Чтобы предотвратить катастрофу, опытный системный администратор старается не допускать явных недосмотров, наблюдает за подозрительными коллегами и беспечным директором по ИТ, быстро пресекает самодеятельность пользователей и прогнозирует «сюрпризы». Проницательный ИТ-специалист догадывается, что решить проблему помогают превентивные меры, и следует таким рекомендациям, как приведенные в данной статье, чтобы защитить ценную информацию.
Явные недосмотры
Одна из наиболее распространенных ошибок — не замечать очевидных угроз. Например, мне часто приходится слышать об украденных или потерянных ноутбуках, содержащих тысячи конфиденциальных записей или данные о кредитных картах. Каким образом вообще частные данные попали в ноутбук? И почему эти сведения оказались не зашифрованы?
Еще один типичный пример — недовольный сотрудник из мести удаляет важные для компании данные. Если бы в этой компании были назначены разрешения для доступа к файлам и папкам и регулярно выполнялось резервное копирование сервера файлов, то ущерб, нанесенный таким сотрудником, был бы минимальным. Эти очевидные уязвимые места легко устранить.
Системные администраторы-злоумышленники
Другая угроза безопасности исходит от непорядочных системных администраторов. ИТ-менеджерам следует остерегаться уволенных и мстительных коллег, подкладывающих «мины замедленного действия» по всей ИТ-инфраструктуре. Такие «мины» могут запустить процедуры удаления важных данных. В другое время они могут запускать сценарии, наносящие более серьезный вред, например перенастроить или удалить важные учетные записи домена, изменить пароль и запретить всем сотрудникам компании доступ к их компьютерам.
Такая перспектива доставляет массу хлопот ИТ-специалистам, поскольку в распоряжении человека с полным доступом к сети — бесконечное множество способов причинить вред. Системные администраторы-злоумышленники знают, что делают, и могут обойти любые меры защиты.
Беспечный директор по ИТ
Беспечный директор по ИТ тоже может быть опасен. Вам приходилось слышать о директоре, по неведению приказавшем внести изменения, из-за которых снижается безопасность ИТ-среды? В одной компании директор по ИТ настаивал, чтобы его включили в группу Enterprise Administrators, потому что должность менеджера выше, чем системного администратора. К сожалению, однажды директор привел на работу своего сына и позволил ему войти в сеть с привилегированными учетными данными. Администраторам компании потребовалось две недели, чтобы привести сеть в порядок, в том числе вернуть первоначальные имена нескольким явно переименованным учетным записям пользователей.
В другой компании директор по ИТ, действуя по просьбе финансового директора, обошел политику, не позволяющую пользователям устанавливать программы на ноутбуках. Подросток, сын финансового директора, захотел установить на мощном ноутбуке отца программы для игры через сеть. К сожалению, игровые программы были полны вирусов и червей. После того как финансовый директор вновь подключил ноутбук к корпоративной сети, было заражено множество компьютеров. Так что даже директор по ИТ, действующий из лучших побуждений, может поставить под угрозу всю сеть.
Пользовательская самодеятельность
ИТ-специалистам необходимо внимательно следить за пользователями, но трудно прогнозировать ущерб, который те могут необдуманно нанести компании. Бывали случаи, когда охранники отключали сигнал тревоги у аварийного выхода в центре обработки данных, чтобы оставить открытой входную дверь на время перекура. Подобные истории наглядно подтверждают правоту поговорки «от дурака защиты нет». Вывод для ИТ-специалиста: обычный сотрудник может быть очень забывчивым или чрезвычайно изобретательным при обходе политик и ограничений безопасности.
Кто бы мог подумать!
Некоторые опасности почти невозможно прогнозировать. Даже самые старательные, предусмотрительные специалисты не могут предвидеть все. Например, пораженный «червем» сервер антивирусных обновлений может заразить все остальные компьютеры в компании. Аналогично, портативные компьютеры, отправленные изготовителю для ремонта, могут вернуться, зараженные шпионскими программами. Такие опасности трудно предугадать, но ИТ-специалисты должны быть настороже и всегда в полной боевой готовности.
Что делать?
