• Глава 9. Защита реестра
  • Простейшие меры ограничения доступа к реестру
    • Дополнительные меры защиты Windows 2000
  • Редактирование прав доступа к ключам реестра 
    • Обзор стандартных прав доступа в Windows XP
    • Права доступа по умолчанию к объектам файловой системы и реестра Windows 2000
    • Совместное использование файлов и полномочия доступа к ним в Windows XP
      • Установки реестра для отображения "классического" пользовательского интерфейса совместного доступа к файлам 
    • Наиболее важные ключи Windows NT/2000/XP, нуждающиеся в защите
  • Защита реестра от несанкционированного удаленного доступа
  • Защита ульев SAM и Security
    • Как защитить улей SAM
  • Ограничение анонимного доступа к компьютеру
    • Ограничение анонимного доступа в Windows 2000
    • Использование оснастки ММС Локальная политика безопасности
    • Редактирование реестра
    • Усовершенствованные возможности Windows XP и разрешение вопросов совместимости
      • Использование средства Локальная политика безопасности
      • Использование Редактора реестра 
  • Системный планировщик как еще одна потенциальная угроза безопасности
  • Резюме

Глава 9 

Защита реестра

Наверняка вам не захочется, чтобы выстроенная вами система защиты реестра выглядела так же, как только что упомянутая "страшная тайна", шитая белыми нитками- (и практически также наверняка вы уже убедились, что реестр необходимо защищать). Данная глава как раз и посвящена мерам, принятие которых позволит защитить реестр, и в то же время, не создаст помех в повседневной работе. Стоит сразу же отметить, что обсуждаемые в этой главе меры защиты реестра необходимо знать каждому администратору, всерьез озабоченному проблемой обеспечения безопасности.

Практически в каждой главе подчеркивается, что система Windows XP создана на базе ядра Windows NT/2000, и фактически, Windows NT/2000/XP — это единственное семейство операционных систем Microsoft, в котором с начального момента разработки было уделено должное внимание требованиям безопасности. Перед разработчиками изначально была поставлена задача создать операционную систему, соответствующую требованиям уровня защищенности С2. Национальное агентство США по безопасности (U.S. National Security Agency, NSA) разработало набор критериев, в соответствии с которыми выполняется оценка защищенности компьютеров и работающего на них программного обеспечения. Все эти критерии были опубликованы в виде книг, каждая из которых имела обложку определенного цвета, вследствие чего весь набор критериев получил известность под названием "Радужной серии" (Rainbow Series). Термин "класс защищенности С2" — это самый известный термин из всех употребляющихся в "Радужной серии". Оценка программного обеспечения на соответствие требованиям класса защищенности С2 производится с использованием критериев оценки защищенности компьютерной системы (Trusted Computer System Evaluation Criteria, TCSEC). Критерии TCSEC, так называемая "Оранжевая книга" (Orange Book), регламентируют процедуру оценки защищенности информационных систем правительственными организациями. Американский класс защищенности С2 официально считается высшим классом защищенности, сертификацию по которому могут получить потребительские операционные системы общего назначения.

 Примечание

Следует упомянуть и альтернативную точку зрения на уровень защищенности С2. Дело в том, что хотя этот класс и считается наивысшим классом защищенности для потребительских операционных систем, он не является наивысшим для всех операционных систем вообще. Отметим особо, что в тех областях, где требуется обеспечение высшего уровня защиты и секретности, применяются специализированные защищенные операционные системы (и такие ОС, как Novell NetWare, Windows NT/2000/XP, UNIX и Linux, к этим системам не относятся). Для сертификации защищенных операционных систем, применяющихся в военной области, атомной энергетике и других стратегически важных областях, определены иные классы защищенности, высшим из которых является класс А. Более низкими по отношению к С2 являются только классы С1 (сертификация по которому не проводится) и D (класс, к которому относятся все операционные системы, не попадающие в другие классы). Более подробную информацию о "Радужной серии" и существующих классах защищенности можно получить по адресу http://www.radium.ncsc.mil/tpep/library/rainbow.

