Настройка безопасности Windows XP
Безмалый В.Ф.
http://www.zahist.narod.ru
Настройка автоматически выполняемых программ
Одна из типичных проблем, связанных с безопасностью, это запуск программ типа "троянский конь" в процессе загрузки Windows XP.
В программа может быть запущена автоматически следующими способами:
1. Добавление в папку Автозагрузка для данного пользователя.
2. Добавление в папку Автозагрузка ¹ для всех пользователей.
3. Ключ Run (компьютера) Ключ реестра HKLM\Software\Microsoft\Windows\CurrentVersion\Run
4. Ключ Run (пользователя) Ключ реестра HKCU\Software\Microsoft\Windows\CurrentVersion\Run
5. Ключ RunServices. Разница между RunServices и просто Run в том, что при запуске программы в ключе RunServices она будет запущена как обслуживающий процесс и ей будет выделено меньше приоритетного процессорного времени при работе. При запуске же в ключе Run, программа запуститься как обычно с нормальным приоритетом.
6. Папки Планировщика задач.
7. Win.ini. Программы, предназначенные для 16-разрядных версий Windows могут добавить строки типа Load= и Run= этого файла.
8. Ключи RunOnce и RunOnceEx. Группа ключей реестра, содержащая список программ, выполняемых однократно в момент запуска компьютера. Эти ключи могут относиться и к конкретной учетной записи данного компьютера. ²
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
9. Групповая политика. Содержит две политики (с именами Запуск программ при входе пользователя в систему). Находятся в папках Конфигурация компьютера -> Конфигурация Windows -> Административные шаблоны -> Система -> Вход в систему (Computer configuration -> Administrative Templates -> System -> Logon) и Конфигурация пользователя -> Конфигурация Windows -> Административные шаблоны -> Система -> Вход в систему (User configuration > Administrative Templates -> System -> Logon).
10. Сценарии входа в систему. Настраиваются Групповая политика: Конфигурация компьютера -> Конфигурация Windows -> Сценарии и Конфигурация пользователя -> Конфигурация Windows -> Сценарии (входа в систему и выхода из системы).
11. Файл AUTOEXEC.BAT в корневом каталоге загрузочного диска. Все программы, которые вы хотите запустить из него, должны выполняться в реальном режиме DOS, так как выполнение этого командного файла происходит до загрузки графической оболочки. Используется для того, чтобы снова и снова копировать в "автозапуск" из скрытой папки рекламные модули, которые пользователь удалил.
¹ Следует помнить, о том, что папку автозагрузки можно подменять с помощью ключа реестра HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders Ключ: Сommon Startup="ПУТЬ_К_ПАПКЕ_АВТОЗАГРУЗКИ"
² Сюда же относятся иключи указанных разделов RunServices и RunServicesOnce
Для настройки списка автоматически вызываемых программ в состав Windows XP входит утилита Настройка системы (System Configuration Utility) Msconfig.exe, которая позволяет вывести список всех автоматически загружаемых программ. Рабочее окно программы приведено на рис. 5 .
Рис. 5 Рабочее окно программы Msconfig
Настройка системы безопасности Windows XP
Операционная система Windows XP обладает развитой системой безопасности, которая, тем не менее, нуждается в настройке. ¹ Мы надеемся, что вы понимаете, что система Windows XP должна устанавливаться на разделах NTFS, что применение файловой системы FAT32 не рекомендуется, исходя из принципов безопасности (встроенные средства безопасности просто не могут быть реализованы при условии применения FAT32). В случае применения файловой системы FAT 32 почти все утверждения данного раздела теряют для вас всякое значение. Единственный способ включить все разрешения файловой системы - преобразовать диск в формат NTFS.
После чистой установки Windows XP предлагаемые по умолчанию параметры безопасности работают как переключатели типа "включить-выключить". Такой интерфейс носит по умолчанию название Простой общий доступ (Simple File Sharing).
Такая конфигурация обладает низким уровнем безопасности, практически совпадающей со стандартной конфигурацией Windows 95/98/Me.
Если вас не устраивает такая конфигурация, вы можете воспользоваться всей мощью разрешений для файлов в стиле Windows 2000. Для этого откройте произвольную папку в Проводнике и выберите Сервис -> Свойства папки (Tools -> Folder options). Перейдите на вкладку Вид найдите в списке флажок Использовать простой общий доступ к файлам (рекомендуется) (Use File Sharing (recommended) и снимите его. ²
¹ По умолчанию Windows XP Professional предоставляют пользователю весьма упрощенный интерфейс безопасности, позволяющий устанавливать значения весьма ограниченного числа параметров доступа на основе членства во встроенных группах.
² Чтобы изменить этот параметр вы должны быть членом группы Администраторы.
Рис. 6 Свойства папки
Когда вы выключаете простой общий доступ, в диалоговом окне свойств любой папки появляется вкладка Безопасность.
Аналогично осуществляется выдача разрешений на файлы. Все разрешения хранятся в списках управления доступом (Access Control List - ACL).
При установке и удалении разрешений руководствуйтесь следующими основными принципами:
1. Работайте по схеме "сверху-вниз".
2. Храните общие файлы данных вместе.
3. Работайте с группами везде, где это только возможно.
4. Не пользуйтесь особыми разрешениями.
5. Не давайте пользователям большего уровня полномочий, чем это абсолютно необходимо (принцип минимизации полномочий).
Установка разрешения из командной строки
Утилита командной строки cacls.exe доступна в Windows XP Professional позволяет просматривать и изменять разрешения файлов и папок. Cacls - сокращение от Control ACLs - управление списками управления доступом.
Ключи командной строки утилиты cacls
Таблица 1
| Ключ | Действие |
|---|---|
| /T | Смена разрешений доступа к указанным файлам в текущей папке и всех подпапках |
| /E | Изменение списка управления доступом (а не полная его замена) |
| /C | Продолжить при возникновении ошибки "отказано в доступе" |
| /G пользователь:разрешение | Выделение пользователю указанного разрешения. Без ключа /E полностью заменяет текущие разреше |
| /R пользователь | Отменяет права доступа для текущего пользователя (используется только с ключом /E) |
| /P пользователь:разрешение | Замена указанных разрешений пользователя |
| /D пользователь | Запрещает пользователю доступ к объекту |
С ключами /G и /P нужно использовать одну их перечисленных ниже букв (вместо слова разрешение):
- F (полный доступ) - эквивалентно установке флажка Разрешить полный доступ (Full Control) на вкладке Безопасность.
- C (изменить) - тождественно установке флажка Разрешить Изменить (Modify).
- R (чтение) - эквивалентно установке флажка Разрешить Чтение и выполнение (Read & Execute).
- W (запись) - равнозначно установке флажка Разрешить запись (Write).
Microsoft Windows XP позволяет предотвратить попадание конфиденциальных данных в чужие руки. Шифрующая файловая система (Encrypting File System - EFS) шифрует файлы на диске. Однако, следует иметь ввиду, что если вы утеряете ключ для расшифровки, данные можно считать утерянными. Поэтому если вы решите воспользоваться преимуществами EFS необходимо создать учетную запись агента восстановления, резервную копию собственного сертификата и сертификата агента восстановления.
Если вы предпочитаете работать с командной строкой, то можете воспользоваться программой cipher.exe.
Команда cipher без параметров выводит информацию о текущей папке и размещенных в ней файлах (зашифрованы они или нет). В таблице 2 приведен список наиболее часто используемых ключей команды cipher
Таблица 2
| Ключ | Описание |
|---|---|
| /E | Шифрование указанных папок |
| /D | Расшифровка указанных папок |
| /S:папка | Операция применяется к папке и всем вложенным подпапкам (но не файлам) |
| /A | Операция применяется к указанным файлам и файлам в указанных папках |
| /K | Создание нового ключа шифрования для пользователя, запустившего программу. Если этот ключ задан, все остальные игнорируются |
| /R | Создание ключа и сертификата агента восстановления файлов. Ключ и сертификат помещаются в файл .CFX, а копия сертификата в файле .CER |
| /U | Обновление ключа шифрования пользователя или агента восстановления для всех файлов на всех локальных дисках |
| /U /N | Вывод списка всех зашифрованных файлов на локальных дисках без каких-либо других действий |
Агент восстановления данных
Агентом восстановления данных (Data Recovery Agent) назначается обычно администратор. Для создания агента восстановления нужно сначала создать сертификат восстановления данных, а затем назначить одного из пользователей таким агентом.
Чтобы создать сертификат нужно сделать следующее:
1. Нужно войти в систему под именем Администратор.
2. Ввести в командной строке cipher /R: имя файла.
3. Введите пароль для вновь создаваемых файлов.
Файлы сертификата имеют расширение .PFX и .CER и указанное вами имя. ¹
Для назначения агента восстановления:
1. Войти в систему под учетной записью, которая должна стать агентом восстановления данных.
2. В консоли Сертификаты перейдите в раздел Сертификаты - Текущий пользователь -> Личные (Current User -> Personal).
3. Действие -> Все задачи -> Импорт (Actions -> All Tasks -> Import) для запуска мастера импорта сертификатов.
4. Проведите импорт сертификата восстановления.
¹ Эти файлы позволяют любому пользователю системы стать агентом восстановления. Обязательно скопируйте их на дискету и храните в защищенном месте. После копирования удалите файлы сертификата с жесткого диска.
При неправильном использования средств шифрования вы можете получить больше вреда, чем пользы.
Краткие рекомендации по шифрованию:
1. Зашифруйте все папки, в которых вы храните документы.
2. Зашифруйте папки %Temp% и %Tmp%. Это обеспечит шифрование всех временных файлов.
3. Всегда включайте шифрование для папок, а не для файлов. Тогда шифруются и все создаваемые в ней впоследствии файлы, что оказывается важным при работе с программами, создающими свои копии файлов при редактировании, а затем перезаписывающими копии поверх оригинала.
4. Экспортируйте и защитите личные ключи учетной записи агента восстановления, после чего удалите их с компьютера.
5. Экспортируйте личные сертификаты шифрования всех учетных записей.
6. Не удаляйте сертификаты восстановления при смене политик агентов восстановления. Храните их до тех пор, пока не будете уверены, что все файлы, защищенные с учетом этих сертификатов, не будут обновлены.
7. При печати не создавайте временных файлов или зашифруйте папку, в которой они будут создаваться.
8. Защитите файл подкачки. Он должен автоматически удаляться при выходе из Windows.
Конструктор шаблонов безопасности
Шаблоны безопасности представляют собой текстовые файлы. Для изменения таких файлов используется оснастка шаблонов безопасности из состава MMC или текстовый редактор (например, программа "Блокнот"). Некоторые разделы файлов шаблона содержат списки управления доступом (ACL), определенные на языке Security Descriptor Definition Language (SDDL). Для получения дополнительной информации о внесении изменений в шаблоны безопасности и языке SDDL воспользуйтесь указанными в разделе "Дополнительные сведения" источниками.
Однако лучше воспользоваться оснасткой Security Templates консоли Microsoft Management Console (MMC). Для этого в командной строке нужно ввести mmc /a в этой консоли выбрать меню File - Add/Remove. В диалоговом окне Add Standalone Snap-in выбрать Security Templates - Add.
Управление оснасткой
Шаблоны безопасности расположены в папке \%systemroot%\security\templates. Количество встроенных шаблонов изменяется в зависимости от версии операционной системы и установленных пакетов обновлений.
Если раскрыть любую папку в Security Templates, то в правой панели будут показаны папки, которые соответствуют контролируемым элементам:
- Account Policies - управление паролями, блокировками и политиками Kerberos
- Local Policies - управление параметрами аудита, пользовательскими правами и настройками безопасности
- Event Log - управление параметрами системного журнала
- Restricted Groups - определение элементов различных локальных групп
- System Services - включение и отключение служб и присвоение права модификации системных служб
- Registry - назначение разрешений на изменение и просмотр разделов реестра
- File System - управление разрешениями NTFS для папок и файлов
Управление шаблонами безопасности
Используемые шаблоны безопасности должны храниться в защищенном месте. Доступ к ним предоставляется только администраторам, которые отвечают за реализацию групповой политики. По умолчанию на компьютерах под управлением Windows XP и Windows Server 2003 для хранения шаблонов безопасности используется папка %SystemRoot%\security\templates.
Эта папка не реплицируется между контроллерами домена. Таким образом, во избежание возникновения проблем с управлением версиями шаблонов безопасности, необходимо определить контроллер домена для хранения оригинала шаблонов. Оптимальной является практика, когда изменения всегда вносятся в одну и ту же копию шаблонов.
Импорт шаблона безопасности
Для импорта шаблона безопасности необходимо выполнить следующие действия.
1. В окне редактора групповой политики найдите папку Конфигурация Windows.
2. Откройте ее и выделите папку Параметры безопасности.
3. Щелкните ее правой кнопкой мыши и выберите пункт Импорт политики.
4. Выберите шаблон безопасности, который требуется импортировать, и нажмите кнопку Открыть. Параметры импортируются из выбранного файла в объект групповой политики.
Административные шаблоны
С помощью административных шаблонов (файлы в формате Unicode) могут быть установлены дополнительные параметры безопасности. Такие шаблоны содержат параметры реестра, которые влияют на поведение Windows XP и установленных приложений (например Microsoft Office XP). Это могут быть как параметры для компьютеров, так и параметры для пользователей. Для хранения параметров компьютера используется куст реестра HKEY_LOCAL_MACHINE. Для хранения параметров пользователя - куст реестра HKEY_CURRENT_USER.
Управление административными шаблонами
Используемые административные шаблоны, как и шаблоны безопасности, должны храниться в защищенном месте. Доступ к ним предоставляется только администраторам, которые отвечают за реализацию групповой политики. Административные шаблоны, которые поставляются в составе Windows XP и Windows 2003 Server, хранятся в папке %systemroot%\inf. В состав Office XP Resource Kit входят дополнительные шаблоны для Office XP. Поскольку при выходе пакетов обновления в такие шаблоны могут быть внесены изменения, модифицировать их самостоятельно не следует.
Добавление административного шаблона к политике
К объектам групповой политики, которые используются для настройки Office XP, помимо административных шаблонов из состава Windows XP, необходимо применить специальные шаблоны Office XP. Для добавления шаблона к объекту групповой политики необходимо выполнить следующие действия.
1. В окне редактора групповой политики найдите папку Административные шаблоны.
2. Щелкните папку правой кнопкой мыши и выберите пункт Добавление и удаление шаблонов.
3. В диалоговом окне Добавление и удаление шаблонов нажмите кнопку Добавить.
4. Перейдите в папку, которая содержит файлы административных шаблонов.
5. Выберите шаблон, нажмите кнопку Открыть, а затем - Закрыть.
Групповая политика на уровне домена
В состав групповой политики на уровне домена входят параметры, которые относятся ко всем компьютерам и пользователям в рамках домена. Подробное описание групповой политики на уровне домена можно найти в главе 2 "Configuring the Domain Infrastructure" руководства по безопасности Windows Server 2003 Security Guide, которое находится на веб-узле по адресу: http://go.microsoft.com/fwlink/?Linkld=14845.
2000-2008