Опубликован: 16.10.2006 | Уровень: специалист | Доступ: платный
Дополнительный материал 3:

Приложение С. Справочные таблицы

Аннотация: Существуют две наиболее важные и сложные области конфигурации Windows 2000 и IIS: разрешения каталогов и локальная политика безопасности. В книге предложены рекомендации по настройке этих параметров, которые, по нашему мнению, подходят для защиты большей части веб-сайтов. Однако можно провести свое собственное исследование и вывести свои заключения, для чего воспользуйтесь таблицами из Microsoft Windows 2000 Operations Guides по выбору опций и настройке параметров.

Таблица C.1. Предлагаемые разрешения каталогов для Windows 2000 и IIS
Каталог или файл Предлагаемые максимальные разрешения
C:\ Установщики: изменение Аутентифицированные пользователи: чтение Операторы сервера: изменение.
files Установщики: изменение Аутентифицированные пользователи: чтение Операторы сервера: изменение.
IO.SYS, MSDOS.SYS нет.
BOOT.INI, NTDETECT.COM, NTLDR нет.
AUTOEXEC.BAT, CONFIG.SYS нет.
C:\TEMP Аутентифицированные пользователи: (RWXD)*(NotSpec).
C:\WINNT Установщики: изменение Аутентифицированные пользователи: чтение Операторы сервера: изменение.
files Аутентифицированные пользователи: чтение Операторы сервера: изменение.
Netlogon.chg нет.
\WINNT\config\ Установщики: изменение Аутентифицированные пользователи: чтение Операторы сервера: изменение.
\WINNT\help\ Установщики: изменение Аутентифицированные пользователи: добавление и чтение Операторы сервера: изменение.
*.GID, *.FTG, *.FTS Аутентифицированные пользователи
\WINNT\inf\ Установщики: изменение Аутентифицированные пользователи: чтение.
файлы *.ADM Аутентифицированные пользователи: чтение.
*.PNF Установщики: изменение Аутентифицированные пользователи: чтение Операторы сервера: изменение
\WINNT\media\ Установщики: изменение Аутентифицированные пользователи: чтение Операторы сервера: изменение.
*.RMI Аутентифицированные пользователи: изменение.
\WINNT\profiles\ Установщики: добавление и чтение Аутентифицированные пользователи: (RWX)*(NotSpec).
..\All users Установщики: изменение Аутентифицированные пользователи: чтение.
..\Default Аутентифицированные пользователи: чтение.
\WINNT\repair нет.
\WINNT\system\ Установщики: изменение Аутентифицированные пользователи: чтение Операторы сервера: изменение.
WINNT\System32\ Установщики: изменение Аутентифицированные пользователи: чтение Операторы сервера: изменение.
files Аутентифицированные пользователи: чтение Операторы сервера: изменение.
$winnt$.inf Установщики: изменение Аутентифицированные пользователи: чтение Операторы сервера: изменение.
AUTOEXEC.NT, CONFIG.NT Установщики: изменение Аутентифицированные пользователи: чтение Операторы сервера: изменение.
cmos.ram, midimap.cfg Аутентифицированные пользователи: изменение.
localmon.dll, decpsmon,*, hpmon.* Установщики: изменение Аутентифицированные пользователи: чтение Операторы сервера: изменение.
\WINNT\System32\config\ Аутентифицированные пользователи: просмотр.
\WINNT\System32\drivers\ (включая \etc) Аутентифицированные пользователи: чтение.
\WINNT\System32\viewers Аутентифицированные пользователи: чтение Операторы сервера: изменение.
C:\...\*.EXE, *.BAT, *.COM, *.CMD, *.DLL Аутентифицированные пользователи: X.
Домашний каталог IIS Администраторы содержимого сайта: чтение и запись Аутентифицированные пользователи: чтение.
Таблица C.2. Параметры локальной политики безопасности
Право пользователя Описание
Доступ к данному компьютеру из сети Определяет пользователей и группы, которым разрешено подключаться к компьютеру через сеть. Это право определяется в политике группы контроллера домена по умолчанию и в локальной политике безопасности рабочих станций и серверов. Группами по умолчанию, у которых есть это право на каждой платформе, являются следующие: рабочие станции и серверы; администраторы; операторы резервного копирования; опытные пользователи; пользователи; все; контроллеры домена; аутентифицированные пользователи.
Работа в качестве части операционной системы Позволяет процессу аутентифицироваться, как и любой пользователь, и получать доступ к ресурсам, к которым имеют доступ все пользователи. Эта привилегия нужна только службам аутентификации низкого уровня. Потенциальный доступ не ограничивается тем, что связано с пользователем по умолчанию, так как вызывающий процесс может запросить дополнительный случайный доступ, помещаемый в атрибуты доступа. Более того, вызывающий процесс может создать анонимный набор атрибутов доступа для предоставления любого вида доступа. В дополнение к этому атрибуты анонимного доступа не обеспечивают указание принадлежности при отслеживании событий в журнале аудита. Процессы должны использовать учетную запись LocalSystem, в которой уже есть эта привилегия, а не отдельную учетную запись с присвоенной привилегией. По умолчанию только учетная запись LocalSystem имеет привилегию работы в качестве части операционной системы.