Сертификация операционной системы на соответствие уровню защищенности С2 заключается в оценке и тестировании функций обеспечения безопасности, имеющихся в составе ОС. Это тестирование должно определить, насколько полно все эти функциональные возможности реализованы, и насколько корректно они функционируют. Требования к операционной системе, защищенной по классу С2, включают:

•  обязательную идентификацию и аутентификацию всех пользователей операционной системы. Под этим понимается способность ОС идентифицировать всех пользователей, которые получают санкционированный доступ к системе, и предоставление доступа к ресурсам только этим пользователям;
•  разграничительный контроль доступа — предоставление пользователям возможности защиты принадлежащих им данных;
•  системный аудит — способность системы вести подробную проверку всех действий, выполняемых пользователями и самой операционной системой;
•  защиту объектов от повторного использования — способность системы предотвратить доступ пользователя к информации ресурсов, с которыми до этого работал другой пользователь (например, обеспечение невозможности повторного использования освобожденной памяти или чтения данных из файлов, которые были удалены).

В процесс сертификации операционной системы по уровню защищенности С2 входят:

•  исследование исходного кода;
•  изучение документации о подробностях реализации, предоставленной разработчиками; 
•  повторное тестирование с целью устранения всех ошибок, выявленных в ходе оценки.

Примечание 

Более подробное описание процедуры сертификации можно найти по адресу http://www.radium.ncsc.mil/tpep.

Во многих надежных и заслуживающих доверия источниках информации часто встречалось утверждение, что соответствие операционной системы Windows NT 4.0 требованиям класса защищенности С2 является мифом. И действительно на тот момент сертификацию по классу С2 прошла только операционная система Windows NT 3.5, причем обязательно с Service Pack 3. Однако, к настоящему моменту эти сведения устарели. 2 декабря 1999 года правительство США объявило, что операционные системы Windows NT 4.0 Workstation и Windows NT 4.0 Server успешно прошли сертификацию по классу С2. В процессе сертификации тестировались серверы и рабочие станции как в локальном (с отсутствующими сетевыми адаптерами и внешними накопителями), так и в сетевом вариантах (в сетях TCP/IP). Официальную информацию об этом можно найти на Web-узле компании Microsoft.

Что касается операционных систем из семейства Windows 2000/XP, то говорить об их защищенности по классу С2 пода еще рано, поскольку им процедура сертификации еще только предстоит.

Разумеется, случаи несанкционированного вмешательства в работу компьютерных сетей — реальность сегодняшней жизни. Примеры, доказывающие распространенность этих явлений, можно в большом количестве найти как на страницах различных изданий, так и в Интернете. Однако гораздо более распространен тот случай, когда вред (причем неумышленный!) наносят пользователи, знающие очень мало, чтобы считаться грамотными, но достаточно, чтобы быть опасными. Практически в каждой организации имеются любознательные, но недостаточно квалифицированные пользователи, которые любят просматривать подряд все исполняемые файлы и пытаются их запускать. Если таким пользователям случайно попадается на глаза один из редакторов реестра — Regedit.exe или Regedt32.exe, а меры безопасности не предприняты, то обычно они спохватываются только тогда, когда начинаются проблемы с загрузкой системы.

Простейшие меры ограничения доступа к реестру

Наилучшим вариантом избежать неприятностей, связанных с неквалифицированным вмешательством пользователей в реестр, является предотвращение их доступа к реестру. Если операционная система Windows NT/2000/XP установлена на разделе NTFS, то простейшим способом решения этой задачи является установка прав доступа как к редакторам реестра, так и к файлам ульев реестра в папках пользовательских профилей. К сожалению, использование файловой системы NTFS возможно не всегда — так, иногда бывает, что применение FAT диктуется необходимостью работы с наследуемыми приложениями (именно поэтому многие рабочие станции Windows 2000/XP и особенно — Windows NT 4.0 — используют файловую систему FAT). По этой причине в случае применения FAT необходимо разработать альтернативные планы защиты реестра.

Дополнительные меры защиты Windows 2000

Как уже говорилось, интерфейс Windows 2000/XP максимально ориентирован на начинающих пользователей, которых, может быть, и в самом деле нужно защищать от них же самих. Одной из таких мер являются так называемые "суперскрытые файлы" ("super-hidden" files).

Рис. 9.1. Исходные опции операционной системы, относящиеся к защищенным системным файлам

В главе 1 говорилось о защищенных файлах операционной системы, которые недоступны для обычного пользователя (и даже не видны). Именно такие файлы иногда называют "super-hidden", хотя, разумеется, такого атрибута у файлов нет. У них просто установлены атрибуты "Скрытый" (Hidden) и "Системный" (System). По умолчанию. Проводник (Windows Explorer) их не отображает. Вы можете назначить эти атрибуты редакторам реестра. Таким образом, они окажутся "скрыты" от начинающих пользователей, не умеющих пользоваться командной строкой (например, команда dir /а отображает все файлы, какие бы атрибуты они не имели).