ИТ-специалистам, желающим устранить любые непосредственные опасности, о которых приходится слышать от коллег, необходимо регулярно и внимательно исследовать всю конфигурацию безопасности. Если они слишком сосредоточатся на текущей угрозе, то могут пропустить более серьезную опасность. Не стоит поддаваться на рекламу поставщиков, предлагающих быстрое решение проблемы, которой может не существовать в компании. Не особенно доверяйте консультантам и продавцам, которые рассказывают «страшные истории», а затем предлагают свой товар как единственное спасительное средство. Такие продавцы часто имеют лишь поверхностное представление о потребностях конкретной компании в сфере безопасности.
Например, в Internet легко найти рассказы об атаках путем инжекции кода SQL. Для защиты от подобных атак нужно, чтобы Web-приложение проверяло входные данные. Некоторые поставщики продают для этого специальные программы. Защита от атаки с инжекцией кода SQL — приоритетная задача, если у компании есть общедоступный Web-узел, который взаимодействует с базой данных, но она не столь неотложна, если единственное Web-приложение компании представляет собой редко используемый сайт корпоративной сети, на котором немного важных данных. Мне известен случай, когда ответственный сотрудник компании приобрел дорогостоящую программу для проверки данных, хотя немногочисленные базы данных, связанные с Web, в компании принадлежали отделу кадров и использовались для планирования ежегодных отпусков. Чтобы не допускать подобных ошибок, следует проанализировать общую картину функционирования компании, прежде чем принимать решение о безопасности.
Иногда не мешает и слегка напугать пользователей. Шквал «страшных историй», обрушившийся на ИТ-специалистов, может привести к неверному распределению ресурсов, но время от времени полезно рассказывать «страшилки» сотрудникам, не имеющим отношения к ИТ-технологиям, чтобы помочь им уяснить, зачем нужны не всегда понятные политики безопасности. Например, можно рассказать об одном финансовом учреждении, руководство которого заключило договор с компанией для проверки системы безопасности. Сотрудники компании разбросали миниатюрные USB-накопители на автостоянке рядом с учреждением. Проходящие мимо работники подбирали устройства и, не раздумывая, подключали к своим настольным компьютерам. Им было любопытно узнать, что записано на найденных устройствах. А на каждой «флэшке» содержались скрытые «троянские кони», которые активизировались при просмотре на первый взгляд безобидной коллекции картинок. В результате компьютеры пользователей оказались полностью под контролем посторонних лиц.
Этот пример показывает, почему в некоторых компаниях запрещено подключать к компьютерам неразрешенные USB-устройства хранения данных. В результате сложная политика становится более ясной и уже не воспринимается как произвол сисадмина.
Еще одна область, в которой может быть полезно «припугнуть» пользователей, — подготовка сотрудников, не имеющих отношения к ИТ, к атакам с применением методов социальной инженерии. Например, кто-то звонит сотруднику, представляется специалистом ИТ-подразделения и спрашивает пароль. Сотрудник сообщает пароль и внезапно теряет управление своей учетной записью. С помощью такой зарисовки можно объяснить, почему работники ИТ-подразделения должны идентифицировать себя, прежде чем им можно разрешить менять пароли.
Аналогично, изобретательные злоумышленники могут прийти на рабочее место пользователя и позвонить с него по телефону в ИТ-подразделение, попросив сменить пароль. Специалист ИТ-подразделения может подумать, что номер телефона звонящего достаточно надежно свидетельствует о его личности. Наслушавшись таких рассказов, пользователи лучше представляют себе опасность и с меньшей вероятностью поддадутся на уловки.
Как избежать катастрофы
Взвешенно оценивайте опасности, грозящие компании, и организованно противодействуйте им. Старайтесь не направлять все средства на борьбу с одной угрозой лишь из-за прокатившейся волны слухов. Анализируйте угрозу, исходя из опасности для вашей компании, а не ущерба, причиненного предыдущей жертве. Правильный подход к защите — не только обеспечить безопасность ресурса, но в первую очередь обосновать, почему это нужно сделать. Понимая, почему необходима защита, можно расставить приоритеты важности различных данных и оптимально задействовать доступные ресурсы в проектах безопасности.
Эффективный способ обеспечить безопасность — прислушаться к советам по превентивной защите данных. Ответы на приведенные ниже семь часто задаваемых вопросов из архивов Windows IT Pro помогут избежать неприятностей.
