Учетные записи, аутентификация и политика безопасности
Отключение прав на администрирование хранилища для группы Everyone
Один из параметров безопасности по умолчанию в Windows 2000 и IIS создает уязвимое место в настройках устройств хранения данных, так как группе Everyone (Все пользователи) при установке присваиваются права полного контроля по умолчанию. Следует отключить для этой группы права полного контроля и управления устройствами сервера.
Группа Everyone состоит из множества пользователей, включая анонимных, поэтому данный параметр предоставляет полномочия слишком большому кругу пользователей. Такими правами на доступ к серверу обладают только администраторы или пользователи, ответственные за работу сервера.
Если вы создали отдельный раздел для веб-содержимого, то придется выполнить процедуру отключения прав для группы Everyone на нескольких дисках. Ниже приведены соответствующие инструкции.
- Откройте Windows Explorer (Start\Accessories\Windows Explorer –Пуск\Программы\Проводник Windows) или дважды щелкните на значке My Computer (Мой компьютер) на рабочем столе и найдите устройства, с которыми будете работать.
Совет. Для установки разрешений на доступ и управление в корневом каталоге устройства используется консоль MMC Computer Management (Управление компьютером). Однако функции консоли не настолько гибки для выполнения этой задачи, как возможности Проводника Windows.
- Щелкните правой кнопкой мыши на нужном устройстве и выберите Properties (Свойства). Появится окно Local Disk Properties (Свойства локального диска). Откройте вкладку Security (Безопасность).
- Удалите группу Everyone (Все пользователи), выделив ее и нажав на кнопку Remove (Удалить). Если параметры накопителей сервера изменились в процессе работы после создания групп и учетных записей в списках ACL, то их также следует удалить. После этого нажмите на кнопку Apply (Применить) для сохранения изменений в системе.
- Повторите шаги 1 – 3 по отношению к остальным устройствам.
Присвоение прав полного доступа группам Administrators и System
После исключения ненужных групп из списков ACL накопителей можно добавить нужные группы и учетные записи и установить для них права и разрешения. Группы по умолчанию Administrators (Администраторы) и System (Система) добавляются в обязательном порядке. Группа System представляет операционную систему, которой, естественно, требуется доступ ко всем ресурсам компьютера. Члены группы Administrators осуществляют управление сервером. Можно добавить и другие группы, если стратегия управления и политика безопасности организации предусматривает использование вспомогательных ролей с некоторыми наборами администраторских полномочий.
Для добавления нужных групп выполните следующие шаги.
- Откройте окно Start\Administration Tools\Computer Management (Пуск\Администрирование\Управление компьютером) и найдите диски компьютера в дереве ресурсов консоли или перейдите к соответствующему устройству с помощью Проводника Windows.
- Щелкните правой кнопкой на нужном диске и в появившемся меню выберите Properties для открытия окна Local Disk Properties (Свойства локального диска). Откройте вкладку Security (Безопасность) и нажмите на кнопку Add (Добавить) для добавления новых групп в ACL.
- Выделите группы Administrators и System и нажмите на кнопку Add для внесения изменения. Нажмите на OK для сохранения изменений и возврата в окно Local Disk Properties.
После добавления групп и учетных записей установите права и разрешения. Группам Administrators и System следует присвоить права полного доступа к устройству и настроить устройство на наследование разрешений при создании новых директорий на диске.
Ниже приведены инструкции по установке разрешений для каждой группы или учетной записи, добавленной в список ACL.
- На вкладке Security (Безопасность) окна Local Disk Properties (Свойства локального диска) выделите группу Administrators в верхнем окне, чтобы отобразить права и разрешения групп в нижнем окне, как показано на рисунке.
- Отметьте опцию Full Control Allow (Разрешить полный доступ) для включения всех разрешений для группы, затем нажмите на Apply (Применить) для сохранения изменений. Для новой учетной записи нужно включить наследование для рассматриваемого объекта.
- Нажмите на кнопку Advanced (Дополнительно), расположенную внизу диалогового окна, чтобы отобразить окно Access Control Settings for Local Disk (Параметры контроля доступа для локального диска) (см. рисунок).
- На вкладке Permissions (Разрешения) отметьте опцию Reset Permissions On All Child Objects And Enable Propagation Of Inheritable Permissions (Сброс разрешений на всех дочерних объектах и передача наследуемых разрешений). Нажмите на OK, чтобы сервер обновил реестр Windows 2000, записав в него новые настройки. В запросе на подтверждение нажмите на кнопку Yes (Да) для продолжения работы.
Совет. При выполнении процедуры может появиться сообщение об ошибке, информирующее о том, что разрешения в файле Pagefile.sys не могут быть обновлены, так как файл занят. Этот файл используется процессом виртуальной памяти компьютера, и сообщение об этой ошибке всегда отображается при включенной виртуальной памяти. Проигнорируйте эту ошибку.
- Повторите шаги 1 – 4 для каждого носителя информации.
Совет. Перед нажатием на кнопку OK для переустановки разрешений для всех объектов убедитесь, что все остальные приложения и файлы закрыты, иначе при обновлении реестра появятся сообщения об ошибках.
Изменение имени учетной записи Administrator и создание устойчивого пароля
Поскольку Administrator является учетной записью по умолчанию, она часто используется при проведении атак, так как о ней известно большинству хакеров. Вы будете сильно удивлены, когда узнаете о том, насколько часто эти атаки заканчивались успехом в случае недостаточно стойких паролей. Одним из способов защиты является переименование учетной записи. Следует делать пароль администратора устойчивым (т.е. пароль должен представлять собой комбинацию букв, цифр и знаков препинания длиной не менее восьми символов) для противостояния атакам грубой силы и словарным атакам, направленным на взлом парольной защиты. Обе процедуры выполнить достаточно легко.
- В консоли MMC Computer Management (Управление компьютером) найдите папку Local Users and Groups (Локальные пользователи и папки) в дереве ресурсов консоли и откройте ее, чтобы отобразить показанный на рисунке список.
- Щелкните на пункте Users (Пользователи) для отображения списка учетных записей пользователей сервера в правом окне.
- Щелкните правой кнопкой мыши на учетной записи Administrator и выберите команду Rename (Переименовать). Присвойте учетной записи предпочитаемое имя.
- Если применен шаблон Hisec.web, то сервер предъявит повышенные требования к стойкости парольной защиты. Даже при отсутствии принудительной политики в учетной записи Administrator следует использовать пароль с высокой степенью устойчивости. Щелкните правой кнопкой мыши на переименованной учетной записи Administrator и выберите команду Set Password (Установить пароль), чтобы изменить текущий пароль на более устойчивый. Нажмите на OK для сохранения изменений.