Резервные файлы и каталоги Определяет пользователей, которые могут игнорировать разрешения файлов и каталогов в целях резервного копирования данных системы. Действие этой привилегии аналогично предоставлению пользователю или группе следующих разрешений для всех файлов и папок системы: проход по папкам/выполнение файла; просмотр папки/чтение данных; чтение атрибутов; чтение расширенных атрибутов; чтение разрешений. Это право определяется в политике группы контроллера домена по умолчанию, а также в локальной политике безопасности рабочих станций и серверов. Группами по умолчанию, у которых есть это право на каждой платформе, являются: рабочие станции и серверы; администраторы; операторы резервного копирования; контроллеры домена.
Игнорирование запрета на проход по каталогам Определяет пользователей, которые могут осуществлять проход по деревьям каталогов, даже не имея разрешений на соответствующую директорию. Эта привилегия не позволяет пользователю просматривать содержимое папки, а лишь разрешает проход по каталогам. Это право определяется в политике группы контроллера домена по умолчанию, а также в локальной политике безопасности рабочих станций и серверов. Группами по умолчанию, у которых есть это право на каждой платформе, являются: рабочие станции и серверы; администраторы; операторы резервного копирования; опытные пользователи; пользователи; все; контроллеры домена; аутентифицированные пользователи.
Изменение системного времени Определяет пользователей и группы, которые могут изменять время и дату на внутренних часах компьютера. Это право определяется в политике группы контроллера домена по умолчанию и в локальной политике безопасности рабочих станций и серверов. По умолчанию это право имеют следующие группы: рабочие станции и серверы; администраторы; опытные пользователи; контроллеры домена; операторы сервера.
Создание файла подкачки Определяет пользователей и группы, которые могут создавать и изменять размер файла подкачки. Размер файла подкачки для данного диска указывается в параметрах производительности в окне свойств системы. Это право определяется в политике группы контроллера домена по умолчанию и в локальной политике безопасности рабочих станций и серверов. По умолчанию возможность создания файлов подкачки имеется у администраторов.
Создание маркера доступа Определяет учетные записи, которые используются процессом NtCreateToken() (или другим API) при создании маркера доступа к любым локальным ресурсам. Это право определяется в политике группы контроллера домена по умолчанию и в локальной политике безопасности рабочих станций и серверов. Рекомендуется использовать учетную запись LocalSystem, которая уже содержит эту привилегию, вместо отдельной учетной записи со специально присвоенной привилегией.
Отладка программ Определяет пользователей, которые могут применять отладчик к любому процессу. Эта привилегия обеспечивает широкие возможности доступа к важным компонентам операционной системы. Это право определяется в политике группы контроллера домена по умолчанию и в локальной политике безопасности рабочих станций и серверов. По умолчанию привилегии отладки программ есть только у администраторов и учетных записей LocalSystem.
Отказ в доступе к данному компьютеру из сети Определяет пользователей, которым запрещен доступ к компьютеру через сеть. Этот параметр превосходит по значимости параметр политики Access This Computer From The Network (Открыть доступ к этому компьютеру через сеть), если учетная запись пользователя является субъектом обеих политик. Это право определяется в политике группы контроллера домена по умолчанию и в локальной политике безопасности рабочих станций и серверов. По умолчанию только учетная запись LocalSystem имеет привилегию использования процессами для генерирования аудита безопасности.
Отказ во входе в систему как пакетному заданию Определяет учетные записи, которым запрещен вход в систему при помощи пакетного задания. Этот параметр превосходит по значимости параметр политики Log On As A Batch Job (Вход при помощи пакетного задания), если учетная запись пользователя является субъектом обеих политик. Это право определяется в политике группы контроллера домена по умолчанию и в локальной политике безопасности рабочих станций и серверов. По умолчанию нет пользователей, которым запрещен вход в систему с помощью пакетного задания.
Отказ во входе в систему как службе Определяет учетные записи служб, которым запрещено регистрировать процесс как службу. Этот параметр превосходит по значимости параметр политики Log On As A Sevice (Вход в систему в качестве службы), если учетная запись является субъектом обеих политик. Это право определяется в политике группы контроллера домена по умолчанию и в локальной политике безопасности рабочих станций и серверов. По умолчанию учетным записям не запрещен вход в систему в качестве службы.