Вопрос 1
Как оценить безопасность информационной среды компании на высоком уровне?
Воспользуйтесь инструментом Microsoft Security Assessment Tool (MSAT) по адресу technet.microsoft.com/en-us/security/cc185712.aspx. После того как будет извлечено содержимое, запустите msi-файл, чтобы установить инструмент анализа и познакомиться с руководством пользователя.
MSAT не выполняет проверку системы. Это список из 172 вопросов относительно технических и бизнес-процессов, после ответов на которые формируется отчет об уязвимых местах на основе введенной информации. Администраторы могут использовать инструмент самостоятельно, но партнеры Microsoft также могут применять его, чтобы определить состояние безопасности своих клиентов.
— Джон Сэвилл
Вопрос 2
Как повысить безопасность эксплуатации компьютера?
Количество вредных программ в Web значительно возросло. Чтобы защититься от них, руководствуйтесь следующими правилами.
Проявляйте осмотрительность при посещении сайтов. Избегайте незнакомых и ненадежных сайтов, которые рекламируют сделки, слишком привлекательные, чтобы оказаться правдой. Не устанавливайте панели инструментов от незнакомых поставщиков. Рекомендуется использовать только панель инструментов MSN (toolbar.msn.com) или Google (toolbar.google.com). Снизить риск при посещениях Web позволят следующие меры:
-
Установите высокий уровень безопасности Microsoft Internet Explorer (IE).
-
Введите Web-сайты, которые можно считать безопасными, в категорию «Надежные узлы».
-
Читайте полученные сообщения электронной почты в простом текстовом режиме.
-
Заблокируйте всплывающие окна в браузере.
Указания по настройке IE можно найти по адресу www.microsoft.com/athome/security/online/browsing_safety.mspx. Дополнительные советы по безопасной работе в Web приведены по адресу www.intranetjournal.com/spyware/prevention.html.
Желательно применять только одобренные обновления безопасности. Всегда следуйте рекомендуемым методам обновления компьютера и используйте программные исправления с сайта windowsupdate.microsoft.com. Проверьте, установлены ли на компьютере новейшие исправления.
Кроме того, следует проявлять осторожность при получении файлов через систему мгновенного обмена сообщениями (IM) или ссылок как на известные, так и на неизвестные источники. Злоумышленник может изменить списки друзей и контактов так, чтобы казалось, будто ссылку прислал кто-то из знакомых. Прежде чем щелкнуть на ссылке, убедитесь, что отправитель действительно присылал ссылку.
Необходимо использовать защиту от вирусов. Всегда применяйте антивирусные продукты со свежими файлами определений вирусов. Список поставщиков антивирусных программ опубликован по адресу www.microsoft.com/security/partners/antivirus.asp. Также можно вручную запустить Microsoft Malicious Software Removal Tool. И наконец, следует использовать средство для защиты от шпионских программ.
— Джон Сэвилл
Вопрос 3
Когда нужно выполнять регистрацию с использованием учетной записи Administrator?
Правила безопасности запрещают применять учетную запись Administrator для выполнения повседневных задач из-за опасности возникновения проблем в результате неосмотрительного использования полномочий. Чтобы избежать таких проблем, следует подготовить обычную учетную запись пользователя для повседневных задач. Если требуется выполнить операцию, для которой необходимы локальные или доменные административные полномочия, используйте команду Runas. Эта команда ограничивает административные возможности конкретным заданием. Например, чтобы открыть командную строку с административными полномочиями, введите команду
runas/user:
administrator cmd
Чтобы открыть командную строку с административными полномочиями в домене, введите команду
runas/user: administrator@
cmd
В этой команде можно использовать формат именования NetBIOS.?Например, чтобы открыть командную строку с административными полномочиями в домене в своей сети, можно ввести
runas/user: savilltechadministrator
cmd
Любые команды, которые вводятся в новой командной строке, будут выполнены в команде Runas с соответствующими полномочиями пользователя.
