Укрепление (hardening) сервера
Журналирование в Windows NT 4.0
В Windows NT 4.0 есть несколько встроенных автоматических служб журналирования. Большинство служб пользуются EventLogs, с которой следует быть знакомым едва ли не каждому хорошему администратору систем Windows.
Замечание. Описанные здесь особенности журналирования применимы и к более поздним версиям операционной системы Windows, но рассказывается о них только в этом разделе.
Если на сервере запускаются какие бы то ни было службы Интернета (такие, как FTP, HTTP, SMTP и т. д.), их журналирование происходит посредством разных механизмов. Очень вероятно, что для настройки или отладки сервера будет использоваться приложение "Монитор производительности" (Performance Monitor). Это приложе- ние не пользуется услугами журнала приложений службы EventLog, а вместо этогведет свой собственный набор журналов.
И наконец, один из наиболее важных аспектов системы – расписание автоматически выполняемых заданий – ведет свой журнал посредством еще одной службы. Поскольку в Windows NT нет нормальной централизованной службы ведения журналов, каждый должен заботиться сам о себе.
Самое первое, что нужно сделать, – это вынести все журналы на отдельный журнальный раздел. Было бы удобно, хотя и не обязательно на все 100 %, использовать в качестве такого раздела отдельный диск, чтобы не влиять на производительность работы с частью данных на сервере. После того как журнальный раздел создан, следующий шаг – перенести туда все журналы из их мест размещения по умолчанию.
Зачем все это? Если все журналы собраны в одном месте, процедура поддержки работающего сервера становится намного легче. Это дает возможность выполнять автоматическое резервное копирование и архивирование для последующего разбора и обработки.
EventLogs
EventLogs – это встроенные в Windows NT журналы событий, которые используются по умолчанию и могут быть просмотрены через обозреватель событий (Event Viewer). В Windows NT EventLogs является эквивалентом службы syslogs в операционной системе UNIX.
Сама служба EventLog состоит из журнала приложений (Application Log), журнала безопасности (Security Log) и системного журнала (System Log). Большинство приложений, служб и системных событий Windows NT записывают свои отчеты в соответствующие категории. Каждая из категорий фактически обладает своим собственным отдельным физическим файлом, который может быть перемещен.
Эта задача выполняется редактированием следующих ключей реестра:
HKEY_LOCAL_MACHINE\SYSTEM \CurrentControlSet\Services\Eventlog\Application \CurrentControlSet\Services\Eventlog\Security \CurrentControlSet\Services\Eventlog\System
File
Значения параметров "File" следует установить в новое имя папки раздела журнальных файлов. После редактирования этих значений сервер должен быть перезапущен, чтобы изменения вступили в силу.
Службы Интернета
Службы, предоставляемые инфраструктурой Windows IIS Web-сервера, генерируют журналы для каждой из них: Web, FTP и SMTP. Журналы службы Интернета уникальны в том смысле, что для автоматического перехода к новому журналу можно настроить временной интервал. А имя журнального файла может основываться на определенном периоде времени.
Для изменения размещения этих журнальных файлов отредактируйте свойства корневой папки Web или FTP. Выберите свойства файла журнала и в диалоговое окно "Свойства" (Properties) введите новое размещение раздела журнальных файлов.
Журналы производительности
Журналы производительности создаются счетчиками монитора производительности (Performance Monitor). По умолчанию они находятся в %SystemDrive%\PerfLogs. Это значение может быть изменено редактированием параметра DefaultLogFileFolder в следующем ключе реестра:
HKEY_LOCAL_MACHINE\SYSTEM \CurrentControlSet\Services\SysmonLog DefaultLogFileFolder
Журналы планировщика
Служба планировщика обычно находится в %SystemRoot%\SchedLgU.Txt. Журнал службы планировщика определяет все запланированные и выполняемые задачи, а также то, когда каждая из них началась и закончилась. Местонахождение этого файла может быть изменено редактированием значения LogPath в ключе реестра:
HKEY_LOCAL_MACHINE\SOFTWARE \Microsoft\SchedulingAgent LogPath
Этим завершается наше обсуждение укрепления Windows NT. Как уже упоминалось ранее, многое из рассмотренного здесь применимо и к новым версиям Windows. Однако, исходя из того факта, что после NT 4.0 в Windows было сделано множество улучшений, важно также рассмотреть и эти новые версии и наметить некие наиболее подходящие практические методы обеспечения безопасности с точки зрения процесса укрепления.
9.3.2 Укрепление Windows 2000
Windows 2000 является намного более большим и сложным продуктом, чем Windows NT 4.0, и, по сути, для полного анализа ее установок безопасности по умолчанию и защиты от любых недочетов требуется гораздо больше времени. Исходя из этого, рекомендации по укреплению, приведенные в настоящей лекции, следует рассматривать как некий след во времени, поэтому в текущий момент они могут оказаться и не совсем корректными. Таким образом, самые лучшие практические советы здесь ссылаются на несколько реально существующих документов, опубликованных Microsoft в своей библиотеке Technet, которые предоставят самую последнюю информацию.
Рекомендации по укреплению установки
При установке Windows 2000 лучше всего следовать данному методическому указанию настолько точно, насколько возможно. Везде, где это только применимо, используйте рекомендации, приводившиеся в предыдущем разделе, наряду с обсуждаемыми здесь указаниями, специфичными для Windows 2000.
