Опубликован: 15.10.2008 | Доступ: свободный | Студентов: 3143 / 506 | Оценка: 4.48 / 4.23 | Длительность: 45:21:00
Лекция 8:

Безопасность Windows Server 2003

< Лекция 7 || Лекция 8: 123456 || Лекция 9 >

Доверительные отношения между доменами

Доверие домену - это отношения между доменами, которые позволяют пользователям одного домена быть аутентифицированными контроллером домена в другом домене. При использовании Windows Server 2003 аутентификация по учетным записям между доменами активизируется двусторонними транзитивными доверительными отношениями на базе Kerberos. Это позволяет пользователям и компьютерам аутентифицироваться между любым доменом в дереве доменов или в лесу. Эти доверительные отношения автоматически создаются между родительским и дочерним доменами, когда в дереве доменов создается новый домен. В лесу доверительные отношения автоматически создаются между корневым доменом леса и корневым доменом каждого дерева доменов, добавляемого к лесу.

Внимание. Доверительные отношения доменов могут представлять серьезную угрозу безопасности. Обычно угроза безопасности ограничена в каждый момент каким-либо одним конкретным доменом. Компрометация безопасности в домене с доверительными отношениями может подвергать риску все домены, которые являются "партнерами" этого домена. Например, если учетная запись верхнего уровня компрометирована в одном домене, ее могут использовать для проникновения в другие доверяемые домены.

Прежде чем учетной записи может быть предоставлен доступ к ресурсам контроллером другого домена, система Windows Server 2003 должна проверить, имеет ли этот домен доверительные отношения с первым доменом. Для этого Windows Server 2003 определяет "последовательность доверия" между контроллерами этих двух доменов. Последовательность доверия - это набор доверительных отношений, который должен быть пройден средствами безопасности Windows Server 2003 для передачи запросов аутентификации между любыми двумя доменами.

Примечание. Если пользователь аутентифицируется контроллером доверяющего домена, это не позволяет пользователю автоматически получать доступ к ресурсам в этом домене. Доступ пользователя по-прежнему определяется правами и полномочиями, предоставленными учетной записи этого пользователя для доверяющего домена администратором домена.

Явные доверительные отношения между доменами создаются администраторами - в отличие от доверительных отношений, создаваемых во время установки контроллера домена. Администраторы создают явные доверительные отношения и управляют ими с помощью оснастки MMC Active Directory Domains and Trusts (Домены Active Directory и доверительные отношения).

Имеется два вида явных доверительных отношений доменов: внешние доверительные отношения (external trust) и сокращенные доверительные отношения (shortcut trust). Внешние доверительные отношения разрешают аутентификацию пользователя в домене, находящемся вне определенного леса, в то время как сокращенные доверительные отношения сокращают последовательность доверия в сложном лесу.

Внешние доверительные отношения создают отношения доверия между доменами в различных лесах. Внешние доверительные отношения разрешают аутентификацию пользователя в домене, который не входит в последовательность доверия определенного леса. Хотя все внешние доверительные отношения являются односторонними нетранзитивными доверительными отношениями, два внешних доверительных отношения можно объединить для создания двусторонних доверительных отношений.

Повторите эту процедуру во втором домене этого явного доверительного отношения.

Управление корректировками ПО

Поддержка корректировок для Windows Server 2003 с помощью последних выпусков ПО является критически важной для защиты системы. Если в систему не вносятся эти поправки, все остальные попытки защиты Windows Server 2003 не дают никакого эффекта.

Компании по разработке ПО выпускают поправки (заплаты) для исправлений кода или устранения проблем конфигурации. Иногда эти проблемы связаны с вопросами безопасности, когда злоумышленники используют бреши (уязвимые точки) в системе безопасности. Как только становится известно о такой точке, злоумышленники часто пытаются использовать ее для компрометации систем. Обычно компании по разработке ПО стараются как можно быстрее выпустить такие заплаты безопасности, чтобы защитить своих пользователей.

Обычно термины "заплата" (patch), пакет обновлений (service pack) и оперативное исправление (hotfix) используют в равной степени, подразумевая обновления ПО, но каждый из них имеет свое конкретное определение.