Рис. 9.2. Кнопка Поиск позволяет найти ярлыки программы Редактор реестра

Если вы решите воспользоваться этими простейшими методами защиты, то не забудьте восстановить исходные параметры системы, управляющие отображением защищенных системных файлов. В Проводнике (Explorer) или окне Мой компьютер (My Computer) выберите команду Свойства папки (Folder Options) меню Сервис (Tools), а затем перейдите на вкладку Вид (View) — рис. 9.1. В списке Дополнительные параметры (Advanced settings) установите переключатель Не показывать скрытые файлы и папки (Do not show hidden files and folders). Установите также флажок Скрывать защищенные системные файлы (рекомендуется) (Hide protected operating system files (Recommended)).

Примечание 

Если на рабочем столе вашего компьютера или же в меню Пуск (Start) размещены ярлыки Редактора реестра (Regedit), то следует их удалить, иначе пользователь сможет их найти с помощью команды Поиск (Search) — рис. 9.2.

К тому же в меню Пуск (Start) имеется команда Выполнить (Run), и установка атрибутов "Скрытый" (Hidden) и "Системный" (System) не будет препятствовать пользователю в запуске программы Regedit.exe с помощью команды Выполнить (Run). И, в любом случае, этот метод лишь позволяет скрыть потенциально опасные файлы от начинающих пользователей, не умеющих обращаться с командной строкой (например, dir /a).

Совет

Некоторые авторы рекомендуют вообще "удалить программу Regedit.exe на всех рабочих станциях". Начинающие пользователи, конечно, больше не смогут ее запустить, но насколько это решение окажется удобным для вас? Лучше переименовать этот файл и переместить его в другой каталог (при этом следует запомнить его новое имя и местоположение).

Редактирование прав доступа к ключам реестра

Если у вас есть некоторый опыт работы в Windows NT/2000, то вы, вероятно, заметите, что многие функциональные свойства Windows XP Professional, относящиеся к безопасности, вам уже знакомы.

Например, в Windows XP, так же как и в Windows NT/2000, идентификация пользователей и групп осуществляется с помощью так называемых идентификаторов безопасности (security identifiers, Security ID, SID). Они имеют большую длину и уникальны для каждого пользователя (даже с учетом пользователей, зарегистрированных в других системах). Если вы сначала удалите учетную пользовательскую запись на локальном компьютере или в домене, а затем создадите новую пользовательскую учетную запись с тем же регистрационным именем, то система сгенерирует для нее новый SID. Двух одинаковых идентификаторов безопасности в принципе быть не может. SID имеет следующий формат: S-1-XXXXX₁-YYYYY₂-...-RID, где: S-1 — идентификатор безопасности, версия 1; ХХХХХ — номер полномочия (authority number), YYYYY_n — дополнительные номера полномочия (subauthority numbers), RID — относительный идентификатор (Relative ID). Обратите внимание, что Relative ID (RID) не обязательно должен быть уникальным для каждого компьютера.

 Примечание 

Обратите также внимание, что многие пользователи Windows NT/2000/XP в том числе и опытные, нередко считают, что система идентифицирует каждого пользователя по входному имени (login) и паролю. Это не так; именно SID позволяет уникально идентифицировать каждого пользователя в системе. Пользовательские профили, которые будут подробно обсуждаться в главе 10, также идентифицируются по соответствующим SID.

Как уже упоминалось, SID пользователя является уникальным. Однако, существуют так называемые известные SID (well-known SIDs), значения которых постоянны для всех систем. Перечисленные ниже идентификаторы охватывают определенные категории пользователей и групп.

•  Все пользователи (Everyone) (S-1-1-0). Группа Everyone будет рассмотрена позже в данной главе. Здесь же следует отметить, что к ней автоматически относятся все пользователи компьютера, даже с анонимными гостевыми учетными записями. Значение номера полномочий данного идентификатора равно 1 (так называемые "мировые полномочия" — 1 (World Authority)), а значение дополнительного уровня полномочий равно О (Null RID).
•  Создатель-Владелец (Creator Owner) (S-1-3-0). Эта категория служит в качестве шаблона (placeholder) в наследуемом элементе управления доступом (Access Control Entry, АСЕ). При наследовании АСЕ, замещает SID этой категории на SID текущего владельца объекта. Значение номера полномочий для данного SID равно 3 (Creator Authority). У него есть одно значение номера дополнительных полномочий — 0 (Null RID).

