Настройка системы безопасности Windows XP

Операционная система WinXP обладает развитой системой безопасности, которая, тем не менее, нуждается в настройке ¹⁰. Мы надеемся, что вы понимаете, что система WinXP должна устанавливаться на разделах NTFS, что применение файловой системы FAT32 не рекомендуется, исходя из принципов безопасности (встроенные средства безопасности просто не могут быть реализованы при условии применения FAT32). В случае применения файловой системы FAT 32 почти все утверждения данного раздела теряют для вас всякое значение. Единственный способ включить все разрешения файловой системы - преобразовать диск в формат NTFS.

После чистой установки WinXP предлагаемые по умолчанию параметры безопасности работают как переключатели типа "включить-выключить". Такой интерфейс носит по умолчанию название Простой общий доступ (Simple File Sharing). Такая конфигурация обладает низким уровнем безопасности, практически совпадающей со стандартной конфигурацией Win95/98/Me.

Если вас не устраивает такая конфигурация, вы можете воспользоваться всей мощью разрешений для файлов в стиле Win2K. Для этого откройте произвольную папку в Проводнике и выберите Сервис " Свойства папки (Tools " Folder options). Перейдите на вкладку Вид найдите в списке флажок Использовать простой общий доступ к файлам (рекомендуется) (Use File Sharing (recommended) и снимите его. ¹¹

Когда вы выключаете простой общий доступ, в диалоговом окне свойств любой папки появляется вкладка Безопасность.

Аналогично осуществляется выдача разрешений на файлы. Все разрешения хранятся в списках управления доступом (Access Control List - ACL).

При установке и удалении разрешений руководствуйтесь следующими основными принципами:

1. Работайте по схеме "сверху-вниз".
2. Храните общие файлы данных вместе.
3. Работайте с группами везде, где это только возможно.
4. Не пользуйтесь особыми разрешениями.
5. Не давайте пользователям большего уровня полномочий, чем это абсолютно необходимо (принцип минимизации полномочий).

Установка разрешения из командной строки

Утилита командной строки cacls.exe доступна в WinXPPro позволяет просматривать и изменять разрешения файлов и папок. Cacls - сокращение от Control ACLs - управление списками управления доступом. Ключи командной строки утилиты cacls

Таблица 1

С ключами /G и /P нужно использовать одну их перечисленных ниже букв (вместо слова разрешение):

• F (полный доступ) - эквивалентно установке флажка Разрешить полный доступ (Full Control) на вкладке Безопасность.
• C (изменить) - тождественно установке флажка Разрешить Изменить (Modify)
• R (чтение) - эквивалентно установке флажка Разрешить Чтение и выполнение (Read & Execute)
• W (запись) - равнозначно установке флажка Разрешить запись (Write)

WinXP позволяет предотвратить попадание конфиденциальных данных в чужие руки. Шифрующая файловая система (Encrypting File System - EFS) шифрует файлы на диске. Однако, слудует иметь ввиду, что если вы утеряете ключ для расшифровки, данные можно считать утерянными. Поэтому если вы решите воспользоваться преимуществанми EFS необходимо создать учетную запись агента восстановления, резервную копию собственного сертификата и сертификата агента восстановления.

Если вы предпочитаете работать с командной строкой, то можете воспользоваться программой cipher.exe. Команда cipher без параметров выводит информацию о текущей папке и размещенных в ней файлах (зашифрованы они или нет). В таблице 2 приведен список наиболее часто используемых ключей команды cipher

Таблица 2

Устранение проблем с разрешениями

Агент восстановления данных

Агентом восстановления данных (Data Recovery Agent) назназначается обычно администратор. Для создания агента восстановления нужно сначала сохдать сертификат восстановления данных, а затем назначить одного из пользователей таким агентом.

Чтобы создать сертификат нужно сделать следующее:

1. Нужно войти в систему под именем Администратор
2. Ввести в командной строке cipher /R: имя файла
3. Введите пароль для вновь создаваемых файлов

Файлы сертификата имеют расширение .PFX и .CER и указанное вами имя.

ВНИМАНИЕ эти файлы позволяют любому пользователю системы стать агентом восстановления. Обязательно скопируйте их на дискету и храните в защищенном месте. После копирования удалите файлы сертификата с жесткого диска.

