Руководство по настройке Microsoft Windows xp и Microsoft Windows Server 2003 для повышения уровня безопасности и максимально эффективной защиты от вирусов


- 24 - Рис. 9.2. Установка аудита на папку производственных приложений 9.3. Пример иерархии прав доступа для рабочей станции



Скачать 429.65 Kb.
Pdf просмотр
страница3/3
Дата01.12.2016
Размер429.65 Kb.
Просмотров324
Скачиваний0
ТипРуководство
1   2   3
- 24 -
Рис. 9.2. Установка аудита на папку производственных приложений
9.3. Пример иерархии прав доступа для рабочей станции.
Рассмотрим методику назначения разрешений NTFS для следующего случая:
- функции компьютера можно описать как "типовая рабочая станция";
- на компьютере хранится программа 1С с торговыми базами двух фирм.
D:\Accounting\1C\Programs
Administrators, SYSTEM: Full Control
Backup Operators, 1C Users:
D:\Accounting\1C\Bases\CompanyA
Read
Administrators, SYSTEM: Full Control
1C CompanyA Users: Modify
Backup Operators: Read
D:\Accounting\1C\Bases\CompanyB
Administrators, SYSTEM: Full Control
1C CompanyB Users: Modify
Backup Operators: Read
В данном примере группы Administrators и SYSTEM обладают правом Full Control (Полный
Доступ) ко всем каталогам 1С для выполнения обслуживания программы и общего управления ресурсами.
Группе Backup Operators предоставлено право Read (Чтение) всех каталогов 1С для выполнения процедур резервного копирования сценариями с применением команды xcopy.

Optimal Solutions SIA
I T s u p p o r t c o m p a n y
Протокол настройки Microsoft Windows NT
- 25 -
Все пользователи, в задачи которых входит работа с 1С, включены в группу 1C Users. Эта группа имеет доступ на Чтение каталога с программой, что вполне достаточно для её работы и гарантированно защищает исполняемые файлы 1С от вирусного заражения со стороны рядовых сотрудников компании.
Все допущенные пользователи также включены в группы 1C CompanyA Users и/или 1C
CompanyB Users, что даёт им право на полноценную работу с базой данных соответствующей компании. Предоставленное им право Modify (Изменение) опасно с точки зрения вирусного поражения, но в каталогах баз данных не содержатся исполняемые модули – они хранятся в отдельном каталоге Programs.
Учётные записи персонала, в задачи которого не входит работа с 1С, в соответствующие группы не вносятся и не имеют доступа ни к базам данных, ни к самой программе.
9.4. Пример иерархии прав доступа для сервера.
Рассмотрим методику назначения разрешений NTFS для следующего случая:
- функции компьютера можно описать как "файловый сервер";
- на компьютере хранится программа 1С с торговыми базами двух фирм;
- на компьютере хранятся домашние каталоги пользователей и папка‐обменник.

Рис. 9.3. Пример назначения разрешений NTFS на домашний каталог пользователя

Optimal Solutions SIA
I T s u p p o r t c o m p a n y
Протокол настройки Microsoft Windows NT
- 26 -
D:\Users
Administrators, SYSTEM: Full Control
CompanyA Directors, User
D:\Users\_ Shared Documents
s: Read
Administrators, SYSTEM: Full Control
CompanyA Directors: Read
CompanyA Shared Documents: Modify
D:\Users\UserA
Administrators, SYSTEM: Full Control
CompanyA Directors: Read
UserA:
Modify
D:\Users\UserB
Administrators, SYSTEM: Full Control
CompanyA Directors: Read
UserB:
Modify
В данном примере группы Administrators и SYSTEM обладают правом Full Control (Полный
Доступ) ко всем папкам для выполнения обслуживания системы.
Группе CompanyA Directors предоставлено право Read (Чтение) всех папок с целью контроля их содержимого при необходимости. Предполагается, что пользователи осведомлены о контроле со стороны руководства компании, и этому имеется должное юридическое обоснование.
Все пользователи, допущенные к общему каталогу компании CompanyA, включены в группу
CompanyA Shared Documents. Эта группа имеет доступ Modify (Изменение) содержимого папки‐
обменника. Учётные записи персонала, в задачи которого не входит работа с общими документами, в соответствующую группу не вносятся.
Доступ к каждому отдельному домашнему каталогу назначается на индивидуальную учётную запись, так как применение групп здесь не имеет смысла. Предоставленного пользователю права на
Изменение содержимого папки вполне достаточно для его работы.
Корень диска D:\ предоставлен для Общего доступа по сети (Shared Folder) под именем Data и доступен на рабочих станциях в качестве диска F:. Права общего доступа:
Administrators: Full Control
CompanyA Directors: Read
Users:
Change
Полный Доступ для группы Administrators обусловлен технической необходимостью управления ресурсами. Право Change (Менять содержимое), работая в связке с разрешениями NTFS, позволит членам группы Users (рядовым пользователям), выполнять свою работу. Это право определяет максимальный уровень доступа, который пользователи смогут получить внутри диска F: при работе с файлами по сети.

Optimal Solutions SIA
I T s u p p o r t c o m p a n y
Протокол настройки Microsoft Windows NT
- 27 -
10. Настройка общесистемных параметров.
Для обеспечения долговременной стабильной и безопасной работы скорректируйте следующие параметры системы:
-
Установите размеры журналов Application, System в 16384 Кб. Установите размер журнала
Security на рабочих станциях 65536 Кб, на серверах – 262144 Кб. Настройте режим перезаписи журналов As Needed (По необходимости).
-
Журнал безопасности может быстро заполняться событиями аудита при настройке программ или обнаружении попыток взлома системы. Увеличиваясь в размере, evt‐файлы становятся сильно фрагментированными. Применив утилиту SysInternals PageDefrag, можно их дефрагментировать при следующей перезагрузке системы;
Рис. 10.1. Ручная настройка размеров системных журналов
-
Установите размер файла виртуальной памяти фиксированным. Для типовой рабочей станции он может быть равным двукратному объёму оперативной памяти, для сервера – от одного до трёх объёмов оперативной памяти. Жёстко закрепляя размер файла, можно избежать фрагментации, возникающей при его росте;
Более детально работа с виртуальной памятью рассматривается в блоге Марка Руссиновича: http://blogs.technet.com/mark_russinovich/archive/2008/11/17/3182311.aspx
(ссылка на русский перевод).