 Примечание 

Полный список известных SID в Windows 2000 и Windows XP приведен в статье Microsoft Knowledge Base Q243330 —"Well Known Security Identifiers in Windows 2000 and Windows XP".

Windows NT/2000/XP поддерживает списки контроля доступа (Access Control List, ACL) для реестра, которые могут использоваться для зашиты ключей реестра. ACL представляют собой базу данных, которая поддерживает информацию о правах доступа к конкретным объектам операционной системы (в данном случае — к ключам реестра).

Примечание 

Следует отметить, что в Windows NT/2000 только редактор реестра Regedt32.exe позволяет получать доступ к ACL для ключей реестра, а приложение Regedit.exe такой возможности не предоставляет. В сравнении с Windows NT/2000, в Windows XP, есть усовершенствование в этой области. Версия программы Regedit.exe, поставляемая в составе Windows XP, совмещает в себе традиционные сильные стороны предыдущей версии с функциональными возможностями, которые были ранее заложены лишь в Regedt32.exe, включая, разумеется, доступ к ACL и аудит доступа к ключам реестра. Подробные пошаговые инструкции по установке прав доступа к ключам реестра приведены в главе 3. В этой же главе основное внимание будет уделено не административным операциям, а практическим советам. В частности, здесь будут указаны наиболее важные ключи реестра, доступ к которым должен быть ограничен с целью обеспечения безопасности системы.

 Примечание

Когда вы работаете в Windows XP Professional в составе рабочей группы или в отдельном окружении и обладаете соответствующими административными правами, вам предоставляется доступ ко всем функциям обеспечения безопасности в операционной системе. Если ваш компьютер является участником домена, то эти характеристики будут определяться политикой, устанавливаемой IТ-администратором.

Обзор стандартных прав доступа в Windows XP

Стандартные настройки системы безопасности Windows XP определяются правами доступа по умолчанию, которые назначаются перечисленным ниже группам.

•  Администраторы (Administrators) — пользователи из этой группы обладают полным набором прав на локальном компьютере или в домене. Так, по умолчанию администраторы могут получать доступ к любому ключу и параметру реестра, а также к любому объекту файловой системы. Эти пользователи могут выполнять все функции, поддерживаемые операционной системой, а любой уровень прав, которые не присвоены ему по умолчанию, администратор может назначить себе сам. Обратите внимание, что по умолчанию в эту группу будет включена первая пользовательская учетная запись, созданная при первоначатьной инсталляции операционной системы. Если же вы осуществляете обновление системы с версии Windows NT/2000, то в эту группу будут включены члены группы Администраторы (Administrators). Если ваш компьютер является участником домена, то в нее будут включены члены группы Администраторы (Administrators) этого домена.

Примечание 

Независимо от того, в какой системе вы работаете, — Windows NT/2000 или Windows XP, настоятельно рекомендуется ограничивать количество пользователей, входящих в группу Администраторы (Administrators). Причина проста: чем многочисленнее эта группа, тем более уязвимой будет ваша система, поскольку все учетные записи этой группы (в особенности, если не соблюдается строгая парольная защита) могут потенциально быть использованы для получения неавторизованного доступа к компьютеру.

