notification firmy Microsoft (http://www. microsoft.com/technet/security/bulletin/notify.asp). Dzięki temu otrzymamy wiadomość email za każdym razem, kiedy firma Microsoft ogłosi lukę bezpieczeństwa lub udostępni poprawkę. Wirusy z dnia na dzień są coraz bardziej skomplikowane (przekonaliśmy się o tym przy okazji infekcji wirusów Nimda i Blaster). Kiedy nastąpiła epidemia wirusem Nimda, słabe punkty, które w nim wykorzystano, były znane od kilku miesięcy. Wirus Blaster roz- przestrzenił się masowo w niecały miesiąc po ogłoszeniu wykorzystywanych przez niego słabych punktów. Gdyby większa liczba administratorów wiedziała o tych słabych punk- tach, epidemie wirusów Nimda i Blaster nie miałyby tak dużego zasięgu. Wynika stąd następująca zasada: w wojnie przeciwko wirusom wiedza na ich temat jest pierwszą bronią, którą trzeba posiadać w swoim arsenale. Oprogramowanie antywirusowe Drugą podstawą sieci bez wirusów jest zainstalowanie w niej oprogramowania antywi- rusowego. Dziś jest to dość oczywiste. Każdy, kto pracuje w branży informatycznej wy- starczająco długo, wie, że oprogramowanie antywirusowe ma kluczowe znaczenie, szczególnie jeśli weźmie się pod uwagę fakt, iż wirusy są dzisiaj coraz bardziej skompli- kowane. Jednak cechy, jakimi powinno się charakteryzować to oprogramowanie, nie są już tak oczywiste. Poniżej zamieściłem listę cech, które według mojej wiedzy i doświadczenia są najbar- dziej pożądane w oprogramowaniu antywirusowym wykorzystywanym w firmie: Certyfikaty Należy poszukiwać produktów, które uzyskały certyfikaty do wykorzystywania z wybranym systemem operacyjnym. Informacje na temat certyfikatów można uzyskać w witrynie ICSA Labs (http://www.icsalabs.com). Łatwa aktualizacja Jedną z najbardziej poszukiwanych cech oprogramowania antywirusowego jest łatwość aktualizacji definicji wirusów. Oprogramowanie antywirusowe, w którym jest konieczność aktualizacji za pomocą oprogramowania zewnętrznego lub innych mechanizmów zewnętrznych, stwarza problemy logistyczne z instalacją uaktualnień, występujące szczególnie w dużych sieciach. Znacznie lepiej sprawdza się oprogramowanie antywirusowe z wbudowanymi mechanizmami aktualizacji. Wykorzystanie oprogramowania antywirusowego, którego aktualizacja wymaga interwencji użytkownika lub ponownego uruchamiania komputera, może prowadzić do podobnych problemów Bezpieczeństwo | 243 SPOSÓB 69. Podstawowe zasady obowiązujące w sieci wolnej od wirusów logistycznych. Zastosowanie wbudowanego systemu automatycznych aktualizacji umożliwia uzyskanie znacznie lepszych wyników i daje pewność, że aktualizacja baz wirusów przebiega właściwie. Częstotliwość aktualizacji Podejmując decyzję dotyczącą oprogramowania antywirusowego, warto zajrzeć na stronę WWW jego producenta i dowiedzieć się, jak często pojawiają się uaktualnienia oraz w jaki sposób firma reaguje na sytuacje kryzysowe. Trzeba się upewnić, czy strategia producenta odpowiada wymaganiom naszego środowiska. Centralna konfiguracja Oprogramowanie antywirusowe, które ma możliwości konfiguracji wszystkich klientów w sieci z jednej centralnej konsoli, jest znacznie łatwiejsze do zarządzania i zapewnia spójność konfiguracji w sieci. Skanowanie w tle w czasie rzeczywistym Kluczową cechą nowoczesnego oprogramowania antywirusowego jest możliwość skanowania plików w tle, bez udziału użytkownika. Istotna jest także możliwość konfiguracji plików, które mają być skanowane w tle. Wyszukiwanie heurystyczne Oprogramowanie antywirusowe, które potrafi wykrywać działania przypominające działania wirusów, umożliwia identyfikację nowych wirusów bądź nowych odmian wirusów odkrytych wcześniej. Zdalne skanowanie W przypadku infekcji wirusowej możliwość zdalnego zainicjowania skanowania na serwerze, stacji roboczej lub w całej sieci ma istotne znaczenie w przeciwdziałaniu uszkodzeniom w sieci. Alarmowanie Biorąc pod uwagę szybkość, z jaką rozprzestrzeniają się dziś wirusy, kluczową cechą oprogramowania antywirusowego jest możliwość wysyłania ostrzeżeń w przypadku znalezienia wirusa. Bez tej cechy może się zdarzyć, że wirusy zainfekują wszystkie stacje robocze i serwery w sieci, a administrator nie będzie o tym nic wiedział. Obsługa komputerów przenośnych W dzisiejszych czasach trudno obyć się bez laptopów. Z tego powodu należy zaopatrzyć się w oprogramowanie antywirusowe, które umożliwia aktualizację komputerów przenośnych. Tworzenie raportów Każdy szef lubi otrzymywać co jakiś czas raporty. W związku z tym, aby ułatwić sobie pracę przy tworzeniu raportów dotyczących aktywności wirusów, zadbajmy o zakup oprogramowania antywirusowego wyposażonego w mechanizm tworzenia raportów. 244 | Bezpieczeństwo Podstawowe zasady obowiązujące w sieci wolnej od wirusów SPOSÓB 69. Powyższa lista cech w żadnym razie nie jest „jedynie słuszna”. Niektóre wymienione przeze mnie właściwości w pewnych warunkach są zupełnie nieważne, a być może są bardzo istotne cechy, których na tej liście nie umieściłem. Lista istotnych cech oprogra- mowania zależy od środowiska sieciowego, w którym pracujemy, oraz obsługiwanych systemów operacyjnych. Mam nadzieję, że powyższa lista nakreśliła właściwy kierunek, jaki należy obrać podczas analizowania własnych potrzeb dotyczących oprogramowania antywirusowego. Przechwytywanie Trzecią zasadą, jaką musi spełnić sieć wolna od wirusów, jest zdolność przechwytywa- nia pojawiających się infekcji. Mówiąc prosto: użytkownik nie wykona kodu wirusa, jeśli nie dopuścimy do zainfekowania sieci. W świecie wirusów zmiany zachodzą bardzo szybko. Ponieważ duża część wirusów rozprzestrzenia się za pomocą poczty elektronicznej, w korzystnych warunkach infekcje wirusowe mogą w ciągu kilku godzin osiągnąć światowy zasięg. W zależności od wirusa, firma produkująca oprogramowanie antywirusowe potrzebuje zazwyczaj kilku godzin na opracowanie baz sygnatur zawierających definicję nowego wirusa. Najlepszym spo- sobem zabezpieczenia sieci przed infekcjami wirusowymi jest zablokowanie dostępu plikom określonych typów — tych, które są najczęściej używane do rozpowszechniania wirusów — do systemu poczty elektronicznej firmy. Wydawałoby się, że wystarczy zablokować kilka specyficznych plików oraz kilka okre- ślonych tematów wiadomości — wszak zbyt restrykcyjne blokowanie poczty sprawia masę problemów. W czasach wirusa I Love you takie rozwiązanie było wystarczające. Niestety, teraz jest inaczej. Wirusy są dziś bardziej zaawansowane. Niemal wszystko, co generują, jest losowe (dobrym przykładem jest wirus W32.Klez.H@mm; więcej informacji na jego temat można znaleźć pod adresem http://securityresponse.Symantec.com/avcenter/venc/ data/w32.klez.h@mm.html). Jedyne, czym można posługiwać się obecnie w blokowaniu dostępu wirusów do systemu poczty, są typy plików wykorzystywane przez wirusy. Czy w ten sposób zablokujemy również pliki, które nie powinny być zablokowane? Nie- stety tak, jednak korzyści wynikające z zastosowania tej metody rekompensują niewiel- kie niedogodności użytkowników. W ciągu prawie trzech lat pracy u mojego poprzed- niego pracodawcy w ten sposób udało nam się zatrzymać ponad 7 300 wirusów. Oceniam, że około 90 tej liczby stanowiły załączniki wiadomości e-mail. Kilkakrotnie, dzięki za- stosowaniu tej metody, udało się nam uchronić przed infekcjami wirusowymi o świato- wym zasięgu, pomimo tego, że producenci oprogramowania antywirusowego jeszcze nie opracowali nowych baz sygnatur. A zatem, trzeba dokładnie przeanalizować typy plików, które należałoby zablokować. Dobrym punktem startowym jest lista plików blokowanych przez system Outlook 98/2000 po wgraniu poprawki dostępnej pod adresem http://office.microsoft.com/assistance/ preview.aspx? AssetID=HA010550011033 CTT=6 (poprawka jest domyślnie instalowana w systemie Office XP): Bezpieczeństwo | 245 SPOSÓB 69. Podstawowe zasady obowiązujące w sieci wolnej od wirusów .ade Rozszerzenie plików projektów systemu Microsoft Access. .adp Projekty systemu Microsoft Access. .bas Moduły klas języka Visual Basic. .bat Pliki wsadowe. .chm Skompilowane pliki pomocy HTML. .cmd Skrypty systemu Windows NT. .com Aplikacje MS-DOS. .cpl Rozszerzenia Panelu sterowania. .crt Certyfikaty bezpieczeństwa. .exe Aplikacje. .hlp Pliki pomocy Windows. .hta Aplikacje HTML. .inf Pliki konfiguracyjne. .ins Pliki z parametrami komunikacji internetowej. Pliki z parametrami komunikacji internetowej. .isp .js Skrypty w języku JScript. 246 | Bezpieczeństwo Podstawowe zasady obowiązujące w sieci wolnej od wirusów SPOSÓB 69. .jse Kodowane skrypty w języku JScript. .lnk Skróty .mdb Aplikacje systemu Microsoft Access. .mde Skompilowane bazy danych Microsoft Access. .msc Dokumenty Microsoft Common Console. .msi Pakiety Instalatora Windows. .msp Uaktualnienia Instalatora Windows. .mst Pliki źródłowe pakietu Visual test. .pcd Obrazy programu Photo CD. .pif Skróty do programów MS-DOS. .reg Zapisy Rejestru. .scr Wygaszacze ekranu. .sct Skrypty Windows Script Component. .shs Obiekty Shell Scrap. .url Skróty internetowe. .vb Skrypty VBScript. Bezpieczeństwo | 247 SPOSÓB 69. Podstawowe zasady obowiązujące w sieci wolnej od wirusów .vbe Kodowane skrypty w języku VBScript. .vbs Skrypty VBScript. .wsc Skrypty Windows Script Component. .wsf Skrypty Windows. .wsh Pliki konfiguracyjne hosta skryptów Windows. W firmie, w której pracuję, blokujemy większość z wymienionych powyżej typów plików, a także inne pliki, które w naszej ocenie, z powodu swojej natury, stwarzają potencjalne zagrożenie bezpieczeństwa. Na przykład, blokujemy także następujące pliki: .ocx Kontrolki Active X. .swf Obiekty Shockwave Flash. .wmv Pliki audio i wideo Odtwarzacza multimedialnego. Sposób