Optimal Solutions SIA
I T s u p p o r t c o m p a n y
Протокол настройки Microsoft Windows NT
- 28 -
-
Включите Data Execution Prevention для всех программ. В случае, если какая‐либо конкретная программа не сможет работать в таком режиме, внесите её в Исключения DEP, но не отключайте защиту вообще. Механизм DEP призван защищать от вирусов (червей), распространяющихся путём сбоев переполнения буфера;
-
Запретите пользователям выключать или перезагружать компьютер в случае появления проблем. Системные ошибки (например, нехватка места на диске) таким образом не устраняются, а нештатная перезагрузка может лишь усугубить сбой. Отсоедините провод кнопки Reset (Аварийной перезагрузки) от материнской платы компьютера. В управлении электропитанием установите для кнопки PowerOn значение "Do Nothing". Настройте BIOS на выключение компьютера только при длительном удержании кнопки Power;
-
На мобильных компьютерах, а также системах, которые положено выключать на ночь, разрешите выключение только с помощью кнопки Shutdown на экране входа в систему. Не назначайте рядовым сотрудникам User Right (Право Пользователя) ”Shutdown the system”, чтобы процедуры Log Off (Выход из системы) и Shutdown (Выключение компьютера) воспринимались ими в качестве двух раздельных действий;
-
Назначьте группе INTERACTIVE право на перезапуск службы Print Spooler, подготовьте скрипт перезапуска и выдайте пользователям инструкцию по последовательности действий в случае отказа принтера (запуск скрипта, физическая перезагрузка печатающего устройства);
-
Вынесите рабочую папку службы Print Spooler с системного раздела. Для этого в Control
Panel, Printers and Faxes вызовите меню File, Server Properties и на закладке Advanced укажите место для хранения spool‐файлов D:\Users\Spool. Создайте саму папку и назначьте ей атрибут «hidden» («скрытая»), чтобы не запутывать пользователей.
Рис. 10.2. Перемещение рабочего каталога службы Print Spooler

Optimal Solutions SIA
I T s u p p o r t c o m p a n y
Протокол настройки Microsoft Windows NT
- 29 -
11. Важнейшие Политики безопасности.

Некоторые версии ОС Windows поставляются в совместимой, но небезопасной конфигурации.
Настройте важнейшие параметры безопасности с помощью Group Policy (Групповых Политик). Для таких систем, как Windows XP Home, часть этих параметров настраивается только в системном реестре, а часть – сторонними средствами (например, User Manager for Domains из комплекта
Windows NT Administrative Tools).
11.1. Account Policies (Политики Учётных Записей).
11.1.1. Password Policies (Политика Паролей). Большое количество взломов и вирусных поражений успешно производится из‐за халатного отношения к паролям. Не имеет значения, дома вы работаете с компьютером или в офисе, много пользователей или он всего один – вирусу это безразлично.
-
Enforce password history =24. Не разрешайте пользователям использовать их старые пароли
– возможно, эта информация со временем стала известна кому‐либо ещё;
-
Maximum password age = 180..360. Частота смены паролей пользователей. Не требуйте менять пароли слишком часто, люди начинают записывать их на бумаге. Но годами работать с одним и тем же паролем тоже небезопасно. Для каждого пользователя этот счётчик работает отдельно;
-
Minimum password age = 0. Как быстро разрешено сменить установленный пароль. Если пароль был назначен и введён администратором, пользователь должен иметь право на незамедлительную смену пароля для сохранения конфиденциальности;
-
Minimum password length = 8. Чем длиннее пароль, тем сложнее его взломать. Следует установить баланс между удобством работы и безопасностью. В формате LM Hash пароли храниятся блоками по 7 знаков. Если вы используете LM, заставьте взломщика хоть немного напрячься;
-
Passwords must meet complexity requirements = Enabled. «Сложным» называется пароль, применяющий минимум три категории знаков (например: большие буквы, маленькие буквы, спецсимволы). Для атаки «прямым перебором» на такой пароль взломщик вынужден использовать гораздо большее количество комбинаций, что зачастую делает его работу бессмысленной.
11.1.2. Account Lockout (Блокировка Учётных Записей). Блокировка учётных записей при обнаружении попыток угадывания паролей. Эта настройка защищает от проникновения в систему с помощью программ, подбирающих пароли пользователей. Укажите параметры:
-
Account lockout threshold = 10 attempts;
-
Account lockout duration = 5 minutes;
-
Reset account lockout counter after = 5 minutes.
В данном примере проверка осуществляется по формуле ”если в течение 5 минут было отклонено 10 попыток входа с неправильным паролем для пользователя User, заблокировать применение учётной записи User на 5 минут”.
Существуют условия, при которых данная политика не распространяется на членов локальной группы Administrators. Примените ”passprop.exe /adminlockout” из комплекта Microsoft Windows NT
Resource Kit для возможности блокировки учётных записей администраторов (см. статью MS KB http://support.microsoft.com/kb/885119
).

Optimal Solutions SIA
I T s u p p o r t c o m p a n y
Протокол настройки Microsoft Windows NT
- 30 -

Рис. 11.1. Включение защиты от угадывания паролей
11.2. Local Policies (Общие политики безопасности).
11.2.1. Audit Policy (Политика Аудита). По умолчанию, система не производит полное слежение за действиями пользователей – это не имело бы смысла, было бы излишне расточительно по отношению к вычислительным ресурсам. Но некоторые события всё же следует заносить в Security
Log (Журнал Безопасности):
-
Account Logon = Failure, Logon Events = Failure. Включите слежение за безуспешными попытками входа в систему. Так вы сможете своевременно отследить попытки взлома паролей учётных записей;
-
Account Management = Success, Failure. Регистрация учётных записей, смена членства в группах – важные события. Иногда по ним можно быстро найти источник проникновения в систему или нарушения со стороны обслуживающего персонала;
-
Object Access = Success. Отслеживание успешного доступа к файлам необходимо для разрешения конфликтных ситуаций вида ”Кто удалил мою папку из Shared Documents?”;
-
Policy Change = Success. Занесение в журнал факта успешной смены настроек политик Прав
Пользователей и Аудита;
-
System Events = Success. Регистрация системных событий, имеющих отношение к безопасности (например, выключение компьютера) или к Журналу Безопасности.
11.2.2. User Rights Assignments (Права Пользователей). Существует ряд прав, который не регулируется разрешениями NTFS или ключами реестра.
-
Выдавайте права Allow Logon Locally и Access this computer from the network только тем группам, которым это необходимо для работы;
-
Убедитесь, что группа Backup Operators обладает правами Backup files and directories и
Restore files and directories. Это позволит службе резервного копирования работать с ограниченными привилегиями;