•  Опытные пользователи (Power Users). Так же как и в Windows 2000, эта группа обладает правами, набор которых меньше, чем набор прав членов группы Администраторы (Administrators), но существенно шире, чем права, предоставленные группе Пользователи (Users). Стандартная настройка прав доступа, устанавливаемая по умолчанию для группы Опытные пользователи (Power Users), является совместимой с настройкой параметров безопасности для группы Users в Windows NT 4.0. В Windows 2000 и Windows XP членам группы Опытные пользователи (Power Users) разрешено устанавливать приложения, которые затем могут использоваться всеми членами группы Пользователи (Users), а также выполнять ограниченный набор задач по настройке системы, в том числе: устанавливать системные дату и время, изменять параметры настройки экрана, устанавливать принтеры, настраивать управление электропитанием и т. д. Члены этой группы могут также запускать несертифицированные приложения, которые не могли успешно выполняться под полномочиями группы Пользователи (Users). При обновлении системы с Windows NT 4.0 на Windows XP все пользователи включаются в группу Опытные пользователи (Power Users).
•  Пользователи (Users). Так же как и в Windows 2000, при условии, что новая копия Windows XP (в отличие от случаев, когда производится обновление версии операционной системы) была установлена на разделе NTFS, стандартная настройка системы безопасности сконфигурирована так, что пользователям из группы Пользователи (Users) не позволяется нарушать целостность операционной системы и установленных приложений. Так, эти пользователи не могут модифицировать параметры реестра, влияющие на конфигурацию компьютера в целом, файлы операционной системы и установленных приложений. Пользователи из группы Пользователи (Users) не имеют права устанавливать приложения, которые могут использоваться другими членами этой группы (это — одна из мер защиты против "троянских коней"). Помимо этого, пользователи не могут получать доступ к данным других пользователей. Таким образом, для построения защищенной системы Windows 2000/XP Microsoft рекомендует конфигурировать систему таким образом, чтобы все конечные пользователи были членами только одной группы — Пользователи (Users), а приложения, необходимые для работы, должны устанавливаться членами группы Администраторы (Administrators) или Опытные пользователи (Power Users). На практике члены группы Пользователи (Users) не могут самостоятельно устанавливать большинство наследуемых приложений. Как правило, в контексте безопасности группы Пользователи (Users) успешно выполняются только те приложения, которые специально сертифицированы для работы в Windows XP. Что касается приложений, сертифицированных для использования в Windows 2000, пользователям могут потребоваться полномочия группы Опытные пользователи (Power Users); таким образом, необходимо протестировать все ваши приложения с полномочиями тех пользователей, которые будут в дальнейшем работать с этими приложениями.
•  Гости (Guests). Изначальные установки безопасности в Windows XP запрещают доступ к журналам системных событий и приложений со стороны членов группы Гости (Guests). Во всех других отношениях, члены группы Гости (Guests) наделены теми же правами доступа, что и члены группы Пользователи (Users). Это позволяет непостоянным пользователям зарегистрироваться в учетной записи Гость (Guest) и получить ограниченные полномочия. Члены группы Гости (Guests) могут также выключать систему.
•  Операторы архива (Backup Operators). Члены этой группы могут выполнять резервное копирование и восстановление файлов компьютера, независимо от разрешений, которыми защищены эти файлы. Они могут также регистрироваться на компьютере, выключать его, но не могут менять параметры безопасности.
•  Репликатор (Replicators). Члены этой группы могут выполнять копирование файлов в домене.
•  Операторы настройки сети (Network Configuration Operators). Члены этой группы имеют ограниченные административные полномочия, которые позволяют им конфигурировать возможности сети, например, назначать IP-адреса.
•  HelpServicesGroup. Члены этой группы могут использовать вспомогательные приложения для диагностики системных проблем. Данная учетная запись может использоваться членами Microsoft Help and Support Services для доступа компьютера по сети и локальной регистрации.
•  Пользователи удаленного рабочего стола (Remote Desktop Users). Члены этой группы имеют право на локальную регистрацию.

Примечание 

Как отмечалось ранее, если ваш компьютер с Windows XP Professional является участником домена, то параметры определяются политикой безопасности, установленной администратором домена. Контроллеры домена содержат локальные версии всех групп, перечисленных выше, а также некоторое количество дополнительных групп для работы на сервере.

Права доступа по умолчанию к объектам файловой системы и реестра Windows 2000

Стандартные параметры безопасности задаются программой-менеджером настройки — Диспетчер настройки безопасности (Security Configuration Manager) во время инсталляции системы, когда запускается установка графического пользовательского интерфейса. При выполнении инсталляции "с нуля" (clean installation) (к такому типу относится также обновление системы с Windows 9x) будет использоваться шаблон безопасности %SystemRoot9%\ inf\defltwk.inf. Если обновление производится с Windows NT/2000, то Диспетчер настройки безопасности (Security Configuration Manager) будет использовать другой шаблон ~%SystemRoot%\\nf\DW\Up.inf.

Параметры системы безопасности для объектов файловой системы могут быть установлены лишь в том случае, если система Windows 2000 или Windows XP инсталлируется в раздел NTFS. Если же установка системы осуществляется в раздел FAT или FAT32, то это невозможно.