zastosowania powyższej strategii zależy od konfiguracji sieci oraz stosowanych mechanizmów zabezpieczeń. Dodatkowe wskazówki dotyczące rodzaju blokowanych ty- pów plików można znaleźć w następnym podpunkcie. Blokowanie potencjalnie niebezpiecznych załączników pocztowych w żadnym razie nie powinno być jedynym mechanizmem zabezpieczeń, który należy stosować w celu za- bezpieczenia sieci przed wirusami. Jeśli jednak opisane tu zabezpieczenie zastosujemy jako dodatkowe, stworzymy solidne podstawy ochrony przed zagrożeniami wirusowymi. Więcej informacji dotyczących zabezpieczeń sieci przed wirusami można znaleźć w mojej rubryce, w witrynie myITforum.com (http://www.myitforum.com). Blokowanie plików — dalsze wskazówki W niniejszym podpunkcie zaprezentowałem inne spojrzenie (moje — Briana Rogersa ) na ochronę sieci przed wirusami poprzez blokowanie plików określonych typów. Chciałbym podzielić się moimi radami dotyczącymi typów plików, które należy zablo- kować, aby zabezpieczyć sieć przed zagrożeniami infekcji wirusowych. Listę tę jakiś czas temu opublikowałem na forum dyskusyjnym poświęconym tematyce zabezpieczeń przed 248 | Bezpieczeństwo Podstawowe zasady obowiązujące w sieci wolnej od wirusów SPOSÓB 69. wirusami w witrynie myITforum.com (http://www.myitforum.com). Stworzyłem ją na pod- stawie informacji uzyskanych w kilku witrynach WWW oraz dodałem kilka własnych pozycji: .bas Moduły klas języka Visual Basic. .bat Pliki wsadowe. .cab Pliki instalacyjne Windows. .chm Skompilowane pliki pomocy HTML. .cmd Skrypty systemu Windows NT. .com Programy MS-DOS. .cpl Rozszerzenia Panelu sterowania. .crt Certyfikaty bezpieczeństwa. .exe Programy .hlp Pliki pomocy. .hta Programy HTML. .inf Pliki konfiguracyjne. .ins Pliki usługi WINS. .isp .js Pliki z parametrami komunikacji internetowej. Skrypty JScript. Bezpieczeństwo | 249 SPOSÓB 69. Podstawowe zasady obowiązujące w sieci wolnej od wirusów .jse Kodowane skrypty w języku Jscript. .lnk Skróty. .mde Skompilowane bazy danych Microsoft Access. .msc Dokumenty Microsoft Common Console. .msi Pakiety Instalatora Windows. .msp Uaktualnienia Instalatora Windows. .wst Pliki źródłowe systemu Microsoft Visual Test. .pcd Obrazy Photo CD, skompilowane skrypty Microsoft Visual. .pif Skróty do programów MS-DOS. .reg Zapisy Rejestru. .scr Wygaszacze ekranu. .sct Skrypty Windows. .shs Obiekty typu wycinek (Shell Scrap). .shb Obiekty typu wycinek (Shell Scrap). .uri Skróty internetowe. .vb Skrypty VBScript. .vbe Kodowane skrypty w języku VBScript. 250 | Bezpieczeństwo Najczęściej zadawane pytania dotyczące ochrony antywirusowej SPOSÓB 70. .vbs Skrypty VBScript. .wsc Skrypty Windows. .wsf Skrypty Windows. .wsh Pliki konfiguracyjne hosta skryptów Windows. Od kiedy zablokowaliśmy załączniki z tymi rozszerzeniami, nie mieliśmy ani jednego przypadku infekcji wirusowej przez pocztę elektroniczną. — Chris Mosby i Brian Rogers S P O S Ó B 70. Najczęściej zadawane pytania dotyczące ochrony antywirusowej Rod Trent z witryny myITforum.com dzieli się swoimi odpowiedziami na niektóre często zadawane pytania dotyczące ochrony przed wirusami. Jako prowadzący witrynę myITforum.com (http://www.myitforum.com) oraz autor kilku artykułów poświęconych bezpieczeństwu systemów, często otrzymuję pytania dotyczące sposobów zabezpieczania platform Microsoft przed wirusami, robakami i innymi zagro- żeniami. W niniejszym punkcie zamieściłem wybrane pytania wraz z odpowiedziami, któ- rych na nie udzieliłem. Przy okazji dodam, że w witrynie myITforum.com można znaleźć mnóstwo dodatkowych informacji dotyczących zabezpieczania sieci. Czy zagrożenie jest prawdziwe, czy to fałszywy alarm? P: W jaki sposób można stwierdzić, że zagrożenie infekcją wirusową jest prawdziwe i od- różnić je od fałszywych alarmów? O: Warto mieć pod ręką kilka wymienionych poniżej odsyłaczy. Kiedy otrzymamy e-mail od użytkownika informujący o tym, że jego kumpel powiadomił go o grożącej infekcji wirusowej, można z nich skorzystać i sprawdzić, czy uzyskane informacje są prawdziwe: Instytut CERT (http://www.cert.org); McAfee — fałszywe alarmy (http://vil.mcafee.com/hoax.asp); Symantec — fałszywe alarmy (http://www.symantec.com/avcenter/hoax.html); TrendMicro — fałszywe alarmy (http://www.antivirus.com/vinfo/hoaxes/hoax.asp); Sophos — fałszywe alarmy (http://www.sophos.com/virusinfo/hoaxes/); Virus Busters (http://www.itd.umich.edu/virusbusters/); Virus Myths (http://www.stiller.com/myths.htm); Hoax Warnings (http://www.europe.datafellows.com/news/hoax.htm). Bezpieczeństwo | 251 SPOSÓB 70. Najczęściej zadawane pytania dotyczące ochrony antywirusowej Zablokowanie programów antywirusowych nie wystarczy P: W jaki sposób można czasowo zablokować oprogramowanie antywirusowe, aby zdia- gnozować problemy w systemie? O: Czasami trzeba czasowo zablokować oprogramowanie