Optimal Solutions SIA
I T s u p p o r t c o m p a n y
Протокол настройки Microsoft Windows NT
- 31 -
-
Назначьте группе Service Accounts права Deny logon through Terminal Services и Deny access
this computer from the network. В случае, если злоумышленник захватит управление над служебной учётной записью, он не сможет зайти на компьютер удалённо с помощью
Remote Desktop или Microsoft Network;
-
Регулировка системного времени должна производиться только доверенным персоналом либо автоматически. От этого зависит работоспособность протоколов безопасности –
NTLMv2, Kerberos и других. Убедитесь, что правом Change the system time обладают группы
LOCAL SERVICE и Administrators (примените SYSTEM, если LOCAL SERVICE недоступен);
-
Отрегулируйте право Shut down the system. Только Administrators и, при необходимости,
Backup Operators должны иметь возможность выключать компьютер непосредственно из своих сессий;
-
Уберите группу Everyone из списка во всех правах, где она присутствует.
Не стремитесь выдать Администраторам все Права Пользователей, им это просто не нужно. Не используйте права‐запреты (например, Deny logon locally) для ограничения доступа реальных пользователей – вместо этого, продумайте структуру локальных групп и не выдавайте некоторым группам соответствующие права‐разрешения (Allow logon locally).
11.2.3. Security Options (Дополнительные настройки безопасности).
Accounts: Guest account status = Disabled.
Не разрешайте применение учётной записи Guest. Чтобы разделение привилегий было возможным, все пользователи должны иметь свои персональные учётные записи.
Accounts: Limit local account use of blank passwords.. = Enabled.
Не разрешайте применять пустые пароли. Если бизнес‐задачи требуют упрощённого доступа, ограничьте использование пустого пароля только для интерактивного входа.
Audit: Shutdown the system immediatelly if unable to log security audits = Disabled.
В большинстве ситуаций не имеет смысла останавливать систему с сообщением ”Security log is full”, если журнал безопасности переполнен.
Devices: Prevent users from installing printer drivers = Enabled.
Не разрешайте пользователям инсталляцию драйверов принтеров – как и любая другая инсталляция, это может быть чревато вирусным поражением.
Interactive logon: Do not display last user name = Enabled.
Не следует отображать имя последнего пользователя на экране входа в систему, иначе взломщику останется угадать только пароль. К тому же, пользователи, регулярно работающие за одним компьютером, часто забывают имена своих учётных записей.
Interactive logon: Do not require Ctrl+Ald+Del = Disabled.
Требование нажатия Ctrl+Alt+Del при входе в систему позволяет избежать имитации злоумышленником окна входа с целью перехвата паролей.
Interactive logon: Message text.., Message title..
Установите информационное сообщение при входе в систему: "Этот компьютер обслуживается таким‐то персоналом, в случае проблем свяжитесь с нами так‐то".

Optimal Solutions SIA
I T s u p p o r t c o m p a n y
Протокол настройки Microsoft Windows NT
- 32 -
Microsoft Network Client: Send unencrypted password to third‐party SMB: Disabled.
Запретите SMB‐коммуникации со сторонними SMB‐серверами, не поддерживающими шифрование паролей.
Microsoft Network Client: Digitally sign communications (always + if agrees) = Enabled.
Microsoft Network Server: Digitally sign communications (always + if agrees) = Enabled.
Повысьте уровень безопасности работы с SMB‐протоколом, требуя наличия цифровых подписей и для клиентских, и для серверных сессий.
Network Access: Allow anonymous SID/Name translation = Disabled.
Network Access: Do not allow anonymous enumeration of SAM and shares = Enabled.
Network Access: Let everyone permissions apply to anonymous users = Disabled.
Запретите получение SID‐ов, информации из базы безопасности SAM, списка общих папок посредством анонимных соединений. Также, запретите причислять анонимные соединения к группе Everyone.
Network Access: Do not allow storage of credentials or .Net passports.. = Enabled.
Запретите сохранение паролей и .Net‐реквизитов пользователей в системе. Со временем, пользователи забудут свои пароли и не смогут их восстановить.

Network Access: Sharing and security model for local accounts = Classic.
Используйте классическую модель безопасности, при которой каждый пользователь идентифицируется согласно своей учётной записи. Использование Guest недопустимо.
Network Security: Do not store LAN Manager hash value = Enabled.
Пароли в базе безопасности SAM сохраняются в двух видах: LM Hash и NTLM Hash. LM крайне редко используется в производственной среде, но является крайне уязвимым. Запретите его хранение, после чего смените пароли всех пользователей.
Network Security: LAN Manager authentication level = NTLMv2 only, refuse LM, NTLM.
Пароли пользователей передаются в SMB‐сессиях, будучи зашифрованными определённым протоколом. Используйте только максимально защищённый NTLMv2, а LM и NTLM запретите.

Рис. 11.2. Настройка параметров безопасности системы


Optimal Solutions SIA
I T s u p p o r t c o m p a n y
Протокол настройки Microsoft Windows NT
- 33 -
Network Security: Minimum session security for NTLM SSP.. clients, servers: All.
Укрепите безопасность коммуникаций NTLM SSP и Secure RPC‐протоколов, потребовав соответствие всем опциям как на серверах, так и на клиентах.
Shutdown: Allow system to be shut down without having to log on = Enabled.
Разрешите выключать рабочие станции с экрана входа в систему. Запретите выключать таким методом сервера, а также компьютеры с повышенным уровнем безопасности.
Shutdown: Clear virtual memory pagefile = Enabled.
Установите опцию очищения файла виртуальной памяти при выключении компьютера.
System Objects: Default owner for objects.. = Object creator.
Если член группы Administrators создаёт файл или папку, в качестве владельца указывать конкретную учётную запись создателя, а не всю группу Администраторов.
System objects: Strengthen default permissions of internal system objects = Enabled.
Применять более строгие разрешения по умолчанию на внутренних объектах операционной системы, предоставляя обычным пользователям только права Чтения.
11.2.4. Дополнительные настройки безопасности для доменной среды.
Domain controller: LDAP Server signing requirements = Require signing.
Network Security: LDAP client signing requirements = Require signing.
Укрепите уровень безопасности протокола LDAP как серверов, так и клиентов, включив требование применения цифровых подписей.
Domain member: Digitally encrypt or sign secure channel data (always) = Enabled.
Domain member: Require strong session key = Enabled.
Повысьте уровень безопасности коммуникаций членов домена с контроллерами домена, потребовав наличие шифрования трафика Безопасного Канала (Secure Channel), а также применения 128‐битного ключа.
Interactive logon: Number of previous logons to cache = 0.
Запретите системе запоминать доменные реквизиты последних нескольких пользователей.
Исключение ‐ мобильные компьютеры, где это необходимо для работы.

Optimal Solutions SIA
I T s u p p o r t c o m p a n y
Протокол настройки Microsoft Windows NT
- 34 -
12. Корректировка прав доступа для работы с ограниченными
привилегиями.
Некоторые производственные программы не запускаются или работают некорректно с ограниченными привилегиями. Подобные продукты могут требовать не только дополнительной настройки своих параметров, но и расширения прав доступа на файловой системе и в Registry
(Системном реестре).
Для решения проблем запуска такой программы не назначайте разрешение на Изменение
(Modify) всего содержимого папки, в которую она установлена. Используйте систему Аудита, чтобы точно узнать, какие именно файлы или ключи реестра нуждаются в расширенных правах.
Предпримите для этого следующие действия:
-
Убедитесь, что в политиках безопасности системы, Audit Policy (Политика Аудита) включён тип аудита Object Access: Failure (Неуспешный доступ к объектам);
-
В свойствах системного (C:\) и пользовательского разделов (D:\) на закладке Security
(Безопасность) включите слежение за событиями Access Failed: Full Control (Неуспешный
доступ: Полный доступ) для учётной записи User;
-
Вызовите меню Permissions (Разрешения) для ключа реестра HKLM\Software и включите слежение за событиями Access Failed: Full Control (Неуспешный доступ: Полный доступ) для учётной записи User.
Рис. 14.1. Назначение аудита на системный реестр