«cmd» можно заменить любой командой. Например, для запуска оснастки Computer Management консоли Microsoft Management Console (MMC) введите
runas/user:
"mmc%windir%system32
compmgmt.msc"
Для запуска оснастки Active Directory Users and Computers консоли MMC следует ввести
runas/user:
"mmc%windir%system32dsa.msc"
Например, чтобы открыть эту оснастку на своем компьютере, я ввел
runas/user: administrator@savilltech.
com "mmc%windir%system32dsa.msc"
При выполнении команды Runas на клиентском компьютере (например, Windows XP или Windows 2000 Professional Edition) она завершится неудачей, если не установить административные инструменты. Использование команды Runas требует некоторых дополнительных усилий, но можно подготовить быстрый вызов часто применяемых команд и значительно повысить безопасность. При возникновении проблем убедитесь, что активна служба Secondary Logon, необходимая для команды Runas.
— Джон Сэвилл
Вопрос 4
Как защитить учетные записи служб от злоупотреблений?
Администраторы часто создают специальные учетные записи для определенных служб (хотя в настоящее время во многих продуктах используется Local System, чтобы обойти это условие). Пользователи, которым известен пароль учетной записи службы, могут выполнить регистрацию, и впоследствии за их деятельностью трудно следить. После того как администратор увольняется, его учетную запись можно отключить, но пароли учетных записей службы могут остаться неизменными. Один из способов защитить эти учетные записи — помешать пользователям задействовать их для регистрации. Этого можно добиться, удалив следующие разрешения:
-
Log on locally (локальная регистрация в системе). Позволяет зарегистрироваться на консоли с данной учетной записью.
-
Access this computer from the network (доступ к компьютеру из сети). Обеспечивает доступ к таким ресурсам, как общие папки на других компьютерах. Если службе нужно обращаться к удаленным ресурсам, то отключить это право нельзя.
-
Log on through Terminal Services (регистрация в системе через службу терминалов). Позволяет выполнить регистрацию через службу терминалов Windows 2000 Server.
При обычных обстоятельствах учетным записям служб необходимо право Log on as a service, поэтому убедитесь, что у них есть такое разрешение. Но если службе необходим дистанционный доступ к другим ресурсам, то ей может потребоваться Access this computer from the network. Самый простой способ удалить три разрешения — создать группу и поместить в нее все учетные записи служебного типа. Затем подготовьте объект групповой политики (GPO), который отменяет упомянутые разрешения, и примените его на уровне, который влияет на все учетные записи пользователя (например, в домене). Запрет всегда имеет приоритет перед разрешением.
— Джон Сэвилл
Вопрос 5
Как подготовить значение хеша для файла или папки?
Иногда бывает необходимо, чтобы один файл имел такую же версию и такое же содержимое, как другой, — например, отправляя файл другому лицу, полезно проверить, что он не искажен и не изменен. Хеш — алфавитно-цифровая строка, сформированная в соответствии с содержимым файла. Если содержимое файла изменяется, то изменяется и хеш. Компания Microsoft выпустила утилиту для формирования значений хеша. Ее можно загрузить по адресу download.microsoft.com/download/c/f/4/cf454 ae0-a4 bb-4123–8333-a1 b6737712 f7/windows-kb841290-x86-enu.exe. Программа извлекается в папку, указанную пользователем. Она состоит из файла readme и утилиты fciv.exe, которая формирует значения хеша. Синтаксис команды для формирования хеша файла
fciv d: empyodapepsi.mpg
После ввода команды появится сообщение наподобие представленного ниже, сгенерированное значение хеша и имя соответствующего файла:
//
//File Checksum Integrity Verifier
version 2.05.
//
253f066ffa7c50e1e03fa588f23e3230 d:
tempyodapepsi.mpg
Чтобы подготовить хеши для каждого файла в папке, достаточно просто указать имя папки, как показано в следующем примере:
fciv d: emp
Вывод команды примерно следующий:
//
//File Checksum Integrity Verifier
version 2.05.
//
5d5d1f14c8704e935a87ad78fc535bea d:
temp70298 Training.pdf
8658bf85ba3ebe184c6d5cd0269a9e89 d:
tempBO-DFRS Transcript.doc
427048a497768d91cd57e29fb0199d2b d:
tempBODFRS Live Meeting.wmv
253f066ffa7c50e1e03fa588f23e3230 d:
tempyodapepsi.mpg
В файле readme содержатся дополнительные примеры использования fciv.exe, в том числе с применением иных алгоритмов и формирования значений хеша для всего дерева папок.
