Жизненный цикл управления безопасностью

Двойная проверка безопасности сервера

Программа Microsoft Baseline Security Analyzer (MBSA) предназначена для сканирования компьютеров с Windows 2000 и определения примененных в системе обновлений безопасности, политик безопасности и соответствующих параметров. MBSA представляет расширенную версию HFNetChk – широко известной программы, используемой многими системными администраторами Windows 2000. MBSA сканирует сервер для определения операционной системы, наличия сервис-пакетов и программ, после чего исследует базу данных Microsoft и определяет надстройки безопасности для установленного программного обеспечения.

MBSA, как и HFNetChk, проверяет создаваемые надстройкой ключи реестра и наличие на сервере определенной надстройки, а также выясняет версию и контрольную сумму каждого файла, установленного надстройкой. MBSA проверяет также соответствие настроек системы общим рекомендациям по безопасности сервера, например, устойчивость паролей, состояние учетной записи Guest (Гость), тип файловой системы, общедоступные файлы, группу администраторов, наличие распространенных ошибок в конфигурации. После выполнения процедуры генерируется отчет. Ниже приведен список проверок MBSA для сервера IIS.

• Простые пароли. MBSA в процессе сканирования проверяет компьютеры на наличие пустых, простых и неправильно указанных паролей:
  • пароль пуст;
  • пароль = имя пользователя (имя учетной записи);
  • пароль = имя компьютера;
  • пароль = "password";
  • пароль = "admin";
  • пароль = "Administrator".
• Группа Administrators (Администраторы). Определяет и создает перечень учетных записей, принадлежащих группе Local Administrators (Локальные администраторы). При обнаружении более двух учетных записей администраторов программа выводит список их имен и обозначает потенциальное слабое место. Рекомендуется свести к минимуму число администраторов, так как они по природе своей деятельности осуществляют полный контроль над системой.
• Аудит. Определяет включение аудита на сканируемом компьютере. Аудит Microsoft Windows отслеживает и фиксирует в журнале определенные системные события, такие как успешные и неудачные попытки входа в систему. Следует всегда вести журнал и отслеживать события системы, чтобы определять потенциальные угрозы безопасности и вредоносные действия.
• Автоматический вход в систему. Определяет включение автоматического входа, наличие шифрования пароля входа в реестре или хранение его в открытом виде. Если включен автоматический вход в систему, и пароль хранится в открытом виде, это будет отражено в отчете безопасности как серьезное слабое место. Если включен автоматический вход, и пароль шифруется в реестре, это будет отражено в отчете безопасности как потенциальное слабое место.
• Проверка наличия ненужных служб. Определяет включение служб, содержащихся в текстовом файле services.txt. Если планировалось отключение какой-либо службы, но этого не произошло, или служба перезапустилась, то данная проверка выявит этот факт.
• Гостевая учетная запись. Определяет включение встроенной учетной записи Guest (Гость). Гостевая учетная запись используется для входа на компьютер с ОС Windows 2000 и должна быть отключена.
• Виртуальные каталоги MSADC и Scripts на сервере IIS. Определяет установку виртуальных каталогов MSADC (образцы сценариев доступа к данным) и Scripts. Сценарии в этих каталогах нужно удалить для снижения вероятности проведения атаки.
• Виртуальный каталог IISADMPWD. Определяет установку виртуального каталога IISADMPWD. В IIS 4.0 пользователи могут через него изменять свои пароли. IISADMPWD является слабым местом, через которое возможно раскрытие паролей. При обновлении сервера до IIS 5 этот каталог нужно удалить,
• Средство IIS Lockdown. Определяет выполнение на компьютере версии 2.1 программы IIS Lockdown. IIS Lockdown отключает ненужные возможности и настраивает политику безопасности IIS для уменьшения степени уязвимости защиты.
• Журнал IIS. Определяет включение журнала IIS и использование расширенного формата файла журнала W3C. Ведение журнала IIS выходит за рамки функций Windows и позволяет обнаружить возможные области атаки сервера или сайтов. Эта возможность должна быть всегда включена.
• Родительские пути IIS. Определяет включение параметра ASPEnableParentPaths. При включении родительских путей на страницах Active Server Pages (ASP) используются относительные пути от текущего каталога к домашнему каталогу (пути, использующие символ "..").
• Демонстрационные приложения IIS. Определяет установку на компьютере папок с демонстрационными файлами:

  \Inetpub\iissamples
  \Winnt\help\iishelp
  \Program Files\common files\system\msadc

  Эти каталоги и все виртуальные каталоги нужно удалить.
• Члены роли Sysadmin (Системный администратор). Определяет число членов роли Sysadmin и отображает результаты в отчете безопасности. Как правило, в роли Sysadmin должно содержаться как можно меньше пользователей.
• Окончание срока действия пароля. Определяет наличие в учетных записях локального пользователя пароля с неограниченным сроком действия. Пароли должны регулярно меняться для предотвращения атак на взлом паролей. Такие учетные записи будут указаны в отчете.
• Ограничение анонимных пользователей. Определяет использование ключа реестра RestrictAnonymous для ограничения анонимных подключений разрешениями Read (Чтение) или Read and Execute (Чтение и выполнение) в каталогах сценариев (если они имеются).
• Общие объекты. Определяет наличие общих папок. В отчете будут показаны все найденные на компьютере общие объекты, включая администраторские общие папки, а также их разрешения уровня общего доступа и уровня NTFS. На веб-сервере ни в коем случае не должны присутствовать общие папки!

Перед запуском MBSA следует уяснить две вещи. Во-первых, проверка входа вызовет создание записей в журнале событий безопасности, если на компьютере включен аудит событий входа/выхода из системы. Во-вторых, тест на ненужные службы использует файл services.txt в качестве контрольного списка. Отредактируйте этот файл таким образом, чтобы он содержал конкретные службы для проверки на каждом сканируемом компьютере. Файл services.txt, устанавливаемый по умолчанию с этой программой, содержит следующие службы:

MSFTPSVC (FTP)
TlntSvr (Telnet)
RasMan (Диспетчер службы удаленного доступа)
W3SVC (WWW)
SMTPSVC (SMTP)

Перечень остальных служб, которые необходимо отключить, см. в "Подготовка и укрепление веб-сервера" .

Тестирование на уязвимость в реальном режиме

Специалисты в области информационной безопасности рекомендуют проводить тестирование в реальном режиме для проверки воздействия атак, посредством которых хакеры определяют степень защищенности веб-сайта. В статье "Переоценка уязвимости: превентивные меры по обеспечению безопасности вашей организации", опубликованной на веб-сайте SANS, говорится, что при проведении переоценки уязвимых мест используемый набор средств должен быть похож на тот набор инструментов, который использует противник. Это обеспечит защищенность систем от атак, которые в данный момент находятся на пике популярности среди хакеров.

Ниже приведен список некоторых полезных средств, которые можно бесплатно загрузить из интернета. Коммерческое программное обеспечение для сканирования выпускается такими производителями как Symantec, Network Associates, BindView, eDigital Security и Internet Security Systems.

• Nmap – утилита для исследования сети и/или аудита безопасности. Быстро и аккуратно сканирует сети и определяет доступные узлы, работающие службы и используемые операционные системы. Доступна по адресу http://www.insecure.org.
• Nessus – удаленный сканер безопасности. Осуществляет аудит сети и определяет наличие уязвимых мест. Программа запускает имеющиеся в ее комплекте эксплоиты и выводит отчет о степени успеха работы каждого из них. Доступна по адресу http://www.nessus.org.
• Whisker – интернет-сканер CGI. Осуществляет сканирование на предмет наличия известных уязвимых мест в веб-серверах с предоставлением URL, вызвавшего событие. Определяет тип функционирующего веб-сервера, легко обновляется и имеет множество полезных возможностей. Доступна по адресу http://www.wiretrip.net/rfp/p/doc.asp?id=21&iface=2.
• Enum – консольная Win32-утилита для сбора информации. С помощью недействительных сеансов получает перечни пользователей, компьютеров, общих объектов, имен, групп и членов групп, а также информацию о паролях и политике. Осуществляет примитивную атаку грубой силы, направленную на отдельные учетные записи. Доступна по адресу http://razor.bindview.com/tools/index.shtml.

Некоторые из этих средств работают под Windows, некоторые – под UNIX или Linux. Если вы немного разбираетесь в хакерстве, имеете доступ к платформам, использующим отличную от Windows платформу, и достаточно времени для тестирования, то сможете самостоятельно выполнить нужные тесты для подтверждения защищенности сервера. Однако большинство из вас не сможет этого сделать.

Существует альтернативный подход. Один из вариантов – обращение к консультанту. Также можно использовать новый, доступный в интернете, тип служб, осуществляющий автоматическое сканирование сайта. Выполнив поиск в системе Google по строке "Online Vulnerability Testing Service", вы получите перечень компаний, предлагающих подобные услуги. Некоторые из этих услуг имеют бесплатные демонстрационные версии, и вам стоит потратить время на их изучение.