Как уже отмечалось, пользователи из группы Администраторы (Administrators) имеют неограниченный доступ ко всем объектам файловой системы и реестра. Что касается пользователей, принадлежащих к группам Пользователи (Users) и Опытные пользователи (Power Users), то они имеют более ограниченный набор прав доступа к объектам файловой системы и реестра. В табл. 9.1 перечислены права доступа к объектам файловой системы, присваиваемые по умолчанию пользователям групп Опытные пользователи (Power Users) и Пользователи (Users). Такое присвоение происходит в том случае, если производится установка новой копии Windows 2000/XP в раздел, отформатированный для использования файловой системы NTFS. За исключением случаев, оговоренных особо, указанные в таблице права доступа действуют применительно к каталогу, всем вложенным каталогам и файлам.

Принятые обозначения: %SystemDir% — каталог %SystemRoot%\System32, RX — Read and Execute (право чтения и исполнения), *.* — файлы, содержащиеся в каталоге (но не другие вложенные каталоги).

 Примечание 

В Windows XP имеется новый корневой список контроля доступа (ACL), который реализуется при помощи команд Format и Convert. К тому же Диспетчер настройки безопасности (Security Configuration Manager) теперь обеспечивает безопасность корневого каталога во время установки, если текущий признак (descriptor) безопасности корневого каталога позволяет предоставить полномочия Полный доступ (Full Control) группе Everyone. Это обеспечивает более эффективную безопасность каталогов, не относящихся к Windows. Новый корневой ACL в Windows XP содержит следующие объекты:

•  Администраторы (Administrators), System: Полный доступ (Full Control), Container Inherit (Наследование контейнера), Object Inherit (Наследование объекта);
•  Создатель-Владелец (Creator Owner): Полный доступ (Full Control), Container Inherit (Наследование контейнера), Object Inherit (Наследование объекта), Inherit Only ("Простое" наследование);
•  Everyone (Все пользователи): Чтение/Исполнение (Read/Execute), No Inheritance (Наследования нет);
•  Пользователи (Users): Чтение/Исполнение (Read/Execute), Container Inherit, Object Inherit;
•  Пользователи (Users): Create Directory (Создание каталога), Container Inherit;
•  Пользователи (Users): Add File (Добавление файла), Container Inherit, Inherit Only.

Таблица 9.1. Права доступа по умолчанию, назначаемые объектам файловой системы Windows 2000/XP

Пользователи из группы Опытные пользователи (Power Users) могут записывать новые файлы в каталоги, список которых приведен ниже, но не могут модифицировать файлы, которые были скопированы в эти каталоги во время установки Windows 2000/XP. Все пользователи из группы Опытные пользователи (Power Users) наследуют доступ с правом модификации (Modify) на все файлы, созданные в этих каталогах одним из членов этой группы.

•  %SystemRoot% 
•  %SystemRoot%\sys\tem ,
• %SystemRoot%\Cofig
•   %SystemDir%
• %SystemRoot%\cursors
•   %SystemDir%\OS2
•   %SystemRoot%\fonts 
•  %SystemDir%\OS2\DLL
•   %SystemRoot%\he\p 
•   %SystemDir%\RAS
•  %SystemRoot%\inf 
•   %SystemDir%\Viewers
•   %SystemRoot%\media

Во все каталоги, для которых пользователи из группы Опытные пользователи (Power Users) имеют доступ, обозначенный в табл. 9.1 как Modify (каталоги и вложенные каталоги) и RX (файлы), эти пользователи могут записывать новые файлы. Но все остальные члены группы Опытные пользователи (Power Users) будут иметь к таким файлам доступ с правом только чтения.

Права доступа к объектам реестра Windows 2000/XP, присваиваемые по умолчанию пользователям из групп Пользователи (Users) и Опытные пользователи (Power Users), перечислены в табл. 9.2. При этом права доступа к конкретному объекту реестра наследуются также всеми дочерними объектами этого объекта, за исключением тех случаев, когда дочерние объекты сами перечислены в табл. 9.2.

Таблица 9.2. Права доступа к объектам реестра Windows 2000, назначаемые по умолчанию пользователям из групп Пользователи и Опытные пользователи

Принятая система обозначений:

•  HKLM = HKEY_LOCAL_MACHINE 
•  SW = Software
•  MS = Microsoft
•  CV = CurrentVersion
•  CCS = CurrentControlSet
•  W NT = Windows NT

Совместное использование файлов и полномочия доступа к ним в Windows XP

Как и в Windows NT/2000, Windows XP предоставляет возможность совместно с другими пользователями оперировать файлами в локальной системе и в сети. Однако в Windows XP Home Edition и Windows XP Professional появился новый пользовательский интерфейс — Простой общий доступ к файлам (Simple File Sharing) (рис. 9.3), а также новое функциональное свойство — Общие документы (Shared Documents). Рассмотрим их более подробно.