antywirusowe w celu rozwią- zania problemów z aplikacjami, drukowaniem lub samym systemem operacyjnym. W komputerach z systemem Windows 2000 samo wyłączenie usługi mechanizmu antywirusowego nie wystarcza do jego czasowego zablokowania. Trzeba także wyłączyć powiązane sterowniki urządzeń. Oto, jak można dezaktywować popularne programy antywirusowe w systemie Win- dows 2000: kliknąć prawym przyciskiem myszy ikonę Mój komputer i wybrać pozycję Właściwości. Kliknąć zakładkę Sprzęt, a następnie przycisk Menedżer urządzeń. Kliknąć menu Widok, a w nim pozycję Pokaż ukryte urządzenia. Rozwinąć gałąź Sterowniki niezgodne z Plug and Play i znaleźć sterowniki związane z oprogramowaniem antywirusowym. Kliknąć prawym przyciskiem myszy określony sterownik i wybrać pozycję Wyłącz. Nazwy sterowników urządzeń odpowiadających produktom popularnych pakietów antywirusowych zestawiono w tabeli 8.1. Trzeba jednak pamiętać, że sterowniki urzą- dzeń dla każdej z tych aplikacji zmieniają się, a zatem zweryfikujmy poniższe infor- macje w witrynach WWW producentów oprogramowania. Tabela 8.1. Sterowniki urządzeń wykorzystywane przez oprogramowanie antywirusowe Producent Sterowniki Symantec McAfee Norton Inoculan symevent.sys NaiFiltr oraz NaiFsRec NAVAP, NAVENG oraz NAVEX15 INO_FLP oraz INO_Fltr Wystąpił błąd w programie Kernel32.exe P: Uzyskałem komunikat o błędzie informujący mnie o tym, że wystąpił błąd w programie Kernel32.exe. Czy to błąd systemu, czy wirus? O: W przypadku uzyskania komunikatu o błędzie programu Kernel32.exe należy uaktu- alnić program antywirusowy. Kernel32.exe nie jest bowiem plikiem Microsoft (w odróż- nieniu od pliku Kernel32.DLL). A zatem w przypadku uzyskania tego błędu należy uak- tualnić oprogramowanie antywirusowe i podjąć próbę usunięcia wirusa z komputera. Taki problem może wystąpić w przypadku zainfekowania komputera przez jeden z na- stępujących wirusów: Worm_Badtrans.b, Backdoor.G_Door, Glacier Backdoor, Win32.Badtrans. 29020, W32.Badtrans.B@mm oraz Win32/PWS.Badtrans.B.Worm. 252 | Bezpieczeństwo Zmiana nazw kont Administrator i Gość SPOSÓB 71. Program Stinger P: Czy istnieje program, który ma możliwość usuwania wielu typów wirusów, w od- różnieniu od narzędzi oferowanych przez producentów oprogramowania antywiru- sowego, usuwających pojedyncze wirusy? O: Na forum dyskusyjnym w witrynie firmy McAfee można znaleźć informacje o narzędziu do usuwania wirusów o nazwie Stinger. Program ten jest ciągle aktualizowany i za- pewnia możliwość usuwania coraz to nowych wirusów. Więcej informacji na temat programu Stinger można znaleźć pod adresem http://forums.mcafeehelp.com/viewtopic. php?t=764. Narzędzie można pobrać ze strony http://vil.nai.com/vil/stinger/. — Rod Trent S P O S Ó B 71. Zmiana nazw kont Administrator i Gość Zmiana nazw domyślnych kont administratora i gościa jest prostym i skutecznym sposobem poprawy bezpieczeństwa komputerów. W celu poprawy bezpieczeństwa sieci z serwerami Windows należy zmienić nazwę konta administratora. Najlepiej wybrać taką nazwę, która nie kojarzy się z uprzywilejowaną rolą. Ten prosty zabieg znacznie utrudnia włamanie się do komputera lub sieci przez nieuprawnione osoby. Jedno z ustawień w systemach Windows 2000/2003 umożliwia wprowadzenie nazw, które zostaną użyte do automatycznej zmiany nazwy kont admi- nistratora i gościa za pomocą zasad zabezpieczeń lokalnych (w przypadku komputerów działających w grupie roboczej) lub zasad grupy (w środowisku Active Directory). Aby uzyskać dostęp do ustawień zasad lokalnych, należy kliknąć Start/Uruchom, wpisać mmc i wcisnąć Enter. Wybrać polecenie Plik/Dodaj/Usuń przystawkę. Kliknąć przycisk Dodaj, przewinąć listę do pozycji Zasady grupy (w systemie Windows 2000) lub Edytor obiektów zasad grupy (w systemie Windows Server 2003). Kliknąć Dodaj, a następnie Zakończ (w ten sposób zostanie utworzony obiekt zasad grupy dla komputera lokalnego). Rozwinąć gałąź Zasady Komputer lokalny, Konfiguracja komputera, Ustawienia systemu Windows, Ustawienia zabezpieczeń, Zasady lokalne, Opcje zabezpieczeń. Konsolę tę można zapisać pod znaną nazwą, co pozwoli na szybki dostęp do przystawki w przyszłości. Po wybraniu gałęzi Opcje zabez- pieczeń powinien wyświetlić się ekran podobny do tego, który zaprezentowano na ry- sunku 8.1 (jeśli korzystamy z systemów Windows Server 2003 lub Windows XP). W panelu po prawej stronie można znaleźć pięć pozycji dotyczących zasad dla kont. Ostatnie dwie opcje w sekcji Konta służą do zmiany nazwy kont administratora i gościa. Kliknięcie pozycji Konta: zmień nazwę konta administratora spowoduje wyświetlenie ekra- nu pokazanego na rysunku 8.2. Podobny ekran wyświetli się, jeśli wybierzemy pozycję Konta: Zmień nazwę konta gościa. Wystarczy wpisać dowolną nazwę i kliknąć OK. Powyższe działanie spowoduje automatyczną zmianę nazw kont administratora lub gościa. Bezpieczeństwo | 253 SPOSÓB 71. Zmiana nazw kont Administrator i Gość Rysunek 8.1. Ustawienia zasad lokalnych dla domyślnych kont administratora i gościa w systemach Windows Server 2003 oraz Windows XP Rysunek 8.2. Zmiana nazwy domyślnego konta Administrator Uwagi Należy pamiętać, że jeśli nasz komputer należy do domeny, skonfigurowane ustawienia zasad lokalnych za pomocą metody zaprezentowanej w powyższym punkcie mogą być przesłonięte przez ustawienia zasad grupy zdefiniowane na poziomie domeny, jednostki organizacyjnej bądź lokacji. 