— Джон Сэвилл
Вопрос 6
Какие методы проверки подлинности существуют для Active Directory (AD)?
Kerberos — основной механизм проверки подлинности, появившийся в Windows 2000 и AD.?Однако в целях обратной совместимости сохраняются и прежние протоколы проверки подлинности. Ниже приводится сводка существующих протоколов.
LAN Manager. Компании Microsoft и IBM создали этот протокол для OS/2. Это наименее безопасный из всех протоколов проверки подлинности, он использовался в основном в Windows Me и Windows 9x. В LAN Manager применяется 32-разрядный хеш пароля из двух частей. Первые семь символов пароля составляют первую часть хеша, а последние семь символов — вторую часть (поэтому размер пароля не может превышать 14 символов). Следовательно, если пароль состоит из семи символов, то вторые 16 символов хеша пароля будут такими же, как первые 16 символов. Таким образом, злоумышленник может догадаться, что длина пароля — всего семь символов.
NT LAN Manager (NTLM). Более надежный протокол проверки подлинности «запрос-ответ», чем LAN Manager. Для безопасности применяется 56-разрядное шифрование, а пароли хранятся в NT-хэше. Протокол используется клиентами Windows NT 4.0 Service Pack 3 (SP3) и более старыми.
NTLMv2. В этой версии протокола NTLM используется 128-разрядное шифрование. Она применяется в компьютерах NT 4.0 SP4 и более новых. Это наиболее надежная из существующих проверок подлинности «запрос-ответ».
Kerberos. Kerberos — протокол проверки подлинности на основе билетов. Более подробное описание можно найти в статье «Win.NET Server и Kerberos» по адресу http://www.osp.ru/win2000/2003/02/175860/. Kerberos — самый безопасный метод проверки подлинности, который следует использовать всегда, когда есть возможность.
— Джон Сэвилл
Вопрос 7
Для защиты конфиденциальных файлов используется файловая система с шифрованием (EFS). Как избежать потери этих данных, если необходимо обновить компьютер или пользователь теряет компьютер и администратору приходится восстанавливать файлы из архивной копии?
Лучший способ избежать потери данных — сделать копию сертификата агента восстановления данных и/или сертификата EFS и частного ключа пользователя. Без одного из этих сертификатов и частного ключа восстановить зашифрованный файл обычно не удается.
Если компьютеры входят в домен Active Directory (AD), можно воспользоваться групповой политикой, которая позволяет установить единственный сертификат агента восстановления данных, применяемый для расшифровки и шифрования файлов в домене. Если центральный агент восстановления данных неприменим, то необходимо экспортировать сертификат EFS каждого пользователя вместе с частным ключом и сохранить в надежном месте.
Чтобы экспортировать сертификат, нужно зарегистрироваться от лица данного пользователя и открыть оснастку Certificates консоли Microsoft Management Console (MMC) (но не оснастку MMC Certificate Templates или оснастку MMC Certification Authority). Откройте папку PersonalCertificates пользователя и найдите сертификат EFS.?Щелкните правой кнопкой мыши и выберите команду All Tasks, Export. Нажмите кнопку Next на первой странице мастера, установите флажок Yes, export the private key, и нажимайте кнопку Next до тех пор, пока не появится запрос имени файла. Сохраните файл на каком-нибудь сменном носителе и завершите работу мастера. Сохраните сертификат в безопасном месте.
В будущем, если пользователь не сможет получить доступ к файлу (восстановленному на новом компьютере или после переустановки Windows), импортируйте сертификат с помощью оснастки Certificates, и проблема будет решена. Последнее замечание: беспокойство о потере данных оправданно. В EFS нет запасного выхода; теряя ключи, пользователь теряет данные.
— Рэнди Франклин Смит
Круговая оборона
Следуя советам, приведенным в данной статье, и используя превентивный подход к мониторингу всей конфигурации безопасности, катастрофы можно избежать. Если затратить время и ресурсы на превентивные меры, никакого бедствия, скорее всего, не произойдет. В долгосрочной перспективе компания сэкономит деньги, а администраторам не придется опасаться опрометчивых действий окружающих.
Орин Томас (orin@windowsitpro.com) — редактор Windows IT Pro