Optimal Solutions SIA
I T s u p p o r t c o m p a n y
Протокол настройки Microsoft Windows NT
- 35 -
Запустите проблемную программу от лица User. Это удобно можно сделать, щёлкнув правой кнопкой мыши по ярлыку программы и в появившемся меню выбрав команду RunAs.
Выполните все необходимые действия для воспроизведения сбоя программы или появления сообщения об ошибке. В любом случае, прекратите работать с программой при первых же признаках сбоя – это позволит решать все проблемы по мере их возникновения.
Заметив время появления проблемы, запустите Event Viewer (Просмотрщик событий) из папки
Administrative Tools (Средства администрирования) и отфильтруйте журнал Security (Безопасность) по следующим критериям:
-
Event Source: Security;
-
Category: Object Access;
-
Event Types: Failure Audit;
-
Event ID: 560.
Рис.14.2. Запись неуспешной попытки доступа в журнале Безопасности
Расширьте права на файлы и ключи реестра, неудачный доступ к которым отражён в журнале
Безопасности. Однако, внимательно отнеситесь к содержимому событий – не каждое из них требует реакции администратора. Обратите внимание на следующие поля:
Image File Name. Должен быть указан исполняемый модуль проблемной программы;
Object Name. Папка, файл или ключ реестра, доступ к которым не удался;
Accesses. Суммарный флаг запрашиваемого доступа.
По окончании процесса регулировки прав Аудит рекомендуется отключить. Задокументируйте внесённые в структуру прав изменения, ‐ возможно, эта информация ещё пригодится другим администраторам.

Optimal Solutions SIA
I T s u p p o r t c o m p a n y
Протокол настройки Microsoft Windows NT
- 36 -
13. Практическое применение Software Restriction Policies.
13.1. Технология SRP.
Существуют зловредные программы, успешно работающие с ограниченными привилегиями.
Как правило, это – троянские модули, поражающие профили и активирующиеся при входе пользователей в систему.
Источником заражения при этом зачастую служат программы, с которыми работают пользователи – электронная почта, программы мгновенного обмена сообщениями (Skype, ICQ) или съёмные носители (например, flash‐диски). Пользователь, открывая в Outlook Express приложенный к письму исполняемый файл, невольно копирует его в папку Temporary Internet Files, откуда файл запускается, выполняя свою деструктивную задачу.
Технология Software Restriction Policies (Политика Ограничения Программ) способна защитить от подобного рода атак, разрешая для выполнения только те программы, что находятся в заранее оговорённом списке. Кроме того, она позволяет заблокировать исполнение других нежелательных программ – игр, чат‐программ и торрент‐клиентов.
Существуют два подхода к построению политики SRP – составление «белого списка»
(запрещено всё, но разрешены некоторые программы) и управление «чёрным списком» (разрешено всё, но запрещены некоторые программы). Наибольший уровень безопасности обеспечивает «белый список», поэтому мы будем реализовывать только его.
13.2. Базовая конфигурация системы.
Создайте в секции Computer Configuration групповых политик новую политику SRP и установите в ней следующие параметры:
-
Security Levels, Set As Default: Disallowed. По умолчанию, все программы запрещены для запуска. Разрешено запускать только программы из ”белого списка”;
-
Enforcement Properties: All Software except Libraries. Проверять только основные исполняемые файлы, без динамических библиотек. Если указать режим более строгой проверки, уровень безопасности повысится, но за это придётся расплачиваться сложностью управления и снижением скорости работы системы;
-
Enforcement Properties: All Users. В системе, защищённой разграничением привилегий, администраторы являются наиболее вероятным источником вирусных заражений. Ни в коем случае не исключайте их из правил SRP;
-
Designated File Types. Здесь определяются расширения, подлежащие проверке. Уберите из обработки расширение LNK (ярлыки Windows Explorer);
-
Trusted Publishers: End Users. Что бы данный пункт ни значил, придётся выбрать настройку
End Users для работоспособности модуля Windows Update.
Некоторые типы файлов, проверяемые политикой Software Restriction Policies по умолчанию
(например, HLP и MDB), являются необходимыми для работы конечных пользователей. Не убирайте нужные расширения из политики, а организуйте хранение этих файлов в определённом месте структуры документов. Отразите такие места в Правилах Распределения Ресурсов и внесите в
Разрешённые для запуска пути политики SRP.

Optimal Solutions SIA
I T s u p p o r t c o m p a n y
Протокол настройки Microsoft Windows NT
- 37 -
13.3. Детальные настройки политики.
Приведённые ниже настройки предполагают, что система установлена и настроена согласно
Правилам Распределения Ресурсов (см. п. 4). Без правил такого рода служба SRP не имеет смысла – беспорядочную структуру папок было бы практически невозможно охватить «белым списком».
Убедитесь, что в секции Additional Rules содержатся следующие пути:
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%, Unrestricted
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir%, Unrestricted
Эта настройка позволяют запускать программы из папок Windows и Program Files. Две другие строки, создаваемые политикой по умолчанию, удалите – они просто не нужны.
Добавьте в Additional Rules следующие параметры:
Path, D:\Resources, Unrestricted.
(Папка с инсталляционными ресурсами и скриптом резервного копирования);
Добавьте hash‐значения каждого исполняемого файла из папки D:\Accounting. Такая методика полезна не только основной своей функцией (разрешение запуска лишь определённых версий производственных программ), но и быстрым обнаружением возможного вирусного заражения. В случае распространения вирусной инфекции производственные программы с изменившимися hash‐
значениями перестанут запускаться, что вызовет необходимость произвести должное расследование проблемы.
Управление hash‐значениями может оказаться чрезмерно громоздким или невозможным для некоторых приложений. Но даже в таких случаях будет лучше внести в правила SRP компромиссный
Путь (например, ”D:\Accounting\ABC\*.bat”), чем открывать полный доступ к папке вообще.
Рис. 13.1. Пример настроенной политики SRP рабочей станции

Optimal Solutions SIA
I T s u p p o r t c o m p a n y
Протокол настройки Microsoft Windows NT
- 38 -
Не вносите в правила SRP пути, к которым пользователи имеют доступ на Запись, в том числе пути к сменным носителям! В противном случае, пользователи получат лёгкий способ обойти запреты и с помощью специальных программ вообще отключить все групповые политики из секции
User Configuration.
Не следует использовать правила путей с переменными окружения (например, лучше записать путь \\Company‐Server\Netlogon\*.bat вместо %LogonServer%\Netlogon\*.bat). Пользователи способны переопределять переменные окружения для своих сессий.
Если используемое программное обеспечение требует наличия избыточных прав на свой каталог, закройте исполняемые модули от изменений со стороны пользователей с помощью детальных разрешений NTFS, затем укажите hash‐значения каждого модуля в SRP.