Для назначения агента восстановления:

1. Войти в систему под учетной записью, которая должна стать агентом восстановления данных
2. В консоли Сертификаты перейдите в раздел Сертификаты - Текущий пользователь " Личные (Current User " Personal)
3. Действие " Все задачи " Импорт (Actions " All Tasks " Import) для запуска мастера импорта сертификатов
4. Проведите импорт сертификата восстановления

При неправильном использования средств шифрования вы можете получить больше вреда, чем пользы.

Краткие рекомендации по шифрованию:

1. Зашифруйте все папки, в которых вы храните документы
2. Зашифруйте папки %Temp% и %Tmp%. Это обеспечит шифрование всех временных файлов
3. Всегда включайте шифрование для папок, а не для файлов. Тогда шифруются и все создаваемые в ней впоследствии файлы, что оказывается важным при работе с программами, создающими свои копии файлов при редактировании, а затем перезаписывающими копии поверх оригинала
4. Экспортируйте и защитите личные ключи учетной записи агента восстановления, после чего удалите их с компьютера
5. Экспортируйте личные сертификаты шифрования всех учетных записей
6. Не удаляйте сертификаты восстановления при смене политик агентов восстановления. Храните их до тех пор, пока не будете уверены, что все файлы, защищенные с учетом этих сертификатов, не будут обновлены.
7. При печати не создавайте временных файлов или зашифруйте папку, в которой они будут создаваться
8. Защитите файл подкачки. Он должен автоматически удаляться при выходе из Windows

Конструктор шаблонов безопасности

Шаблоны безопасности являются обыкновенными ASCII - файлами, поэтому теоретически их можно создавать с помощью обыкновенного текстового редактора. Однако лучше воспользоваться оснасткой Security Templates консоли Microsoft Management Console (MMC). Для этого в командной строке нужно ввести mmc /a в этой консоли выбрать меню File - Add/Remove. В диалоговом окне Add Standalone Snap-in выбрать Security Templates - Add.

Управление оснасткой

Шаблоны безопасности расположены в папке \%systemroot%\security\templates. Количество встроенных шаблонов изменяется в зависимости от версии операционной системы и установленных пакетов обновлений.

Если раскрыть любую папку в Security Templates, то в правой панели будут показаны папки, которые соответствуют контролируемым элементам:

• Account Policies - управление паролями, блокировками и политиками Kerberos
• Local Policies - управление параметрами аудита, пользовательскими правами и настройками безопасности
• Event Log - управление параметрами системного журнала
• Restricted Groups - определение элементов различных локальных групп
• System Services - включение и отключение служб и присвоение права модификации системных служб
• Registry - назначение разрешений на изменение и просмотр разделов реестра
• File System - управление разрешениями NTFS для папок и файлов

Рекомендации администратору Windows NT/2000/XP

На машинах с Windows NT/2000/XP:

• сделать недоступным для вскрытия системный блок компьютера для предотвращения возможного отключения жесткого диска с операционной системой или подключения другого диска;
• в Setup разрешить загрузку только с жесткого диска, чтобы не допустить загрузку с другого носителя;
• установить пароль на вход в Setup, не позволяя отменить запрет на загрузку с другого носителя;
• Windows NT/2000/XP должна быть единственной операционной системой, установленной на машине, что делает невозможным копирование и замену файлов из других операционных систем;
• использовать только файловую систему NTFS, отказаться от использования FAT и FAT32;
• удостовериться в Windows NT, что установлен Service Pack 3 или более поздний и активизирована служебная программа SYSKEY;
• использовать встроенную в операционные системы Windows 2000/XP возможность шифрования файлов посредством EFS (Encrypting File System (англ.) - файловая система с шифрованием), являющейся частью NTFS5;
• запретить удаленное управление реестром, остановив соответствующую службу;
• отменить использование особых общих папок ADMIN$, C$ и т.д., позволяющих пользователю с административными правами подключаться к ним через сеть. Для этого необходимо добавить в реестр параметр AutoShareWks (для версий Workstation и Prosessional) или AutoShareServer (для версии Server) типа DWORD и установить его в 0 в разделе
  HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters
  Диапазон: 0-1, по умолчанию - 1.
  0 - не создавать особые общие ресурсы;
  1 - создавать особые общие ресурсы.

Подробнее об удалении особых общих ресурсов можно прочитать в статье KB314984 HOW TO: Create and Delete Hidden or Administrative Shares on Client Computers (для версий Workstation и Prosessional) и в статье KB318751 HOW TO: Remove Administrative Shares in Windows 2000 (для версии Server);

• запретить или максимально ограничить количество совместно используемых сетевых ресурсов;
• ограничить анонимный доступ в операционных системах Windows NT/2000, позволяющий при анонимном подключении получать информацию о пользователях, политике безопасности и общих ресурсах. В Windows NT/2000 нужно добавить в реестр параметр RestrictAnonymous типа DWORD в разделе
  HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
  Диапазон: 0-2, по умолчанию - 0 для Windows NT/2000, 1 - для Windows XP.
  0 - не ограничивать, положиться на заданные по умолчанию разрешения;
  1 - не разрешать получать список учетных записей и имен пользователей;
  2 - не предоставлять доступ без явных анонимных разрешений (недоступно в Windows NT).

Подробнее об ограничении анонимного доступа можно прочитать в статье KB143474 Restricting Information Available to Anonymous Logon Users (для Windows NT) и в статье KB246261 How to Use the RestrictAnonymous Registry Value in Windows 2000 (для Windows 2000);

• если в сети отсутствуют клиенты с Windows for Workgroups и Windows 95/98/Me, то рекомендуется отключить LM-аутентификацию, так как это существенно затруднит восстановление паролей при перехвате аутентификационных пакетов злоумышленником. Если же такие клиенты присутствуют, то можно включить использование аутентификации только по запросу сервера. Это можно сделать, активизировав расширение механизма аутентификации NTLMv2. Для его активизации необходимо добавить в реестр следующие параметры:
• LMCompatibilityLevel типа DWORD в разделе
  HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
  Диапазон: 0-5, по умолчанию - 0.
  0 - посылать LM- и NT-ответы, никогда не использовать аутентификацию NTLMv2;
  1 - использовать аутентификацию NTLMv2, если это необходимо;
  2 - посылать только NT-ответ;
  3 - использовать только аутентификацию NTLMv2;
  4 - контроллеру домена отказывать в LM-аутентификации;
  5 - контроллеру домена отказывать в LM- и NT-аутентификации (допустима только аутентификация NTLMv2).
• NtlmMinClientSec или NtlmMinServerSec типа DWORD в разделе
  HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\MSV1_0
  Диапазон: объединенные по логическому ИЛИ любые из следующих значений:
  0x00000010 - целостность сообщений;
  0x00000020 - конфиденциальность сообщений;
  0x00080000 - безопасность сеанса NTLMv2;
  0x20000000 - 128-битное шифрование.

Подробнее об использовании NTLMv2 можно прочитать в статье KB147706 How to Disable LM Authentication on Windows NT;

• запретить отображение имени пользователя, который последним регистрировался в операционной системе, в диалоговом окне регистрации. Для этого нужно добавить в реестр строковый параметр DontDisplayLastUserName и установить его в 1 в разделе
  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
  Диапазон: 0-1, по умолчанию - 0.
  0 - отображать имя последнего пользователя;
  1 - не отображать имя последнего пользователя.

Подробнее о запрещении отображения имени пользователя можно прочитать в статье KB114463 Hiding the Last Logged On Username in the Logon Dialog;

• запретить запуск экранной заставки при отсутствии регистрации пользователя операционной системы в течение некоторого времени. Для этого нужно в реестре значение параметра ScreenSaveTimeOut установить в 0 в разделе
  HKEY_USERS\.DEFAULT\Control Panel\Desktop

Подробнее о запрещении запуска экранной заставки можно прочитать в статье KB185348 HOW TO: Change the Logon Screen Saver in Windows;

• при выборе паролей WinNT/2K/XP соблюдать следующие правила:
• не выбирать в качестве пароля или части пароля любое слово, которое может являться словом словаря или его модификацией;
• длина пароля в Windows NT должна быть не менее 7 символов (при максимально возможной длине пароля в 14 символов), в Windows 2000/XP - более 14 символов (при максимально возможной длине пароля в 128 символов);
• пароль должен содержать символы из возможно большого символьного набора. Нельзя ограничиваться только символами A-Z, желательнее использовать в пароле и буквы, и цифры, и специальные символы (причем в каждой из 7-символьных половин пароля, если длина пароля менее или равна 14);
• символы пароля, являющиеся буквами, должны быть как верхнего, так и нижнего регистра, что затруднит восстановление пароля, производимое по NT-хэшу;
• своевременно выполнять установку пакетов исправлений и обновлений операционной системы;
• переименовать административную и гостевую учетные записи, отключив при этом последнюю;
• избегать наличия учетной записи с именем и паролем, совпадающими с административной, на другом компьютере в качестве обычной учетной записи;
• иметь только одного пользователя с административными правами;
• задать политику учетных записей (блокировку учетных записей после определенного числа ошибок входа в систему, максимальный срок действия пароля, минимальную длину пароля, удовлетворение пароля требованиям сложности, требование неповторяемости паролей и т.д.);
• установить аудит неудачных входов;
• воспользоваться программами из пакета Microsoft Security Tool Kit, в частности HFNetChk и Microsoft Baseline Security Analyzer (написаны Shavlik Technologies, LLC для Microsoft), проверяющими наличие установленных обновлений и имеющихся ошибок в настройке системы безопасности;
• периодически выполнять аудит паролей, используя программу LC+4<, или подобные ей.

Утерян пароль локального администратора на своем компьютере. Что делать?
Удалите файлы %Windir%\system32\config\sam*. Если W2k установлен на FAT/FAT32, то из Win9x или с дискеты, если на NTFS - придется установить параллельную копию системы или снять жесткий диск и поставить его на другую машину с W2k. Если есть возможность, используйте NTFS for DOS. После удаления файлов возможен вход с логином Administrator/Администратор и пустым паролем.
Другой способ - скачать образ Linux-дискеты и программу для записи этого образа. Загрузившись с этой дискеты, с помощью записанной на неё программы Offline NT Password & Registry Editor можно установить новый пароль администратора, даже не зная старого.

Зачем ограничивать доступ к информации Анонимному Пользователю?
Чтобы ограничить возможность сбора информации о вашей системе через нуль сессию, не обязательно отключать административный специальный ресурс IPC$, что приведет к недоступности компьютера из сети. Достаточно ограничить доступ Анонимному пользователю.
Для этого:
1. Запустите Редактор системного реестра (regedit.exe).
2. Откройте следующий ключ в системном реестре:
[HKLM\SYSTEM\CurrentControlSet\Control\LSA]
3. В меню "Правка" выберете "Создать параметр". Используйте следующие данные:
Параметр: RestrictAnonymous Тип: REG_DWORD Значение: 1 или 2.
4. Выйдите из Редактора системного реестра, и перезагрузите компьютер для того, чтобы изменения вступили в силу.
Значение 1 запрещает анонимным юзерам просматривать учетные записи и общие ресурсы удаленно (т.е. для защиты от null-session этого достаточно, саму сессию установить по-прежнему можно, но вот получить информацию через нее уже нельзя).
Когда значение системного реестра RestrictAnonymous установлено в 2, маркер доступа для непроверенных пользователей, не включает их в группу Все (Everyone). Учитывая, что существуют программы (GetAcct, user2sid, и т.п.), с помощью которых можно собрать информацию даже при параметре restrictanonymous, установленном в 1, рекомендуется выставить его значение в 2 (если, нет сервисов Win2K, а также сторонних программ, полагающихся на анонимный доступ при выполнении законных задач.). При этом машина исчезает из "сетевого окружения" и получить доступ к ней можно только, обратившись по UNC-имени или по \\айпи-адресу.
Следующие задачи ограничены, когда значение системного реестра RestrictAnonymous установлено в 2 на контроллере домена Win2K:
- Рабочие станции или сервера, члены нижнего уровня не способны установить соединение с каналом безопасности.
- Контроллеры домена нижнего уровня в доверяющих доменах не могут установить соединение с каналом безопасности.
- Microsoft WinNT пользователи не могут изменить свои пароли после того, как закончилось их время действия. Также, пользователи Macintosh вообще не могут изменить свои пароли.
- Служба обозревателя не может восстановить списки домена или список серверов с резервных, главных обозревателей или главных обозревателей домена, которые выполняются на компьютерах с установленным значения системного реестра RestrictAnonymous в 2. Из-за этого, любая программа, которая использует службу обозревателя не функционирует.
Из-за возникновения выше перечисленных проблем, не рекомендуется устанавливать значение системного реестра RestrictAnonymous в 2 в средах смешенного режима, которые включают клиентов низкого уровня. Установка значения системного реестра RestrictAnonymous в 2 должна быть рассмотрена только в средах Windows, и после того, как были проведены достаточно качественные испытания, что соответствующие сервисные уровни и функциональные возможности программ поддерживаются