Рис. 9.3. Пользовательский интерфейс упрощенного общего доступа к файлам

На компьютерах с Windows XP Home Edition и Windows XP Professional, участвующих в рабочей группе, пользовательский интерфейс Простой общий доступ к файлам (Simple File Sharing) активизирован по умолчанию. Однако, если вы загружаете систему в безопасном режиме (Safe mode), то вместо этого интерфейса отображается "классический" редактор ACL. К тому же, если вы сделаете компьютер с Windows XP Professional участником домена, то на нем будет активизирован такой пользовательский интерфейс обеспечения безопасности и совместного использования, как был реализован в Windows 2000.

Простой общий доступ к файлам (Simple File Sharing) можно отключить. Для этого нужно запустить утилиту Свойства папки (Folder Options) в Панели управления (Control Panel), перейти на вкладку Вид (View) и сбросить флажок Использовать простой общий доступ к файлам (рекомендуется) (Use Simple File Sharing (Recommended)).

 Примечание

Отключив Простой общий доступ к файлам (Simple File Sharing), вы получите большие возможности по управлению полномочиями доступа пользователей. Однако в этом случае для обеспечения безопасности файлов и папок необходимо хорошо знать NTFS и систему назначения полномочий. Следует также учесть, что при отключении опции Простой общий доступ к файлам (Simple File Sharing), возможность использования общих документов (Shared Documents) не будет отключена.

В главе 4 уже были даны рекомендации по отключению опции Простой общий доступ к файлам (Simple File Sharing). Здесь мы главным образом сосредоточимся на новых функциональных возможностях по обеспечению безопасности, появившихся в Windows XP, в том числе, рассмотрим уровни полномочий доступа, которые недостаточно полно описаны в онлайновой системе помощи.

Windows XP предоставляет пять различных уровней полномочий, независимо от того, активизирован ли пользовательский интерфейс Simple File Sharing или нет. Ниже перечислены уровни полномочий в Windows XP:

•  Уровень 1. My Documents (Private) (Мои документы (Частный)). Этот уровень обеспечивает наибольшую конфиденциальность и безопасность. Он доступен только для локально зарегистрировавшихся пользователей. Владелец файла или папки имеет полномочия чтения и записи в них. Кто-либо другой не сможет выполнить запись/чтение папки или содержащихся в ней файлах. Все подкаталоги, содержащиеся в папке, которые отмечены как частные (private), остаются частными до тех пор, пока вы не поменяете полномочия на доступ к родительской папке. Если вы являетесь администратором компьютера (Computer Administrator) и создаете пользовательский пароль для своей учетной записи с помощью инструментального средства Учетные записи пользователей (User Accounts) из Панели управления (Control Panel), то вам будет предложено сделать свои файлы и папки частными.

 Примечание

Опция, позволяющая присвоить папке первый уровень полномочий (Уровень 1) доступна лишь для учетной пользовательской записи в пределах собственной папки Мои документы (My Documents). Для того чтобы назначить папке и всем содержащимся в ней файлам первый уровень полномочий доступа, щелкните правой кнопкой мыши по этой папке, а затем выберите команду Общий доступ и безопасность (Sharing and Security), установите флажок Отменить общий доступ к этой папке (Make this Folder Private) и нажмите кнопку ОК. Когда вы делаете папку частной (private), то вы получите следующие права доступа в локальной системе NTFS: Owner (Владелец) — Полный доступ (Full Control), System— Полный доступ (Full Control). При этом данная папка не будет доступна для совместного использования в сети.