Отказ в локальном доступе Определяет пользователей, которым запрещен вход в систему на компьютере. Этот параметр превосходит по значимости параметр политики Log On Locally (Локальный вход в систему), если учетная запись является субъектом обеих политик. Это право определяется в политике группы контроллера домена по умолчанию и в локальной политике безопасности рабочих станций и серверов. По умолчанию учетным записям не запрещен локальный вход в систему.
Включение доверия учетных записей Computer (Компьютер) и User (Пользователь) Определяет пользователей, которые могут устанавливать параметр Trusted for Delegation (Доверие для делегирования). Пользователь или объект, наделенный этой привилегией, должен иметь право записи контрольных флагов учетной записи для пользователя или компьютера. Выполняющийся на компьютере процесс, доверенный для передачи, осуществляет доступ к ресурсам другого компьютера с использованием переданных входных данных клиента, пока в учетной записи клиента не установлен набор контрольных флагов Account cannot be delegated account (Учетная запись не может быть делегированной учетной записью). Это право определяется в политике группы контроллера домена по умолчанию и в локальной политике безопасности рабочих станций и серверов. На каждом компьютере это право по умолчанию имеется у следующих групп: рабочие станции и серверы; нет; контроллеры домена; администраторы. Нецелевое использование этой привилегии или параметра Trusted For Delegation (Доверие для делегирования) делает сеть уязвимой для комплексных атак с использованием программ типа "троянский конь", выдающих себя за входящих клиентов и использующих их входные данные для получения доступа к сетевым ресурсам.
Принудительное отключение с удаленной системы Определяет пользователям, которым разрешено отключать удаленный компьютер сети. Это право определяется в политике группы контроллера домена по умолчанию и в локальной политике безопасности рабочих станций и серверов. На каждом компьютере это право по умолчанию имеется у следующих групп: рабочие станции и серверы; администраторы; контроллеры домена; операторы сервера.
Генерирование аудитов безопасности Определяет учетные записи, которые используются процессом для добавления записей в журнал безопасности, чтобы отслеживать несанкционированный доступ к системе. Это право определяется в политике группы контроллера домена по умолчанию и в локальной политике безопасности рабочих станций и серверов. По умолчанию только учетная запись LocalSystem имеет привилегию использования процессами для генерирования аудита безопасности.
Увеличение квот Определяет учетные записи, которые используют процесс с правом записи свойств по отношению к другому процессу для увеличения квоты процессорного времени, присвоенной другому процессу. Это право определяется в политике группы контроллера домена по умолчанию и в локальной политике безопасности рабочих станций и серверов. На каждом компьютере это право по умолчанию имеется у следующих групп: рабочие станции и серверы; администраторы; контроллеры домена. Эта привилегия полезна при настройке системы, однако ее можно использовать для реализации атаки на отказ в обслуживании.
Увеличение приоритета планирования Определяет учетные записи, которые используют процесс с правом записи свойств по отношению к другому процессу для увеличения приоритета выполнения, присвоенного другому процессу. Пользователь с этой привилегией может изменить приоритет планирования процесса через пользовательский интерфейс Task Manager (Диспетчер задач). Это право определяется в политике группы контроллера домена по умолчанию и в локальной политике безопасности рабочих станций и серверов. На каждом компьютере это право по умолчанию имеется у следующих групп: рабочие станции и серверы; администраторы; контроллеры домена.
Загрузка и выгрузка драйверов устройств Определяет пользователей, которые могут динамически загружать и выгружать драйверы устройств. Эта привилегия необходима для установки драйверов устройств Plug and Play. Это право определяется в политике группы контроллера домена по умолчанию и в локальной политике безопасности рабочих станций и серверов. На каждом компьютере это право по умолчанию имеется у следующих групп: рабочие станции и серверы; администраторы; контроллеры домена.
Блокировка страниц в памяти Эта привилегия является устаревшей и, следовательно, никогда не проверяется. Она определяет учетные записи, которые могут использовать процесс для хранения данных в физической памяти с предотвращением их записи в виртуальную память на диске. Использование этой привилегии значительно снижает производительность системы.
Вход в систему в качестве пакетного задания Позволяет пользователю входить в систему с помощью очереди пакетного задания. Например, когда пользователь подтверждает задание через планировщик, планировщик задач осуществляет вход пользователя в систему как пакетного пользователя, а не интерактивного. Это право определяется в политике группы контроллера домена по умолчанию и в локальной политике безопасности рабочих станций и серверов. По умолчанию только учетная запись LocalSystem имеет привилегию входа в систему в качестве пакетного задания. (См. политику "Отказ во входе в систему как пакетному заданию".) В первой версии Windows 2000 планировщик задач автоматически предоставляет это право при необходимости.
Вход в систему в качестве службы Определяет учетные записи служб, которые могут регистрировать процесс в качестве службы. Это право определяется в политике группы контроллера домена по умолчанию и в локальной политике безопасности рабочих станций и серверов. По умолчанию ни одна учетная запись не имеет привилегии входа в систему в качестве службы.