При установке Windows 2000 лучше всего попытаться уменьшить число устанавливаемых компонентов Windows 2000. По умолчанию Windows 2000 предлагает намного больше функциональных возможностей, чем Windows NT 4.0. Многое из этой функциональности лучше вообще НЕ предоставлять людям как внутри организации (если машина каким-либо образом доступна из Интернета), так и тем более кому бы то ни было снаружи.
По умолчанию в установку Windows 2000 входит множество аксессуаров, утилит, мультимедийных приложений и схем, а также приложений коммуникации. Можно, конечно, впасть в искушение установить набор программного обеспечения, предлагаемого по умолчанию. Однако лучше все-таки уделить время для определения того, что действительно стоит устанавливать, а что нет. Не будет лишним повторить: чем больше установлено программного обеспечения, тем выше вероятность быть взломанным.
Так же, как это делали в разделе о Windows NT 4.0, здесь мы расскажем о том, что делаем и чего не делаем при установке Windows 2000 в плане обеспечения безопасности и укрепления окружения.
При установке делаем
Прежде всего начнем с того, что следует делать. Этим будет гарантировано то, что смогут быть выработаны некие наиболее подходящие практические методы, а также то, что все необходимое для них будет установлено. Лучше всего начать с должным образом настроенной базы, чем потом оказаться перед необходимостью корректировки неправильной установки.
- Ставьте под Windows 2000 файловую систему NTFS, а не FAT. NTFS дает дополнительное управление безопасностью посредством списков контроля доступа (ACLs) и является более "крепкой" файловой системой.
Замечание. Некоторые системные администраторы предпочитают устанавливать файловую систему FAT, а уже затем, после установки, преобразовывать ее в файловую систему NTFS. Подобный способ действий не рекомендуется, поскольку в этом случае ACLs по умолчанию применены не будут.
- Выбирайте только те компоненты и службы, которые необходимы для целей, ставящихся перед сервером. Для большинства брандмауэров и серверов DMZ "Службы терминала", "службы удаленной установки", "Службы сети" или "Службы файлов и принтеров" вообще не понадобятся. Например, стоит удостовериться, что в IIS-сервере не загружается поддержка FTP, если данный сервер предназначен только для обслуживания HTML-страниц. Или, если обработки потокового медиа не планируется, значит, и "Службы Windows Media" тоже подгружать не нужно.
- Удалите "Общий доступ к файлам и принтерам в сети Microsoft" (File and Printer Sharing for Microsoft Networks). При настройке конфигурации сети следует выбирать "Выборочную установку" (Custom), чтобы вручную настроить сетевые компоненты.
Если данный сервер предполагается в качестве Web или почтовой станции SMTP, "Клиента для сетей Microsoft" (Microsoft Networking Client) следует отключить снятием галочки пометки, хотя установлен он тем не менее все равно должен быть. Очевидно, что используемая для выполнения аутентификации "Служба локатора RPC" будет доступна только при установленном "Клиенте сетей Microsoft". Без этой службы нельзя запустить ни IIS, ни службы SMTP.
Затем следует выбрать "Свойства протокола IP" (IP Protocol Properties). Для настройки IP адреса и информации DNS не используйте DHCP. После установки вручную сетевых параметров нажмите на кнопку "Дополнительно" (Advanced) и внесите следующие изменения:
- Выберите закладку DNS. Снимите пометку с "Зарегистрировать адреса этого соединения в DNS" (Register This Connection's Addresses in DNS).
- Выберите закладку WINS; удалением каких бы то ни было адресов оттуда запретите WINS. Если требуется ввести имена NetBIOS, делать это следует через содержимое файла LMHOSTS. Выбором "Запретить NetBIOS через TCP/IP" запретите работу NetBIOS посредством протокола TCP/IP.
- Выберите закладку "Свойства" (Options) для настройки любой TCP/IP-фильтрации, как было описано ранее в разделе об Windows NT 4.0.
- Используйте несуществующую рабочую группу. Нет никаких причин включать брандмауэр или DMZ-сервер в работу домена или рабочей группы.
- Запретите службу telnetd. Если в конечной системе все-таки сессии telnet должны быть разрешены, всех пользователей telnet следует ограничить одной группой аутентифицированных пользователей TelnetClients. Создайте группу TelnetClients, а затем добавьте в нее тех пользователей, которым доступ посредством telnet будет разрешен. Служба telnetd сама автоматически ограничит доступ к Telnet только членами группы TelnetClients.
- Закройте ваш DNS-сервер. Передачи в пределах зоны следует ограничить только авторизированными службами. Для изменения свойств зоны следует использовать менеджер DNS. На закладке "Уведомления" (Notify) включите опцию "Разрешить доступ только с тех вторичных серверов, которые включены в список уведомлений" (Only Allow Access From Secondaries Included on Notify List). Позаботьтесь о защите первичных зон так же, как и вторичных. К сожалению, встроенные DNS-серверы, идущие в комплекте с Windows NT и 2000, не имеют средств для ограничения запросов. Если такая функциональность все же нужна, можно воспользоваться кроссплатформенной реализацией ISC BIND (Internet Software Consortium Berkeley Internet Name Daemon), используемой в большинстве UNIX-систем. С одной стороны, будет потеряна возможность администрирования посредством встроенного GUI5GUI – Graphical User Interface (Графический интерфейс Пользователя., но взамен станет доступна вся мощь структурированности и возможностей управления, присущих реализации BIND. Исходные коды и бинарные сборки можно найти на сайте ISC по следующему адресу: