| ||||||||||||||||
 | ||||||||||||||||
| ||||||||||||||||
 | ||||||||||||||||
| ||||||||||||||||
|
|
Защита Windows NT от локальных атак В предыдущей заметке были описаны основные средства защиты от сетевых атак. Здесь же речь пойдет об атаках локальных. То есть осуществляемых посредством локальной консоли. К сожалению, если компьютер часто остается без присмотра, любая защита бесполезна. Но можно предпринять кое-какие действия, чуть-чуть усложняющие жизнь потенциальному врагу. Блокирование базы данных безопасности. С помощью утилиты syskey.exe вы можете сделать недоступным вход в систему без специального пароля или ключевой дискеты. (Требуется установленный Service Pack #3 или выше). Блокирование загрузки с дискет и CD. Установите в BIOS порядок загрузки, предусматривающий приоритетное обращение к жесткому диску. Если Вам не требуется 3,5" дисковод, отключите FDD Controller. Установите пароль на доступ к BIOS. Увы, этот номер не пройдет со старыми версиями BIOS, имеющими "черный ход" (Backdoor). Это, например, некоторые версии Award Software BIOS (пароль "AWARD_SW"), AMI BIOS (пароль "AMI"). Блокирование загрузки крайне желательно, так как в противном случае можно запустить MS-DOS с дискеты, запустить драйвер и прочитать любые данные с жесткого диска, в том числе и разделы Реестра, содержащие сведения об учетных записях. Настройка системной политики. В комплект административных утилит входит программа System Policy Editor (poledit.exe). Она позволяет максимально гибко сконфигурировать разрешения и запреты на определенные действия для любого пользователя или группы. Блокирование доступа к Реестру. Многие ключи Реестра могут быть подвергнуты модификации любым пользователем, в результате чего происходит изменение конфигурации компьютера. Это обычно делается при помощи программ Regedit.exe, Regedt32.exe, а также reg-файлов, которые обрабатываются утилитой regedit.exe. Можно установить права доступа (ACL) к ключам средствами программы Regedt32, однако структура Реестра слишком сложна, чтобы сделать это правильно. Поэтому имеет смысл установить права доступа к программам regedit.exe и regedt32.exe, чтобы в большинстве случаев избежать несанкционированных изменений. Запрет на перезагрузку. Кнопка, позволяющая перезагрузить компьютер, не выполняя вход в систему, должна быть заблокирована. Для NT Server такой режим устанавливается по умолчанию, для NT Workstation это достигается модификацией (1 -> 0)ключа Реестра HKLM\SOFTWARE\Microsoft\Windows NT\ CurrentVersion\Winlogon\ShutdownWithoutLogon Установка экранных заставок. Установите защищенную паролем экранную заставку. Не забудьте инсталлировать Scrnsav-fix, иначе злоумышленник сможет узнать текущее содержимое буфера обмена посредством процесса WinLogon (для этого достаточно просто выбрать поле "Login" и нажать Shift+Ins). Следует помнить, что в последнее время появилось изрядное количество заставок-троянцев, которые, будучи запущенными от имени администратора, могут произвести весьма нешуточные изменения в списке пользователей. Кстати, кое-что о троянцах. Клавиатурная комбинация CTRL + ALT + DEL всегда перехватывается системным процесом WINLOGON.EXE. Подменить его фальшивкой весьма непросто, а вот создать и подсунуть пользователю имитацию диалогового окна с полями "логин/пароль" намного легче. Таким образом, Windows NT предоставляет практически стопроцентную гарантию подлинности авторизующей программы: если перед набором данных Вас не просят нажать CTRL + ALT + DEL, то наверняка имеет место присутствие приложения-троянца. Некоторые дополнительные рекомендации вы найдете в заметках о системном Реестре Windows NT. |
|
|
| ||||||||||||||||
| ||||||||||||||||
| ||||||||||||||||
|