13.4. Возможные проблемы и решения.
Если некая программа была заблокирована политиками SRP, запись об этом можно найти в
Application Log (Журнале Приложений). Просматривайте журнал во время установки или отладки приложений.
Процедуры установки или обновления программного обеспечения можно упростить, разместив на рабочем столе администратора ярлыки на reg‐файлы Включения SRP и Отключения
SRP:
%SystemRoot%\SRP_Enable.reg
Windows Registry Editor Version 5.00
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers]
"DefaultLevel"=dword:00000000

%SystemRoot%\SRP_Disable.reg
Windows Registry Editor Version 5.00
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers]
"DefaultLevel"=dword:00040000
Значение DefaultLevel = 0x00040000 переводит политику в режим Security Levels: Unrestricted
(«Чёрного списка»). Настройка вступает в силу незамедлительно.
Отключенная таким образом политика может длительное время оставаться брешью в системе безопасности. Настройте автоматическое включение SRP по истечению некоторого времени или после перезагрузки. Для этого в групповых политиках, секция Computer Configuration\Administrative
Templates\System\Group Policy, в настройке Registry Policy Processing укажите параметр «Process even if the Group Policy objects have not changed» («Применять, даже если политики не изменялись»).
Регулировка периода переприменения политик находится в той же секции, настройки Group
Policy refresh interval for computers и domain controllers. По умолчанию, политики переприменяются на рабочих станциях в течение 90±30 минут, на контроллерах домена – каждые 5 минут. Настройте этот период для контроллеров в пределах 60 минут. Тем самым, отключая SRP, обычно можно будет успевать выполнить все необходимые настройки сервера до момента, когда политика автоматически включится обратно.

Optimal Solutions SIA
I T s u p p o r t c o m p a n y
Протокол настройки Microsoft Windows NT
- 39 -
14. Безопасность резервного копирования.
14.1. Задача, осуществляемая с ограниченными привилегиями.
Вне зависимости от способа исполнения, процедуры резервного копирования должны соответствовать ряду условий, от выполнения которых зависит, сможете ли вы доверять сохранённым копиям.
Вопросы контроля качества копий в этой главе не рассматриваются.
Выполняйте процедуры копирования только от лица служебной учётной записи Backup с ограниченными привилегиями. Выдайте ей только те права, которые действительно необходимы для считывания резервируемых данных и создания копий.
Убедитесь, что привилегии служебных учётных записей не позволяют использовать их как‐то иначе, кроме как для резервного копирования. Например, в случае кражи пароля такой учётной записи взломщик не должен получить доступ к управлению дисками, пользователями или
Терминальному Серверу предприятия.

С помощью прав доступа NTFS обеспечьте недоступность резервных копий системы и данных
(локальные, сетевые, съёмные) для рядовых пользователей. Убедитесь, что только группы
Administrators, SYSTEM и Backup Operators допущены к этим папкам.
Наличие права Modify (Изменения) на папку с архивами сделало бы её открытой для вирусного заражения. Пользователи смогут случайно повредить копии, а в некоторых случаях даже сознательно подменить.
Наличие права Read (Чтения) копий чревато разглашением информации, доступ к которой должны иметь далеко не все работники предприятия – например, содержимого электронной почты коммерческого директора или документов отдела бухгалтерии.
14.2. Безопасность съёмных копий.
В отличие от рядовых автоматизированных процедур, съёмное копирование требует ручных операций по изъятию носителя. Такие операции должны производиться только доверяемым персоналом. Выдайте таким пользователям привилегии, достаточные лишь для чтения нужных архивов.
Съёмные копии сохраняйте на носителе в зашифрованном виде. В случае утери диска или ленты информация не должна попасть к случайным людям полностью открытой, даже если вы считаете, что ничего секретного в ней нет. Одной из грубейших ошибок администратора может являться мнение, будто данные предприятия не представляют ценности, либо никому не нужны.

Optimal Solutions SIA
I T s u p p o r t c o m p a n y
Протокол настройки Microsoft Windows NT
- 40 -
14.3. Пример настройки резервного копирования на сервере.
Рассмотрим настройку системы резервного копирования для следующего случая:
- функции компьютера можно описать как "файловый сервер";
- на компьютере хранится программа 1С с торговыми базами;
- на компьютере хранятся домашние каталоги пользователей.
Windows XP Home поставляется без инструмента резервного копирования NTBackup. Его можно установить отдельно с оригинального компакт‐диска, из папки Valueadd\MSFT.
Согласно имеющейся концепции, резервное копирование самой системы осуществляется встроенной программой NTBackup, копирование домашних каталогов и производственных программ
‐ сценарием, использующим команду xcopy. Файлы съёмного копирования автоматически подготавливаются в виде зашифрованного RAR‐архива, который затем вывозится доверенным пользователем за пределы предприятия на USB‐диске.
В папке D:\Resources создайте следующую иерархию ресурсов:
-
Подпапка Applications для хранения установочных файлов программ, драйверов;
-
Подпапка Backup Data для хранения регулярных копий системы и данных;
-
Подпапка Backup Offsite с архивом съёмных копий;
-
Подпапка Backup Script для сценариев архивирования.
D:\Resources
Administrators, Backup Operators: Read
SYSTEM: Full Control
Company Backup Offsi
D:\Resources\Backup Data
te: Read (This Folder Only)
Все унаследованные разрешения
Backup Operators: Modify
D:\Resources\Backup Offsite
Все унаследованные разрешения
Backup Operators: Modify
Company Backup Offsite: Read and Execute
D:\Resources\Backup Script
Все унаследованные разрешения
Приведённым выше набором разрешений достигаются следующие цели:
-
Cуществует большая вероятность, что установочные файлы программ и резервные копии данных могут быть повреждены в результате вирусного заражения или неосторожный действий администратора. Ограничение доступа к этим ресурсам повышает их защищённость. При необходимости обновить содержимое папки Applications права можно временно расширять.
-
Доверенные пользователи, выполняющие съёмное копирование, имеют доступ только к подготовленным архивам, содержимое которых зашифровано. Разрешений на чтение
«живых», незащищённых данных или их копий нет.
-
Разрешения удобно назначаются и контролируются лишь в трёх точках иерархии, вне зависимости от сложности и глубины резервного копирования.
-
Членам группы Backup Operators доступны только необходимые для работы каталоги.
Исполняемые модули защищены от изменений с их стороны.

Optimal Solutions SIA
I T s u p p o r t c o m p a n y
Протокол настройки Microsoft Windows NT
- 41 -
Рис. 14.1. Выбор объектов копирования в программе NTBackup
Программа NTBackup способна сохранять не только выбранные папки и файлы, но и System
State (Состояние Системы). Для того, чтобы все эти данные были успешно сохранены, учётная запись, от лица которой выполняется копирование, должна обладать привилегиями Backup Files and
Directories и Restore Files and Directories. Убедитесь, что группа Backup Operators обладает указанными привилегиями.
NTBackup использует отдельную папку для создания и хранения каталогов архивов:
%AllUsersProfile%\Application Data\Microsoft\Windows NT\NTBackup. Со временем, каталоги накапливаются и могут занять существенное дисковое пространство. Регулярно очищайте содержимое указанной папки. Также, настройте для неё следующие разрешения:
Administrators: Full Control
Backup Operators: Full Control
SYSTEM: Full Control
Эта папка может отсутствовать, если вы ещё ни разу не запускали NTBackup на данном компьютере. В таком случае, создайте её вручную.
Выполняя копирование сценарием, создавайте bkf‐файл во временной папке; затем, по окончании процесса архивации, проверяйте журнал операций, после чего копируйте архив в конечную папку внутри D:\Resources\Backup. Смысл усложнения заключается в том, что NTBackup, как и любой другой архиватор, создаёт архивы жёстко фрагментированными. Копирование уже готового файла позволяет роста фрагментации избежать.
Если сценарий резервного копирования является пакетным файлом (.bat), убедитесь, что члены группы Backup Operators обладают привилегией Logon as a Batch Job. Более того, на системах
Windows Server 2003 отредактируйте права доступа к файлу %SystemRoot%\System32\cmd.exe, разрешив системной группе BATCH Чтение и Запуск.

Optimal Solutions SIA
I T s u p p o r t c o m p a n y
Протокол настройки Microsoft Windows NT
- 42 -
В случае, если NTBackup зависает в оперативной памяти в начале процедур копирования, генерируя в журнале System ошибку DCOM 10016, настройте службу COM+. Запустите консоль
Component Services из папки Control Panel, Administrative Tools, откройте контейнер Component
Services, Computers. В свойствах My Computer, на закладке COM Security отредактируйте права по умолчанию Launch and Activation Permissions, предоставив группе Backup Operators разрешения
Local Launch и Local Activation.
Рис. 14.2. Настройка службы COM+
Данная настройка также регулируется средствами локальных и доменных групповых политик в контейнере Computer Configuration, Windows Settings, Security Settings, Local Policies, Security Options.
Осторожно применяйте её в доменной среде, так как это может привести к отказу системы.
14.4. Планировщик задач.
В Control Panel, Scheduled Tasks (Панель Управления, Запланированные Задачи) настройте запуск сценариев автоматического резервного копирования:
- еженедельно со Вторника по Субботу в 01:00, Backup Daily (тома Accounting, Users)
- еженедельно по Воскресеньям в 01:00, Backup Weekly (том C:\ и SystemState)
- еженедельно по Понедельникам в 01:00, Backup Offsite (архивирование последних копий
Daily и Weekly с паролем)
Укажите исполнение сценариев от лица служебной учётной записи Backup. Убедитесь, что и на сетевом компьютере, используемом для хранения сетевых копий, и в локальном томе Resources достаточно места для указанной в скрипте глубины копирования.

Optimal Solutions SIA
I T s u p p o r t c o m p a n y
Протокол настройки Microsoft Windows NT
- 43 -
Рис. 14.3. Исполнение запланированных задач от лица пользователя с ограниченными привилегиями
Для компьютеров, поддерживающих технологию Shadow Copies, включите теневое копирование томов Accounting и Users каждые два часа в рабочее время. Укажите следующие параметры:
-
ёмкость хранилища Shadow Copies в размере 20% от копируемых томов;
- местоположение копий – том Resources, если тот хранится на отдельном жёстком диске.
Следует учесть, что данная настройка отражается только на производительности системы, но не позволит вам восстановить данные в случае отказа копируемого диска.

Optimal Solutions SIA
I T s u p p o r t c o m p a n y
Протокол настройки Microsoft Windows NT
- 44 -
15. Регулярное обслуживание системы.
15.1. Использование административных привилегий.
Фундамент надёжной защиты от вирусов – разграничение привилегий, в результате которого состояние системы консервируется, и она не подвергается нежелательным изменениям со стороны пользователей. Выполняйте повседневные задачи только от лица учётной записи с ограниченными привилегиями – вкупе со всеми другими упомянутыми в данном Руководстве мерами безопасности, это защитит систему от вирусной инфекции или случайного повреждения.
Никогда не выдавайте рядовым пользователям членство в группах Administrators или Power
Users. Исключительные ситуации могут быть решены отдельно:
- для тестирования работоспособности программ используйте соответствующую служебную учётную запись User. Можете добавлять её в группу Administrators по мере необходимости и убирать по окончании проверки.
- пользователи мобильных компьютеров могут обладать запасной локальной учётной записью с повышенными привилегиями, но не должны использовать её для обычной работы. Учтите, что ряд проблем не требует наличия прав Администратора лля своего решения. Например, для смены IP‐адреса сетевого интерфейса достаточно быть членом группы Network Configuration Operators.
Если какая‐то производственная программа не запускается с привилегиями рядового пользователя, выполните настройку системы согласно главе «Корректировка прав доступа для работы с ограниченными привилегиями». Выдавать вместо этого пользователям права
Администратора или назначать полный доступ на весь диск или на весь реестр недопустимо!
Регулярно сверяйте список зарегистрированных пользователей и уровень их привилегий с фактическим положением дел. Это поможет в выявлении деятельности некоторых троянских программ, а также наличия неправомерного доступа у уволенного или сменившего занимаемую должность персонала.
15.2. Установка новых программ, настройка системы.
Однако, система не мертва, и повышенные привилегии необходимо использовать – например, при настройке рабочих параметров, а также для установки или обновления программ. Этот процесс необходимо строго регламентировать, так как компьютер, даже будучи защищённым от заражения со стороны рядовых пользователей, всё равно остаётся уязвимым к действиям лиц, обладающих административным доступом.
Никогда не устанавливайте и даже не пытайтесь запускать новые программы, не требующие инсталляции, без должного технического обоснования, ради «только посмотрю и уберу» или «мне сказали, полезная вещь». Приятная внешне и интересная на первый взгляд бесплатная программа, скачанная из Интернета или принесённая на диске от знакомых, может оказаться опасной ловушкой для людей, наивно полагающих «я сто раз такое делал, и ничего не случалось».
В случаях, когда тестирование действительно необходимо, производите эксперименты на
выделенном компьютере или в виртуальной среде.

Optimal Solutions SIA
I T s u p p o r t c o m p a n y
Протокол настройки Microsoft Windows NT
- 45 -
Если для установки производственных программ обоснование может быть достаточно кратким
– «эта программа будет применена на складе для учёта товара», то разрешение на установку программ системного уровня должно опираться на технические характеристики, исключающие некомпетентную оценку ситуации. Например, недопустимо мотивировать установку firewall‐модуля стороннего производителя следующим образом – «мне сказали, этот firewall хороший, а встроенный всё равно не работает, это все знают».
Помните, что система целостна и не нуждается в «полезных чистильщиках» или
«оптимизаторах памяти». Не бывает версий Windows, которые самостоятельно замусориваются – это всегда происходит по вине и при ручном вмешательстве администратора. Компьютер не должен подвергаться воздействию подобных программ ‐ эффект их применения в лучшем случае равняется нулю, а зачастую даже приравнивается к последствиям игры в русскую рулетку.
Настраивая систему, гораздо удобнее и безопаснее запускать от лица Администратора лишь отдельные программы, нежели прерывать работу пользователя, закрывая все его приложения с целью зайти в компьютер с другой учётной записью.
Рис. 15.1. Запуск программы с альтернативными привилегиями
Приняв решение установить ту или иную программу, инсталляционные файлы берите только в
оригинальном источнике (компакт‐диске или web‐сайте)! Например, категорически запрещается скачивать Windows Service Pack в peer‐to‐peer сетях или «с сайта известного компьютерного журнала», в то время как он доступен для свободного скачивания на сайте производителя
(
http://download.microsoft.com
).
Установите антивирусную программу для проверки полученных инсталляционных файлов, а также обычных регулярных сканирований дисков. Но помните, что существуют угрозы, не распознаваемые антивирусными приложениями!
Перед установкой новых программ или внесением серьёзных изменений в конфигурацию компьютера рекомендуется создать резервную копию состояния системы (C:\ и SystemState единым блоком).

Optimal Solutions SIA
I T s u p p o r t c o m p a n y
Протокол настройки Microsoft Windows NT
- 46 -
Устанавливая программы, соблюдайте Правила распределения ресурсов. Все изменения программной конфигурации системы отражайте в Паспорте компьютера. Это поможет выяснить источник проблемы в случае сбоя.
Убедитесь, что документация, регламентирующая порядок работы с административными привилегиями, доступна всем ответственным лицам; что она им понятна, и каждый умеет произвести восстановление системы из резервной копии.


15.3. Установка обновлений.
Своевременно устанавливайте обновления безопасности. Все громкие эпидемии сетевых червей CodeRed, Slammer, MSBlast, Kido (и многих других) произошли из‐за халатности системных администраторов и беспечности домашних пользователей, не устанавливавших обновления для
Windows, SQL Server и других служб от полугода и более. Как результат, черви удалённо атаковали обнаруженные ранее уязвимости, проникали в систему и продолжали распространяться с захваченных компьютеров далее.
Уязвимости обнаруживаются не только в Windows или SQL, но и во всех других системах, служебных и производственных приложениях. Для инсталляции обновлений Windows настройте компонент Automatic Updates или еженедельно посещайте сайт Windows Update вручную. На производственных предприятиях для централизованной установки обновлений примените более удобную и эффективную службу WSUS (Windows Software Update Services) под управлением Microsoft
Windows Server.
Обновления требуются также и для производственных программ. Например, понятие Service
Pack существует не только для Microsoft Office, но и для программ сторонних производителей.
Регулярно устанавливайте обновления также и для вспомогательных модулей – например, Adobe
Flash или Sun Java.
Никогда не берите эти обновления в сторонних источниках, всегда используйте только оригинальные носители или веб‐сайты!
15.4. Другие рекомендации.
Не реже, чем раз в полгода, меняйте пароли административных и служебных учётных записей.
Не используйте эти же пароли для доступа к другим системам (веб‐сайтам, электронной почте).
Помните, что пароли доступа к обычным FTP‐ и HTTP‐сайтам, а также к почтовым POP3‐серверам передаются через Интернет в полностью открытом виде!
Регулярно просматривайте журналы системы с целью обнаружения деятельности зловредных программ или попыток взлома. Журнал Application (Приложений) может содержать события службы
Software Restriction Policies, журнал Security (Безопасности) – следы попыток взлома паролей учётных записей, журнал System (Системы) – события аварийных перезагрузок компьютера.

Optimal Solutions SIA
I T s u p p o r t c o m p a n y
Протокол настройки Microsoft Windows NT
- 47 -
16. Действия при обнаружении заражения.
Не все виды угроз могут быть успешно распознаны антивирусными программами.
Приведённые ниже методики могут помочь обнаружить заражение в ситуациях, когда система ведёт себя неадекватно, а антивирус сообщает, что ничего опасного не найдено.
16.1. Анализ признаков проблемы.
-
заметно упала скорость связи с Интернетом
Интернет‐черви не ограничиваются захватом контроля над одним компьютером. Они стараются активно распространяться далее, максимально используя пропускную способность Интернет‐канала, отнимая тем самым её у других программ. Закройте все программы, выполните команду netstat в командной строке и оцените статистику сетевых соединений – каково их количество, какие порты используются. Задействуйте утилиту
Sysinternals TCPView для получения более детальной информации в реальном времени.
-
постоянно блокируются учётные записи пользователей
Некоторые модификации Интернет‐червей, а также специализированные программы взлома атакуют базу учётных записей пользователей, пытаясь подобрать их пароли.
Настроенные политики безопасности блокируют попытки взлома паролей, тем самым обнаруживая подозрительную деятельность в сети. В консоли Event Viewer откройте журнал
Security и изучите содержимое событий неудачного входа в систему. В них могут быть указаны имя или IP‐адрес атакующего компьютера.
Рис. 16.1. Блокировка учётной записи Администратора в результате атаки перебора паролей

Optimal Solutions SIA
I T s u p p o r t c o m p a n y
Протокол настройки Microsoft Windows NT
- 48 -
-
существенно снизилась скорость работы системы и прикладных программ
Вирус или процесс, запущенный хакером, могут отнимать большой объём системных ресурсов (оперативная память, процессор, жёсткий диск) для своей деятельности, тем самым «заглушая» работу остальных программ. Запустите программу Task Manager, осмотрите список запущенных процессов и даваемую ими нагрузку. Обычно пользователи работают с одними и теми же известными приложениями. Неожиданное появление новых процессов в оперативной памяти является поводом для проведения расследования, что они из себя представляют. Задействуйте утилиту Sysinternals Autoruns для просмотра списка всех программ, запускающихся при загрузке или входе пользователя в систему.
-
неожиданно перестали запускаться производственные программы
Политики SRP описывают hash‐значения разрешённых для запуска производственых программ. Вирус, заражая исполняемые модули этих программ, изменяет их контрольные суммы. Испорченные файлы более не попадают в зону действия «белого списка» SRP и заражение может быть легко обнаружено. В консоли Event Viewer откройте журнал
Application и выполните поиск событий от источника SRP.
-
появление новых файлов в местах, для этого не предназначенных
Типовым примером является наличие скрытого файл autorun.inf в корневых каталогах дисков. Его появление однозначно указывает на вирусную деятельность. Следите за чётким исполнением Правил распределения ресурсов со стороны административного персонала.
При появлении файлов неизвестного происхождения установите их владельца (в свойствах файла закладка Security, Advanced, Owner);
Рис. 16.2. Содержимое вирусного файла autorun.inf
-
невозможность зайти на сайты, связанные с безопасностью
Некоторые вирусы пытаются сорвать попытки пользователя устранить заражение, в том числе блокируя доступ к Windows Update и сайтам антивирусных производителей.
Проверьте наличие установленных обновлений, открыв сайт Windows Update вручную.

Optimal Solutions SIA
I T s u p p o r t c o m p a n y
Протокол настройки Microsoft Windows NT
- 49 -
Выполняя плановое сканирование содержимого жёсткого диска, антивирусная программа может обнаружить тело известного ей вируса и выдать сообщение об этом на экране. Однако, это вовсе необязательно свидетельствуют о заражении – возможно, файл вируса просто хранится в папке Интернет‐кэша, но запуститься не может, будучи блокируемым политиками безопасности.
Внимательно читайте сообщения антивирусной программы – возможно, никаких действий предпринимать не требуется вообще.
Рис. 16.3. Политика SRP успешно заблокировала запуск вирусной программы. Реакция не требуется
16.2. Действия при обнаружении заражения.
Доказав наличие заражения, попытайтесь оценить его масштаб. Решающим фактором может оказаться, удалось ли зловредной программе выполниться с привилегиями администратора или системного пользователя SYSTEM.
В большинстве случаев, когда вирусная программа смогла запуститься только от лица пользователя с ограниченными привилегиями, вполне достаточным может оказаться очистить или пересоздать с нуля пользовательский профиль.
Получив повышенные привилегии, зловредная программа может встроить в систему rootkit‐
модуль, обнаружить который крайне сложно либо не стоит затраченных усилий. Как вариант, само вирусное заражение могло быть получено с помощью rootkit‐модуля, уже имевшегося в системе задолго до возникновения проблемы.

Optimal Solutions SIA
I T s u p p o r t c o m p a n y
Протокол настройки Microsoft Windows NT
- 50 -
В этом случае, для гарантированного уничтожения угрозы придётся отформатировать диски и выполнить полную переинсталляцию скомпрометированной системы и прикладных программ.
Облегчить процесс переустановки могут как различные средства автоматизации установки, так и восстановление системы из последней заведомо чистой копии.
Существуют вирусы, способные проникать в Master Boot Record (MBR) жёстких дисков.
Выполните перезапись MBR непосредственно перед переустановкой системы. Это можно сделать как с помощью Recovery Console, загрузившись с инсталляционного компакт‐диска Windows, так и сторонними средствами (LiveCD).
Приняв решение о полной переинсталляции, демонтируйте жёсткий диск заражённого компьютера, скопируйте все критически важные документы на отдельный носитель и выполните полную переустановку Windows с нуля. Не разрешается подключать к работающей поражённой системе любые съёмные носители. Также, не разрешается переносить с поражённой системы любые исполняемые модули, драйвера или инсталляционные файлы. Эти ресурсы придётся взять в заведомо чистом источнике.
16.3. Анализ происшествия.
Не спешите сразу устранять все следы взлома или вирусного заражения. Сделайте копию системы для дальнейшего анализа ситуации, поиска слабых мест и изучения возможностей повышения уровня безопасности.
Наиболее грубую ошибку допускает тот, кто обвиняет в заражении системы вирусами пользователей или антивирусную программу. Как правило, вина в такого рода происшествиях целиком и полностью лежит на администраторе, нарушившим один или несколько принципов безопасной работы.
Соберите сведения о всех последних действиях пользователей и администраторов до наступления проблемы. Попытайтесь выяснить вид и источник поражения. Выясните и устраните пробел в защите системы.

Optimal Solutions SIA
I T s u p p o r t c o m p a n y
Протокол настройки Microsoft Windows NT
- 51 -
17. Заключение.
Согласно проведённым ранее исследованиям, не более 10% пользователей практикуют взвешенный подход к безопасности своих компьютеров. Ещё около 80% полагают, что наличия антивирусной программы вполне достаточно; остальные 10% не предпринимают вообще ничего.
Закономерным итогом подобного отношения являются все громкие эпидемии интернет‐червей, вирусов и регулярно обнаруживаемые ботнеты.
Приведённые в данном Руководстве методики не смогут обеспечить стопроцентную защиту от вирусов – как и все идеалы, 100% недостижимы в принципе. Однако, если бы большинство системных администраторов практиковало предлагаемый подход к безопасности, а пользователи обращались бы к ним за настройкой в том числе своих домашних систем, компьютерные вирусы однозначно перестали бы быть столь значимой угрозой, каковой они являются сейчас.
Помните: не существует безвредных вирусов – есть вирусы, о которых мы мало знаем.
В сравнении с обычным заблуждением сегодняшнего дня «я нажму одну кнопку в антивирусе, и он решит все мои проблемы», эффективность предлагаемых методов такова, что позволяет говорить о практически гарантированной защите от вирусов.

Document Outline

  • 1. Цель документа.
  • 2. Предисловие автора.
    • 2.1. Теория и практика.
    • 2.2. Для кого предназначен этот документ.
    • 2.3. Права и ответственность.
    • 3. Концепция безопасной работы.
      • 3.1. Антивирус – не панацея.
      • 3.2. Более эффективные методы защиты.
      • 3.3. Принцип предоставления наименьших полномочий.
      • 3.4. Задача непроста, но выполнима.
    • 4. Правила распределения ресурсов.
      • 4.1. Построение чёткой и понятной структуры ресурсов.
      • 4.2. Пример Правил для рабочей станции.
      • 4.3. Пример Правил для сервера.
    • 5. Первый этап инсталляции системы.
      • 5.1. Правильная инсталляция – фундамент стабильной работы.
      • 5.2. Бюрократия – одно из препятствий на пути вирусов.
    • 6. Регистрация учётных записей пользователей.
    • 7. Организация работы с группами.
    • 8. Подготовка профилей пользователей.
    • 9. Построение иерархии прав доступа.
      • 9.1. Права по умолчанию, подлежащие замене.
      • 9.2. Не давайте больше, чем нужно для работы.
      • 9.3. Пример иерархии прав доступа для рабочей станции.
      • 9.4. Пример иерархии прав доступа для сервера.
    • 10. Настройка общесистемных параметров.
    • 11. Важнейшие Политики безопасности.
      • 11.1. Account Policies (Политики Учётных Записей).
      • 11.2. Local Policies (Общие политики безопасности).
    • 12. Корректировка прав доступа для работы с ограниченными привилегиями.
    • 13. Практическое применение Software Restriction Policies.
      • 13.1. Технология SRP.
      • 13.2. Базовая конфигурация системы.
      • 13.3. Детальные настройки политики.
      • 13.4. Возможные проблемы и решения.
    • 14. Безопасность резервного копирования.
      • 14.1. Задача, осуществляемая с ограниченными привилегиями.
      • 14.2. Безопасность съёмных копий.
      • 14.3. Пример настройки резервного копирования на сервере.
      • 14.4. Планировщик задач.
    • 15. Регулярное обслуживание системы.
      • 15.1. Использование административных привилегий.
      • 15.2. Установка новых программ, настройка системы.
      • 15.3. Установка обновлений.
      • 15.4. Другие рекомендации.
    • 16. Действия при обнаружении заражения.
      • 16.1. Анализ признаков проблемы.
      • 16.2. Действия при обнаружении заражения.
      • 16.3. Анализ происшествия.
    • 17. Заключение.


Поделитесь с Вашими друзьями:
1   2   3


База данных защищена авторским правом ©nethash.ru 2019
обратиться к администрации

войти | регистрация
    Главная страница


загрузить материал