  • Пакеты обновлений (service pack).Используются для поддержки соответствующего продукта на уровне текущих изменений, а также исправления проблем, появившихся после выпуска этого продукта. Для каждого продукта имеется несколько пакетов обновлений, но один пакет обновлений обычно подходит для различных версий одного продукта. Пакеты обновлений являются накопительными, то есть каждый новый пакет обновлений содержит предыдущие пакеты обновлений, а также новые исправления, появившиеся с момента выпуска предыдущего пакета обновлений.
  • Оперативные исправления (hotfix). Это "заплаты" для продуктов, поставляемые отдельным заказчикам, имеющим существенные проблемы без каких-либо способов их обхода. Оперативные исправления не проходят исчерпывающего регрессивного тестирования и выпускаются только для разрешения конкретной проблемы. Группы оперативных исправлений часто объединяются в пакеты обновлений.
  • Заплаты безопасности (security patch). Специальные выпуски для устранения брешей в системе безопасности. Они аналогичны оперативным исправлениям, но в основном выпускаются для защиты систем. Без применения текущих заплат безопасности система Windows Server 2003 может быть уязвима в высокой степени для проникновения вирусов и атак хакеров.

Для всех этих обновлений вам следует взвесить риски и преимущества их развертывания. Следует также тестировать каждое обновление, прежде чем развертывать его в эксплуатируемой среде. Microsoft разработала бесплатные средства, позволяющие определить, была ли обновлена система.

Microsoft Network Security Hotfix Checker (HFNETCHK)

HFNETCHK (Проверка оперативных исправлений системы безопасности сети) - это утилита командной строки, позволяющая проверить, установлены ли все заплаты безопасности на рабочей станции или сервере. Утилита MBSA V1.1, выпущенная а декабре 2002 г., заменила автономное средство HFNETCHK эквивалентной программой Mbsacli.exe.

Примечание. Администраторы, которые используют в настоящее время HFNETCHK, могут получать ту же информацию, используя следующую команду из папки, где была установлена MBSA 1.1: Mbsacli.exe /hf.

Программу Mbsacli.exe, заменившую HFNETCHK, можно использовать для проверки состояния обновлений Windows Server 2003, Windows NT 4, Windows 2000 и Windows X P, а также оперативных исправлений для Internet Information Server (IIS) 4.0, IIS 5.0, SQL Server 7.0, SQL Server 2000, Microsoft Data Engine (MSDE), Exchange Server 5.5, Exchange Server 2000, Windows Media Player и Internet Explorer, начиная с версии 5.01.


Microsoft Baseline Security Analyzer (MBSA)

MBSA - это бесплатное графическое средство проверки безопасности, которое ищет на Windows-компьютерах типичные нарушения конфигураций безопасности и генерирует отчет о состоянии безопасности для каждого сканируемого компьютера. MBSA работает на компьютерах Windows Server 2003, Windows 2000 и Windows X P. Оно выполняет только сканирование нарушений в безопасности на компьютерах Windows Server 2003, Windows NT 4, Windows 2000 и Windows XP. MBSA сканирует характерные нарушения безопасности в Microsoft Windows, Microsoft IIS, Microsoft SQL Server, Microsoft Internet Explorer (IE) и Microsoft Office. MBSA также выполняет сканирование для выявления недостающих обновлений системы безопасности в Microsoft Windows, IIS, SQL Server, IE, Windows Media Player (WMP), Exchange Server и Exchange 2000 Server. Для проверки безопасности на определенной машине с помощью этого средства требуются административные привилегии.

Для MBSA, Mbsacli.exe и для старой утилиты HFNETCHK требуется XML-файл, непосредственно загружаемый с веб-сайта Microsoft и содержащий список самых последних оперативных исправлений, которые следует установить на данном компьютере. Если нет соединения с Интернет, то они используют локальный XML-файл, но он может оказаться устаревшим и оставить систему незащищенной. При запуске MBSA или Mbsacli.exe они всегда пытаются получить самую последнюю копию этого XML-файла.

Этот XML-файл (MSSECURE.XML) содержит имя и заголовок соответствующего бюллетеня безопасности, а также подробную информацию об оперативных исправлениях безопасности для данного продукта, включая следующие данные.

  • Имена файлов в каждом пакете оперативных исправлений вместе с версиями этих файлов и контрольными суммами.
  • Разделы реестра, к которым относятся эти оперативные исправления.
  • Информация, указывающая, какие заплаты заменяют другие заплаты.
  • Номер соответствующей статьи в Microsoft Knowledge Base.
Возможности сканирования MBSA

MBSA можно использовать как бесплатное очень ограниченное средство оценки уязвимости системы со следующими возможностями.

  • Сканирование одного или нескольких компьютеров Windows Server 2003, Windows NT 4, Windows 2000 и Windows XP.
  • Проверка на точки уязвимости операционной системы Windows.
  • Проверка на точки уязвимости IIS.
  • Проверка на точки уязвимости SQL Server. Проверка выполняется для каждого экземпляра SQL Server, найденного на проверяемом компьютере.
  • Проверка на слабость паролей и типичные элементы уязвимости паролей. Проверяя пароли, MBSA может добавлять записи в журнал Security, если активизирован аудит. MBSA выполняет сброс любых обнаруженных политик блокировки учетных записей, чтобы не блокировать никаких пользовательских учетных записей во время проверки паролей, но эта проверка не выполняется на контроллерах домена.
  • Проверка на отсутствующие обновления системы безопасности.

При сканировании системы безопасности MBSA сохраняет для каждого компьютера выходные отчеты в отдельных XML-файлах в папке %userprofile%\ SecurityScans. Их можно просматривать с помощью средства MBSA Scan reports (Отчеты о сканировании).

Внимание. Известной проблемой MBSA является то, что в случае применения оперативного исправления (hotfix), не относящегося к системе безопасности, после hotfix по системе безопасности MBSA, возможно, сообщит, что hotfix по безопасности отсутствует. Данный компьютер будет все же защищен, даже если MBSA сообщает, что это не так. Это будет устранено в следующем выпуске MBSA.

Еще один способ проверить наличие оперативных исправлений - это использование Regedit32 для просмотра раздела реестра HKLM\Software\Microsoft\Windows NT\Currentversion\hotfix. Для каждого установленного hotfix должен быть раздел, соответствующий статье из Microsoft Knowledge Base для этого hotfix. Но здесь, возможно, не будут представлены старые оперативные исправления и оперативные исправления для некоторых приложений.


Контрольный список

Ниже приводится контрольный список для поддержания системы безопасности Windows Server 2003.

  • Поддерживайте антивирусное ПО на уровне последних изменений. Существуют тысячи вирусов, причем каждый день появляется в среднем по пять новых вирусов. Вирусы не только повреждают компьютер, но также могут сделать его уязвимым для атак хакеров.
  • Подпишитесь на службу Microsoft Security Notification Service, чтобы получать уведомления о последних заплатах безопасности Microsoft: www.microsoft.com/ technet/security/bulletin/notifyasp .
  • Разработайте систему управления заплатами. В организациях должен быть определен процесс тестирования и развертывания новых заплат безопасности вскоре после их выпуска.
  • Регулярно просматривайте журналы. Ищите признаки проникновения.
  • Просматривайте журналы Application, System, Security и IIS (если установлена IIS).
  • Объясните администраторам, как выглядит атака.
  • Реализуйте регулярный мониторинг сети, чтобы выявлять проникновение в сеть и действия хакеров.
  • Регулярно запускайте сканирование с помощью MBSA на всех клиентских компьютерах и серверах Windows Server 2003, Windows NT 4, Windows 2000 и Windows XP
  • Блокируйте свои веб-серверы с помощью таких средств, как IISlockdown/ URLSCAN. Вы можете найти их по адресам http://www.microsoft.com/windows2000/downloads/recommended/iislockdown/default.asp и http://www.microsoft.com/windows2000/downloads/recommended/urlscan/default.asp .
  • Просматривайте рекомендации Microsoft для реализации защищенных конфигураций в вашей среде: www.microsoft.com/technet/security/tools/tools. Эти рекомендации могут оказаться очень полезны, даже если они не относятся непосредственно к Windows Server 2003.
  • Просматривайте руководства по безопасности агентства NSA, где можно найти дополнительные идеи по защите вашей среды Windows: http://nsa2.www.conxion.com/win2k/index.html. Имейте в виду, что установка .inf-файлов NSA может нарушить работу ваших приложений.
  • Используйте услуги сторонних организаций для регулярного аудита и оценок безопасности вашей сети и серверного окружения.
< Лекция 7 || Лекция 8: 123456 || Лекция 9 >
Игорь Ермачков
Игорь Ермачков
Латвия, Рига
Александр Демиденко
Александр Демиденко
Россия, Брянск