Локальный вход в систему Определяет пользователи, которые могут входить в систему локально. Это право определяется в политике группы контроллера домена по умолчанию и в локальной политике безопасности рабочих станций и серверов. По умолчанию этим правом на каждом компьютере обладают следующие группы: рабочие станции и серверы; администраторы; операторы резервного копирования; опытные пользователи; пользователи; гость; контроллеры домена; операторы учетных записей; операторы печати. Для локального входа пользователя в контроллер домена ему нужно предоставить это право в политике группы контроллера домена по умолчанию.
Управление аудитом и журналом безопасности Определяет пользователей, которые могут указывать параметры аудита доступа к объектам для отдельных ресурсов, таких как файлы, объекты Active Directory и ключ реестра. Для этого пользователь может воспользоваться вкладкой Security (Безопасность) окна Properties (Свойства) редактора набора разрешений безопасности для указания параметров аудита выбранного объекта. Это право определяется в политике группы контроллера домена по умолчанию и в локальной политике безопасности рабочих станций и серверов. По умолчанию только администраторы имеют привилегию управления аудитом и журналом безопасности. Эта политика не позволяет пользователю включать общий аудит доступа к файлам и объектам. Для включения общего аудита необходимо настроить параметр Audit object access (Аудит доступа к объектам) в окне Audit Policies (Политики аудита).
Профилирование отдельного процесса Определяет пользователи, которые могут использовать средства мониторинга производительности Windows NT и Windows 2000 для отслеживания производительности несистемных процессов. Это право определяется в политике группы контроллера домена по умолчанию и в локальной политике безопасности рабочих станций и серверов. По умолчанию только администраторы и учетные записи LocalSystem имеют привилегию профилирования отдельного несистемного процесса.
Профилирование производительности системы Определяет пользователи, которые могут использовать средства мониторинга производительности Windows NT и Windows 2000 для отслеживания производительности системных процессов. Это право определяется в политике группы контроллера домена по умолчанию и в локальной политике безопасности рабочих станций и серверов. По умолчанию только администраторы и учетные записи LocalSystem имеют привилегию профилирования отдельного несистемного процесса.
Отсоединение компьютера из модуля подключения Определяет пользователей, которые могут отсоединять переносной компьютер от модуля подключения. Это право определяется в политике группы контроллера домена по умолчанию и в локальной политике безопасности рабочих станций и серверов. На серверах и рабочих станциях группы Администраторы, Опытные пользователи и Пользователи имеют это право на компьютерах с изначально установленной операционной системой Windows 2000 (не обновленной до Windows 2000). Если операционная система обновлена с Windows NT до Windows 2000, то это право в отдельном порядке предоставляется соответствующей группе или пользователю.
Замена маркера доступа уровня процесса Определяет учетные записи, которые могут инициировать процесс для замены маркера доступа по умолчанию, ассоциированного с запущенным подпроцессом. Это право определяется в политике группы контроллера домена по умолчанию и в локальной политике безопасности рабочих станций и серверов. По умолчанию этой привилегией обладают только учетные записи LocalSystem.
Восстановление файлов и директорий Определяет пользователи, которые могут игнорировать разрешения файлов и каталогов при восстановлении зарезервированных файлов и каталогов, а также пользователей, которые устанавливаются в качестве владельцев объекта. Это право определяется в политике группы контроллера домена по умолчанию и в локальной политике безопасности рабочих станций и серверов. На каждом компьютере эти правом по умолчанию обладают следующие группы: рабочие станции и серверы; администраторы; операторы резервного копирования; контроллеры домена; операторы сервера.
Отключение системы Определяет пользователей, локально вошедших в систему компьютера, которые могут отключать операционную систему с помощью команды Shut Down (Отключить). Это право определяется в политике группы контроллера домена по умолчанию и в локальной политике безопасности рабочих станций и серверов. На каждом компьютере этим правом обладают по умолчанию следующие группы: рабочие станции и серверы; администраторы; операторы резервного копирования; опытные пользователи; пользователи; контроллеры домена; операторы учетных записей; операторы сервера; операторы печати.
Синхронизация данных службы каталогов Этот параметр не используется в первом релизе Windows 2000.
Владение файлами и каталогами Определяет пользователей, которые могут владеть любыми защищаемыми объектами в системе, включая объекты Active Directory, файлы и папки, принтеры, ключи реестра, процессы и нити. Это право определяется в политике группы контроллера домена по умолчанию и в локальной политике безопасности рабочих станций и серверов. По умолчанию только администраторы обладают привилегией владения файлами или другими объектами.
Антон Ворожейкин
Антон Ворожейкин
Россия, с. Новоселье
Дмитрий Клочков
Дмитрий Клочков
Россия, Рубцовск