254 | Bezpieczeństwo Pobranie listy lokalnych administratorów SPOSÓB 72. W systemie Windows 2000 są dostępne tylko dwa ustawienia zasad w sekcji Konta i mają one inne nazwy niż te, które pokazano na rysunku 8.1. Ustawienie systemu Windows Server 2003 Konta: Zmień nazwę konta administratora w systemie Windows 2000 ma nazwę Zmień nazwę administratora. Podobnie jest w przypadku konta gościa. Natomiast w systemie Windows XP nazwy opcji są identyczne jak w systemie Windows Server 2003. Dodatkowym zabezpieczeniem po zmianie nazwy kont administratora i gościa jest dodanie kont Administrator i Gość (w sposób, w jaki tworzy się zwykłe konta użytkowników). Po utworzeniu tych kont należy nadać im bezpieczne hasła, ale odebrać wszelkie prawa w sys- temie. Nawet jeśli intruz przejmie te konta, nie będzie mógł nic zrobić w naszym komputerze. — John Gormly S P O S Ó B 72. Pobranie listy lokalnych administratorów Lokalni administratorzy mogą w swoich komputerach zrobić wszystko. W tym punkcie opisano, w jaki sposób dowiedzieć się, kto ma takie prawa. Kiedy intruzowi uda się pokonać zabezpieczenia sieci, zazwyczaj próbuje uzyskać prawa lokalnego administratora komputera. Jeśli mu się to uda, może robić w przejętym systemie wszystko, na co ma ochotę. Jeśli zatem mamy podejrzenia, że intruz włamał się do sieci, warto sprawdzić, kto po- siada prawa lokalnych administratorów w naszych komputerach. Za pomocą interfejsu GUI można to zrobić, przeglądając gałąź Użytkownicy i grupy lokalne konsoli Zarządzanie komputerem, ale to rozwiązanie jest niewygodne. Szybszym sposobem znalezienia użytkowników posiadających uprawnienia lokalnych ad- ministratorów w komputerach naszej sieci jest skorzystanie z poniższego skryptu VBScript. W miarę potrzeb można go odpowiednio dostosować. Kod Wystarczy uruchomić edytor tekstowy, na przykład Notatnik (z wyłączonym zawijaniem wierszy), wpisać poniższy skrypt i zapisać z rozszerzeniem .vbs, jako GetAdmins.vbs. computername = createobject( wscript.network ).compautername set group = getobject( WinNT:// computername a/administratorzy,group ) s = for each account in group.members s = s account.name vbcrlf next msgbox s Wykorzystanie sposobu Skorzystanie ze sposobu jest proste. Należy utworzyć skrót do skryptu na pulpicie i dwu- krotnie go kliknąć. Wyświetli się okno dialogowe zawierające informacje o użytkowni- kach posiadających w komputerze uprawnienia lokalnego administratora, takie jak na Bezpieczeństwo | 255 SPOSÓB 73. Wyszukiwanie wszystkich komputerów, w których działa określona usługa rysunku 8.3. Na podstawie tej listy można z łatwością odnaleźć konta administracyjne, które uzyskały te uprawnienia w sposób nielegalny (np. backdOOr). Istnienie takich kont może być sygnałem przejęcia systemu przez złośliwego hakera. Rysunek 8.3. Lista lokalnych administratorów na serwerze członkowskim domeny W komputerach, z których uruchamiamy zaprezentowany skrypt, powinny być zainstalo- wane najnowsze wersje mechanizmów obsługi skryptów. Można je pobrać ze strony Micro- soft Scripting (http://msdn.microsoft.com/scripting.asp?url=/nhp/default.asp?contentid=28001169). Należy także zwrócić uwagę, że pracując z interfejsem ADSI (Active Directory Services In- terface), trzeba mieć te same prawa, jakie są potrzebne do uruchamiania wbudowanych narzędzi administracyjnych. Modyfikacja sposobu Skrypt pobiera informacje dotyczące zawartości grupy administratorów lokalnych, ale z łatwością można go zmodyfikować w taki sposób, aby pobierał informacje dotyczące dowolnej grupy w lokalnym komputerze. Na przykład, aby wyświetlić użytkowników należących do grupy Użytkownicy, wystarczy zmienić poniższy wiersz: set group = getobject( WinNT:// computername a/administratorzy,group ) na następujący: set group = getobject( WinNT:// computername a/użytkownicy,group ) i jeszcze raz uruchomić skrypt. — Rod Trent S P O S Ó B 73. Wyszukiwanie wszystkich komputerów, w których działa określona usługa Skryptu zaprezentowanego w niniejszym punkcie można użyć do wyszukania nieuprawnionych serwerów WWW, niewłaściwie skonfigurowanych klientów oraz innych systemów, które stwarzają potencjalne zagrożenie w sieci. Narzędzie sprawdzające stan usługi w wielu komputerach jednocześnie może ułatwić życie administratorowi. Za jego pomocą można sprawdzić stan usługi klienta SMS, usługi antywirusowej, a nawet wirusów i Trojanów zainstalowanych jako usługi. W przypadku większości interfejsów takich jak WMI lub ADSI, sprawdzenie stanu usług wymaga 256 | Bezpieczeństwo Wyszukiwanie wszystkich komputerów, w których działa określona usługa SPOSÓB 73. zalogowania się w docelowym komputerze z wykorzystaniem konta z uprawnieniami ad- ministratora. W wielu firmach w sieci działają komputery, w których pracownicy działu informatyki nie mają uprawnień administracyjnych. Takie niezarządzane komputery stano- wią realne zagrożenie dla bezpieczeństwa sieci. Kiedyś przy próbie sprawdzania zdalnego komputera za pomocą przystawki Usługi systemu Windows 2000 zauważyłem, że do przeglądania usług uruchomionych w zdalnym kom- puterze nie są potrzebne uprawnienia administratora. Wystarczyło konto w zaufanej domenie z uprawnieniami użytkownika. Przy dokładniejszym zbadaniu sytuacji okazało się, że w tym przypadku wykonywane jest bezpośrednie zapytanie do Menedżera sterowania usługami (SCM) i nie są wykorzystywane wywołania API za pośrednictwem interfejsów WMI lub ADSI. Jednym z najlepszych narzędzi, w którym wykorzystano zapytania do menedżera SCM, jest program Psservice firmy Sysinternals (http://www.sysinternals.com). Chociaż jest to narzędzie działające wyłącznie w wierszu polecenia, można wprowadzić kilka odpowiednio przygotowanych parametrów i wykorzystać je z poziomu skryptu. Na podstawie odpowiedzi na polecenie ping skrypt wyszukuje adresy IP według pod- sieci. W ten sposób, dzięki analizie wywołania NetBIOS, odnajduje komputery window- sowe. Następnie skrypt sprawdza, czy w komputerze działa określona usługa, poprzez wysłanie zapytania za pomocą programu Psservice i zarejestrowanie wyników w pliku rozdzielanym tabulatorami. W pliku wynikowym są następujące informacje: adres IP, nazwa komputera, zalogowany użytkownik, domena lub grupa robocza, do której jest dołączony komputer, oraz stan usługi. Adres IP jest umieszczony w wyniku nawet wtedy, kiedy nie odpowiada na polecenie ping. Można go uważać za identyfikator komputera. Następnie, w wyniku wyszukiwania DNS według adresu IP, skrypt znajduje nazwę komputera. Po jej znalezieniu szuka nazwy NetBIOS, a jeśli ją znajdzie, zastępuje nią na- zwę DNS. Jeśli zarówno wyszukiwanie DNS, jak NetBIOS nie powiedzie się, do pliku wynikowego jest zapisywana pusta nazwa. W polu z informacjami o zalogowanym użytkowniku będą dane tylko wtedy, jeśli komputer jest zgodny z NetBIOS i ktoś jest na nim zalogowany. Jeśli jednak nikt nie jest zalogowany, pole jest puste. Zwróćmy uwagę, że pole nazwy może zawierać nazwę konta domeny lub konta lokalnego i nie ma sposobu, aby je od siebie odróżnić. Domena (grupa robocza), do której komputer jest podłączony, dotyczy konta komputera, a nie użytkownika. Stan usługi może przyjąć jedną z siedmiu wartości, tak jak pokazano w tabeli 8.2. Tabela 8.2. Dopuszczalne wartości opisujące stan serwera Stan UnPingable RUNNING STOPPED PENDING Brak wartości Access is Denied Opis Adres IP nie odpowiada Usługa jest uruchomiona Usługa jest zatrzymana Usługa jest w trakcie uruchamiania bądź zatrzymywania Usługa nie istnieje Konto użytkownika ma niewystarczające uprawnienia The RPC server is unavailable W komputerze działa system Win9x,Win3.x lub Samba Bezpieczeństwo | 257 SPOSÓB 73. Wyszukiwanie wszystkich komputerów, w których działa określona usługa Do uruchomienia skryptu potrzeba kilku elementów. Po pierwsze, potrzebny jest pro- gram Psservice wchodzący w skład zestawu Pstools firmy Sysinternals. Program psservice.exe należy umieścić w tym samym katalogu co skrypt. Trzeba także zarejestrować darmowy obiekt COM System Scripting Runtime firmy Netal (http://www.netal.com/ssr.htm). Obiekt COM rejestruje się za pomocą programu regsvr32. Wcześniej trzeba skopiować plik DLL do katalogu system32. Należy to zrobić dla wszystkich komputerów, z których chcemy uruchomić skrypt, ale nie trzeba tego robić w komputerach zdalnych. Swoją drogą, polecam szczegółowe zapoznanie się z dokumentacją obu tych doskonałych narzędzi. Kod Pokazany poniżej skrypt należy wpisać w Notatniku (z wyłączonym zawijaniem wierszy) i zapisać z rozszerzeniem .vbs, jako FindNTService.vbs. Można go również pobrać z witryny ftp://ftp.helion.pl/przyklady/100SER.ZIP. Dennis Abbott - speckled_trout@hotmail.com W komputerze, z którego uruchamiamy skrypt, należy najpiaerw zarejestrować w katalogu System32 obiekt COM System Scriptaing Runtime. Potrzebne jest także narzędzie psservice.exe z witrynya www.sysinternals.com należy je skopiować do tego samego katalogu co skrypt.a Trzeba także utworzyć plik tekstowy zawierający informacje o podsieaciach. Poszczególne podsieci muszą być rozdzielone znakiem koańca wiersza. przykład listingu podsieci 192.168.0.0 192.168.1.0 34.54.78.0 Działanie skryptu można zaobserwować poprzez otwarciea pliku dziennika za pomocą przeglądarki dzienników, np. SMS Trace firmy Miacrosoft. On Error Resume Next Option Explicit Dim Title tytuł okien dialogowych, a taakże nazwa pliku dziennika Dim PathToScript ścieżka do katalogu, w którym działa skraypt Dim PathToLogFile pełna ścieżka włącznie z nazwą pliku dzieannika Dim WshShell obiekt powłoki Dim WshNet obiekt sieci Dim WshFso obiekt systemu plików Dim WshSysEnv obiekt zawierający zmiennae środowiskowe Dim ScriptNet obiekt System Scriptinga Runtime z witryny www.netal.com Dim ComSpec ścieżka do programu cmd.exe Dim DataFile plik z nazwami komputerów Dim LogFile plik dziennika z informacjami o astanie Dim CompName nazwa bieżącego zdalnego komputeara Dim User użytkownik zalogowany w zdalnaym komputerze Dim Domain domena, do której jest dołączony zdalny kompauter Dim IP adres IP zdalnego komputera Dim CurLine zmienna wykorzystywana do przetwarzania palików tekstowych Dim NbtFile plik przetwarzany w celu wyszukania informaacji NetBIOS Dim SubnetFileName plik z informacjami o podsaieciach Dim I licznik Dim SysFolder folder systemowy Dim TimeOut limit czasu wykonania polecenia ping (w mailisekundach) 258 | Bezpieczeństwo Wyszukiwanie wszystkich komputerów, w których działa określona usługa SPOSÓB 73. Dim Go zmienna umożliwiająca zatrzymanie dziaałania skryptu Dim ServiceToCheck nazwa wyszukiwanej usługi--TO NIE JEST NAZWAa WYŚWIETLANA Dim EditSubnets zmienna opisująca możliwość edycji plikua podsieci Dim File obiekt plikowy Dim Subnet przeszukiwana podsieć Dim Service stan usługi Dim ServFile plik, w którym są wyszukiwane informacje o usałudze Set WshShell = CreateObject( WScript.Shell ) Set WshFso = CreateObject( Scripting.FileSystemObject ) Set WshNet = CreateObject( WScript.Network ) Set ScriptNet = CreateObject( SScripting.IPNetwork ) SysFolder = WshFso.GetSpecialFolder(1) PathToScript = Left(WScript.ScriptFullName,(Len(WScript.ScripatFullName) - (Len(WScript.ScriptName) + 1))) Title = FindNTService Set WshSysEnv = WshShell.Environment( SYSTEM ) ComSpec = WshSysEnv( COMSPEC ) Timeout = 125 pobranie danych wejściowych Go = MsgBox( Program przeszukuje sieć według podsieci a _ w poszukiwaniu komputerów, w których działa usługa. a vbcrlf _ Aby program mógł działać, należy utworzyć plik tekstowy z ianformacjami o podsieciach _ oraz podać nazwę usługi. vbcrlf vbcrlf Czy chcesz kontynuować? ,vbyesno,Title) Select Case Go Case VbYes Case VbNo Wscript.Quit(0) End Select If WshFso.FileExists(PathToScript psservice.exe ) True Tahen MsgBox Nie zainstalowano programu PSSERVICE... vbacrlf _ Program PSSERVICE można pobrać ze strony www.sysintearnals.com ,vbok + vbcritical, Title Wscript.Quit(0) End If If WshFso.FileExists(SysFolder sscrrun.dll ) True Then MsgBox Brak pliku sscrrun.dll... vbcrlf Możnaa go pobrać ze strony www.netal.com ,vbok + vbcritical, Title Wscript.Quit(0) End If ServiceToCheck = InputBox( Wprowadź nazwę usługi (nie nazwaę wyświetlaną), której _ chcesz wyszukiwać. ,Title, w3svc ) If ServiceToCheck = Then MsgBox Nie wprowadzono nazwy usługi... ,vbok + vabcritical, Title Wscript.Quit(0) End If SubnetFileName = InputBox( Wprowadź ścieżkę do nazwy pliku zaawierającego _ informacje o podsieciach. ,Title,PathToScript subnetas.txt ) If WshFso.FileExists(SubnetFileName) True Then MsgBox Plik z informacjami o podsieciach nie istnieje.a.. , _ vbok + vbcritical, Title Wscript.Quit(0) End If EditSubnets = MsgBox( Czy chcesz zmodyfikować plik z informaacjami o podsieciach? ,vbyesno,Title) Select Case EditSubnets Case vbyes WshShell.Run notepad SubnetFileName,a1,True Case vbno End Select Bezpieczeństwo | 259 SPOSÓB 73. Wyszukiwanie wszystkich komputerów, w których działa określona usługa PathToLogFile = PathToScript Title _ Month(Nowa) _ Day(Now) _ Year(Now) - Hour(Now) _ Minaute(Now) .log Set LogFile = WshFso.CreateTextFile(PathToLogFile) Set File = WshFso.GetFile(SubnetFileName) Set DataFile = File.OpenAsTextStream(1,0) LogFile.WriteLine Adres IP vbtab Nazwa komputera a vbtab _ Nazwa logowania vbtab Domena vbtab Statusa Do While Not DataFile.AtEndOfStream Subnet = DataFile.ReadLine LogFile.WriteLine subnet vbtab vbtab vbtaba vbtab _ rozpoczęto analizę podsieci Now Discover(subnet) Loop MsgBox Skrypt Title zakończył działanie. Plik dziennika zapisano w: _ vbcrlf PathToLogFile Function Discover(boundary) Subnet = Left(boundary,InstrRev(boundary, . )) For i = 1 to 254 IP = subnet i CompName = Null User = Null Domain = Null Curline = Null Service = Null If ScriptNet.Ping(ip,,,Timeout) 0 Then LogFile.WriteLine IP vbtab vbatab vbtab vbtab _ UnPingableClient Else CompName = ScriptNet.DNSlookupa(IP) If InStr(CompName, . ) 0 Then CompName = Left(CompName,InStr(CompName, . )-1) End If Call GetNBTstat(IP,User,Domain) Call GetService(IP, Service)a Call WriteToLog(IP,CompName,User,Doamain,Service) End If Next End Function Function GetNBTstat(IP,User,Domain) WshShell.Run ComSpec /c nbtstat -a IP PathToScript _ bt.txt ,6,True Set NbtFile = WshFso.OpenTextFile(PathToScript abt.txt , 1, True) Do While NbtFile.AtEndOfStream True CurLine = NbtFile.ReadLine If InStr(CurLine, --- ) 0 Then CurLine = NbtFile.ReadLine CompName = Trim(Left(CurLine,InStar(CurLine, )-1)) End If If InStr(CurLine, 03 ) 0 Then If Trim(Left(CurLine,InStr(CurLine, 03 )-a1)) _ UCase(CompName) and Trim(Left(CurLine,InStr(CurLinae, 03 )-1)) _ UCase(CompName) $ Then User = Trim(Left(CurLine,InStr(aCurLine, 03 )-1)) End If End If If InStr(CurLine, 1E ) 0 Then If Trim(Left(CurLine,InStr(CurLine, a 1E )-1)) _ UCase(CompName) and Trim(Left(CurLine,InStr(CurLinae, 1E )-1)) _ 260 | Bezpieczeństwo Wyszukiwanie wszystkich komputerów, w których działa określona usługa SPOSÓB 73. UCase(CompName) $ Then Domain = Trim(Left(CurLine,InStr(aCurLine, 1E )-1)) End If End If Loop NbtFile.Close End Function Function GetService(IP,Service) If CompName and User or Domain Thaen WshShell.Run ComSpec /c PathToScript a psservice \ _ IP query Chr(34) ServiceToCheck Chr(34) a _ PathToScript service.txt ,6,True Set ServFile = WshFso.OpenTextFile(PathToScriapt _ service.txt , 1, True) Do While ServFile.AtEndOfStream True CurLine = ServFile.ReadLine If InStr(CurLine, STATE ) 0 Then Service = Trim(Right(CaurLine,InStr(CurLine, )-1)) End If If InStr(CurLine, RPC ) 0 Then Service = CurLine End If If InStr(CurLine, Access ) 0 Thena Service = CurLine End If If InStr(CurLine, function ) 0 Tahen Service = CurLine End If If InStr(CurLine, Unable ) 0 Thena Service = CurLine End If Loop If InStr(Service,vbcr) 0 Then Service = Left(Service,InStr(Servicae,vbcr)-1) End If End If End Function Function WriteToLog(IP,CompName,User,Domain,Service) If IP Then LogFile.Write IP End If LogFile.Write vbtab If CompName Then LogFile.Write CompName End If LogFile.Write vbtab If User Then LogFile.Write User End If LogFile.Write vbtab If Domain Then LogFile.Write Domain End If LogFile.Write vbtab If Service Then LogFile.Write Service End If LogFile.WriteLine End Function Bezpieczeństwo | 261 SPOSÓB 73. Wyszukiwanie wszystkich komputerów, w których działa określona usługa Wykorzystanie sposobu Najpierw należy utworzyć plik tekstowy zawierający informacje o podsieciach, w których chcemy wyszukiwać uruchomione usługi. Adres każdej podsieci powinien kończyć się ciągiem .0 i być wpisany jako osobny wiersz w pliku. Plikowi można nadać nazwę sub- nets.txt i zapisać w tym samym katalogu, w którym zapisano skrypt. Następnie należy uruchomić skrypt. Wyświetli się szereg okien dialogowych, w których należy podać dane wejściowe. Pierwsze okno dialogowe zawiera opis skryptu. Kliknięcie przycisku Nie spo- woduje zakończenie jego działania. W kolejnym oknie dialogowym należy podać nazwę usługi. Nie chodzi tu o nazwę wy- świetlaną, a zatem trzeba na to zwrócić uwagę. W tabeli 8.3 zaprezentowano przykłady usług, których nazwa wyświetlana znacznie różni się od nazwy usługi. Skrypt umożliwia wykrycie nieuprawnionych serwerów WWW działających w sieci, komputerów klienckich, w których zablokowano oprogramowanie antywirusowe, a także komputerów z wyłą- czonym oprogramowaniem klienckim SMS. W przypadku tych ostatnich instalacja uaktu- alnień bezpieczeństwa oraz dodatków Service pack jest znacznie utrudniona. Tabela 8.3. Nazwy wyświetlane oraz odpowiadające im nazwy usług Nazwa wyświetlana Nazwa usługi World Wide Web Publishing Service w3svc Horton Antivirus Client Norton Antivirus Server SMS Client Service clisvc Następnie wyświetla się pytanie o pełną ścieżkę dostępu do pliku tekstowego z infor- macjami o podsieciach. Po podaniu nazwy wyświetla się pytanie o to, czy chcemy mo- dyfikować plik z informacjami o podsieciach. Skanowanie rozpoczyna się po kliknięciu przycisku Nie lub zamknięciu Notatnika. Po zakończeniu działania skryptu wyświetli się komunikat informujący o położeniu pliku z wynikami. W czasie działania skryptu nie wyświetla się wskaźnik postępu zadania. Aby anulować skrypt należy przejść do Mene- dżera zadań i zniszczyć proces wscript.exe. Osobiście wykorzystywałem skrypt do wyszukiwania komputerów, w których wyłączo- no usługę SMS Client Service. Dzięki niemu znalazłem także kilka serwerów IIS oraz ich właścicieli. Narzędzie pomogło mi również odnaleźć usługę FLC, lepiej znaną jako wirus FunLove. Dzięki
Pobierz darmowy fragment (pdf)

Gdzie kupić całą publikację:

100 sposobów na serwery Windows
Autor:

Opinie na temat publikacji:


Inne popularne pozycje z tej kategorii:


Czytaj również:


Prowadzisz stronę lub blog? Wstaw link do fragmentu tej książki i współpracuj z Cyfroteką: