30-11-05 13:25
10 koraka do veće sigurnosti Windows računala
piše BORIS TROJAN
Osnovnu sigurnost klijenata u mreži postižemo implementacijom 10 jednostavnih koraka koji su većinom automatizirani konfiguracijom Group Policya i Security predložaka na serveru. Ovu implementaciju bilo bi dobro primjenjivati u svakodnevnoj praksi i prihvatiti je kao podrazumijevanu. Važna napomena je da ova praksa cilja prvenstveno na zaštitu od automatiziranog i programiranog zloćudnog koda. Možda će vam se učiniti da ovi koraci zahtijevaju puno posla, no pokušajte zamisliti koliko posla oduzima kontinuirano uklanjanje spywarea i crva. Ova implementacija učiniti će vašu mrežu definitvno manje otvorenom zloćudnom kodu i hakerima, a ujedno će smanjiti količinu problema koji ne dolaze od strane korisnika. Naravno da implementacijom svih 10 koraka nećete stvoriti savršeno sigurnu mrežu. Klijentska računala uvijek će biti ranjiva na najnovije exploite o kojima "prvog dana" nema informacija dok će unutar lokalne mreže uvijek biti korisnika koji moraju instalirati svaki program na koji naiđu, otvoriti svaki privitak elektroničke pošte i kliknuti na svaki link. No, ovom implementacijom povećat ćete sigurnost vaše mreže koliko je to moguće, a ujedno ćete stvoriti odličan temelj za daljnje učvršćivanje sigurnosti.
Korak 1: Ne dozvoliti krajnjim korisnicima logiranje s administratorskim ovlastima
Postoje navodi da se 70% napada na klijentska računala mogu spriječiti ako krajnji korisnik radi bez administratorskih ovlasti. Većina zloćudnog koda neće se pravilno instalirati ako je krajnji korisnik logiran u najniže privilegiranoj korisničkoj grupi. Administratori često korisnicima daju administratorske ovlasti da bi mogli instalirati i pokretati programe, no na taj način daju im i ključ cijelog sustava.
Ako ste primorani običnim korisnicima davati administratorske ovlasti, a koristite Windows XP klijente, barem se poslužite SRP-om (Software Restriction Policies) - ovako ćete moći postaviti opću politiku pokretanja programa. Ili su svi programi dozvoljeni za pokretanje osim onih koje eksplicitno zabranite, ili su svi programi zabranjeni za pokretanje osim onih koje eksplicitno dozvolite. Ova druga politika je sigurnija, ali zahtijeva više testiranja. SRP politika omogućuje definiranje izuzetaka sortiranjem prema putanji datoteke, putanji unutar registry baze, hash vrijednosti programa, digitalnog potpisa ili prema Microsoft IE Security Zone postavkama.
Konačno, ako ne možete zaustaviti pokretanje neautoriziranih programa, ne možete ni garantirati sigurnost. Također, ne treba zaboraviti ni kontrolu dozvola na datotekama i direktorijima preko NTFS postavki sigurnosti.
Korak 2: Dozvolite bootanje računala samo s primarnog diska
Isključivanje bootanja računala s disketa i CD medija efikasno štiti protiv programa za resetiranje ili razbijanje lozinki, spriječava podizanje boot virusa i spriječava zloćudne programe namijenjene bootanju uz zaobilaženje NTFS dozvola. Ako je potrebno bootati stroj radi troubleshootinga, promijenite boot sekvencu zavisno od situacije. Također, isključite USB portove. Podsjetite se da se lozinka za BIOS najčešće olako preskače kao mjera sigurnosti računala.
Korak 3: Preimenujte korisničko ime administratora i drugih visoko privilegiranih korisničkih računa
Većina napada je automatizirana i programirana tako da cilja na korisnički račun administratora. Iako se SID administratorskog računa ne može mijenjati, dobro je znati da većina zloćudnog koda ne funkcionira na razini SID oznaka. Najjednostavnije je promjeniti imena osjetljivih korisničkih računa, a najbolje bi bilo da imena slijede pravila imenovanja običnih korisnika na sustavu. Nadalje, nije loša ideja stvoriti lažne zamjenske korisničke račune koji će simulirati čak i podrazumijevane opise (descriptions). Napravite restrikcije na ovim računima i postavite kompleksne lozinke s 15 ili više znakova. Na kraju, postavite audit za njihov pristup.
Korak 4: Praksa za obranu od razbijanja lozinki
Većina će programa za razbijanje lozinki biti nemoćna ako implementirate mjere sigurnosti koje obuhvaćaju isključivanje pohrane LM hasha, isključivanje LM i NTLMv1 protokola, korištenje politike jakih lozinki te aktiviranje zaključavanja korisničkih računa.
Isključivanje LM hasha: LM (LAN Manager) hashevi lozinki lako se razbijaju metodom brute force. Svi Windows sustavi pohranjuju LM hash lozinke, a za njegovo stvaranje koristi se vrlo slaba enkripcija, iako postoje mnogo jače alternative. Dobra stvar je preko Group Policya isključiti spremanje ovog hasha. Sustav će nastaviti spremati i koristiti hash lozinke koje će biti stvorene jačom metodom enkripcije NTLM (NT LAN Manager).
Korištenje NTLM verzije 2 ili više verzije: svi Windows 2000 i kasniji sustavi koriste Kerberos protokol za autentikaciju na domeni. No, svi sustavi uz Kerberos moraju koristiti barem još jedan protokol za autentikaciju (LM, NTLM ili NTLMv2) u mrežama koje ne koriste sustav domena. Isključite korištenje protokola LM i NTLM i to nakon što ste testirali rad svih aplikacija na sustavu. Danas ne postoji program koji će razbiti lozinku koja se temelji na NTLMv2 protokolu pod uvjetom da je lozinka dovoljno kompleksna. Preporuča se korištenje lozinki-fraza dužine do 15 znakova.
Uključite politiku jakih lozinki: zahtijevajte od korisnika da koriste lozinke dužine od najmanje 15 znakova, te postavite njihovo trajanje na 90 ili manje dana. Ove opcije lako su podesive preko Group Policya ili registry baze podataka.
Aktivirajte zaključavanje korisničkih računa: konfigurirajte zaključavanje korisničkih računa nakon tri uzastopna pogrešna pokušaja. Postavite vremensko razdoblje od 1 minute za resetiranje ovog pravila da bi izbjegli potrebu ručnog otključavanja zaključanih računa. I ovako kratko vrijeme zaključavanja računa sasvim je dovoljno za obranu od online programa za razbijanje lozinki metodom brute force.
Korak 5: Ojačajte sigurnost servisa
Obrana Windows sustava od napada značajno će se pojačati ako isključite nepotrebne servise, a naročito ako ih pokrećete na netipičnim portovima kad god je to moguće.
Isključivanje nepotrebnih servisa: prilikom nove instalacije sustava, Microsoft OS nudi više od sto servisa koji se mogu aktivirati. Manje pokrenutih servisa znači manju površinu za napad. Jednostavno pravilo je "ako ga ne trebate, ugasite ga". Internet vrvi savjetima o isključivanju servisa.
Pokretanje servisa na netipičnim portovima: servise koji za svoj rad ne zahtijevaju tipični port, dobro je pokrenuti na nekom drugom, po mogućnosti visokom portu koji skeneri portova neće naći istog trena ili ga neće znati povezati s ulogom servisa. Dobar primjer je extranet web site koji koristi sigurni HTTP protokol, odnosno port 443. Informacija o novom visokom portu može se poslati u email poruci u obliku linka, a korisnike extraneta navesti da ga spreme na desktop - na ovaj način korisnici nemaju problema s pristupom, a crvi ostaju frustrirani.
Korak 6: Blokirajte pristup opasnim datotekama
Standardna instalacija Windowsa u sebi sadrži mnogo datoteka za pokretanje koje će u velikom postotku prije iskoristiti napadač nego legitimni korisnik. Unutar direktorija System32, naprimjer, mogu se naći datoteke debug.exe, format.exe, sys.com, regedit.exe, itd. koje prosječni korisnik vjerojatno neće koristiti u radu. Sve što je potrebno je da korisnicima skinete dozvole za čitanje i pokretanje s ovakvih datoteka (podrazumijevano, svi AUTHENTICATED USERS imaju read i write dozvole na sve datoteke u direktorijima Windows i System32). Prisjetite se da ne treba koristiti tehniku Deny na grupama Users i Everyone jer i Administrator pripada tim grupama.
Korak 7: Osigurajte Registry bazu podataka
Registry baza podataka se često zaboravlja prilikom osiguravanja sustava. Blokiranjem pristupa ključevima Registry baze podataka za koje se može pretpostaviti da mogu biti zloćudne mete, značajno ćete učvrstiti sigurnost Windows klijenta.
Blokiranje dozvole pisanja opasnim ključevima: većina zloćudnih programa cilja na \Run ključ u Registry bazi koja služi za pokretanje programa prilikom podizanja sustava ili na direktorij Startup. Postoji barem dvadesetak ključeva preko kojih dozvolom pisanja zloćudni program može narušiti sustav. Sysinternals nudi besplatan alat koji će vas naučiti na koje ključeve treba sumnjati (http://www.sysinternals.com/utilities/autoruns.html). Preko dozvola za ključeve Registry baze (Regedit-Edit-Permissions...) uklonite dozvolu za pisanje običnim korisnicima. Ne zaboravite da HKEY_LOCAL_MACHINE nije jedini opasan hive; osigurajte i HKEY_CURRENT_USERS.
Blokiranje nepotrebnih asocijacija datoteka: ako vatrozidi rade po pravilu deny-by-default, zašto ne bi i vaši desktopi? Podrazumijeva se da bilo koja datoteka prilikom aktivacije na desktopu pokreće program koji je asociran preko njene ekstenzije. Primjerice, VBS email crvi pokreću se preko Windows Script Host (WSH - wscript.exe) - ako administrator koristi VBS za kontrolu okoline, zašto se ne bi služio drugom ekstenzijom? Nadalje, zašto bi korisnici mogli pokretati svaku datoteku s ekstenzijama .cpl, .bat, .cmd ili .shs unutar svojih email poruka? Blokirajte pokretanje određenih ekstenzija datoteka dozvolama na HKEY_CLASSES_ROOT hiveu.
Korak 8: Promijenite format email poruka sa HTML u Plain Text
Obrana od spama, spywarea i hackiranja bit će uspješnija ako ukinete HTML format email poruka. Ovdje je potrebno odvagnuti između potrebe korisnika za lijepo uređenim HTML porukama i svakodnevnog troubleshootinga računala.
Korak 9: Koristite vatrozide, antivirusna, antispam i antispyware rješenja
Prošli su dani kad je vatrozid osiguravao samo perimetar. Crvi zaustavljeni na prednjim vratima mreže, šuljaju se kroz VPN, nova preinstalirana računala ili udaljene laptope. Korisno je svako računalo zaštiti vlastitim vatrozidom. Dobro konfiguriran Windows Firewall (Internet Connection Firewall-ICF) dobro obavlja svoju zadaću bez obzira na kritike. Ovaj program podrazumijevano blokira sve dolazne konekcije koje prethodno nisu inicirane izlaznom konekcijom - ovakva funkcionalnost sigurno zaustavlja zloćudni kod. Nadalje, postoje solidni vatrozid programi besplatni za korištenje. Iako vatrozidi i antivirusni programi neće spriječiti useljavanje svakog zloćudnog koda na desktop, ipak će zaustaviti veliku većinu. Antivirusni program potrebno je uvijek imati na mreži, ako ne na hostovima onda barem na email serveru i internet gatewayu.
Korak 10: Provjeravajte i instalirajte najnovije zakrpe
Iako svake godine izlazi tek nekoliko najnovijih i nepoznatih exploita, njihov broj se stalno povećava. Većina exploita izbjegava se praćenjem i instalacijom najnovijih zakrpi. Najbolje je korisiti besplatni Microsoft Windows Server Update Services (WSUS-http://www.microsoft.com/windowsserversystem/updateservices/default.mspx). Nažalost, dobra praksa krpanja pretpostavlja i kontinuirano praćenje i instalaciju zakrpi za aplikacije, firmware i hardware zakrpi te instalaciju najnovijih pogonskih programa.
Linkovi:
Sprječavanje spremanja LM hasha
http://support.microsoft.com/default.aspx?scid=KB;EN-US;q299656&
Deaktivacija LM autentikacije
http://support.microsoft.com/kb/q147706/
Aktivacija NTML2 autentikacije
http://support.microsoft.com/default.aspx?scid=kb;en-us;Q239869
|