•  Уровень 2. Default sharing (совместное использование, заданное по умолчанию). Файлы, хранящиеся в папке Мои документы (My Documents), имеют данный уровень доступа по умолчанию. Доступ к папкам этого уровня имеют только локально зарегистрированные пользователи. Владелец файла или папки, а также локальные администраторы компьютера (Computer Администраторы (Administrators)) имеют полномочия для чтения/записи папки и содержащихся в «ей файлов. Эта установка задана по умолчанию для всех папок и файлов, содержащихся в папке Мои документы (My Documents) каждого пользователя. Для присвоения папке и содержащимся в ней файлам второго уровня доступа, нужно щелкнуть правой кнопкой мыши по данной папке, перейти на вкладку Доступ (Sharing), удостовериться, что оба флажка Отменить общий доступ к этой папке (Make this folder private) и Открыть общий доступ к этой папке (Share this folder on the network) сброшены, а затем нажать кнопку ОК. Когда вы устанавливаете для папки второй уровень прав доступа, то получаете следующие права доступа в локальной системе NTFS: Owner — Полный доступ (Full Control), Администраторы (Administrators) — Полный доступ (Full Control), System — Полный доступ (Full Control). При этом данная папка не будет доступна для совместного использования в сети.
•  Уровень 3. Файлы в совместно используемых документах доступны для локальных пользователей. Для установки третьего уровня просто скопируйте файл или каталог в папку общих документов, расположенную в окне Мой компьютер (My Computer). Доступ к папкам этого уровня разрешен лишь тем пользователям, которые локально зарегистрировались в системе. Когда вы устанавливаете этот уровень доступа для какого-нибудь каталога, локально зарегистрированные пользователи получают возможность совместно использовать файлы, хранящиеся в нем. Локальные администраторы (Local Administrators) смогут осуществлять чтение/запись или удаление файлов в каталоге с третьим уровнем прав доступа. Пользователи, относящиеся к группе Restricted Users, смогут лишь выполнять чтение этих файлов. Группа Опытные пользователи (Power Users) есть лишь в Windows XP Professional. Удаленные пользователи не имеют доступа к файлам третьего уровня. Когда вы устанавливаете для папки третий уровень прав доступа, то получаете следующие права доступа в локальной системе NTFS: Owner — Полный доступ (Full Control), Администраторы (Administrators) — Полный доступ (Full Control), Опытные пользователи (Power Users) — Change, Restricted Users — Read, System — Полный доступ (Full Control). При этом данная папка не будет доступна для совместного использования в сети.
•  Уровень 4. Папки и файлы, относящиеся к этому уровню (Shared Files on the Network (Readable by Everyone) — совместно используемые файлы в сети, чтение которых могут выполнять пользователи категории Everyone), доступны как для локально зарегистрированных пользователей, так и для тех, кто зарегистрировался по сети. Любой пользователь, имеющий права чтения в сети, может использовать файлы этого уровня. Все локальные пользователи, включая относящихся к группе Гости (Guests), могут осуществлять чтение этих файлов, однако не могут вносить изменения в их содержимое. Любой пользователь, который имеет возможность подключиться к вашему компьютеру по сети, может читать и изменять ваши файлы. Для присвоения папке и содержащимся в ней файлам четвертого уровня доступа, нужно щелкнуть правой кнопкой мыши по данной папке, выбрать команду Доступ и безопасность (Sharing and Security), в открывшемся окне установить флажок Открыть общий доступ к этой папке (Share this folder on the network), но не устанавливать флажок Разрешить изменение файлов по сети (Allow network users to change my files). Когда вы устанавливаете для папки четвертый уровень прав доступа, то получаете следующие права доступа в локальной системе NTFS: Owner — Полный доступ (Full Control), Администраторы (Administrators) — Полный доступ (Full Control), System — Полный доступ (Full Control), Everyone — Read. При этом для совместного использования по сети ей будут назначены следующие полномочия доступа: Everyone — Read.
•  Уровень 5. Shared Files on the Network (Readable and Writable by Everyone) — совместно используемые файлы в сети, чтение/запись которых могут выполнять пользователи группы Everyone. Эти установки предоставляют самый общий доступ и возможность внесения изменений и обеспечивают самую минимальную степень безопасности. Папки пятого уровня доступны как для локальных пользователей, так и для тех, кто зарегистрировался по сети. Этот уровень рекомендуется использовать только в хорошо защищенных сетях, снабженных брандмауэрами. Все локальные пользователи, включая группу Гости (Guests), могут выполнять чтение и модифицировать файлы. Для присвоения папке и содержащимся в ней файлам пятого уровня доступа, нужно щелкнуть правой кнопкой мыши по данной папке, выбрать команду Доступ и безопасность (Sharing and Security), затем установить флажки Открыть общий доступ к этой папке (Share this folder on the network) и Разрешить изменение файлов по сети (Allow network users to change my files). Когда вы устанавливаете для папки пятый уровень прав доступа, то получаете для нее следующие права доступа в локальной системе NTFS: Owner — Полный доступ (Full Control), Администраторы (Administrators) — Полный доступ (Full Control), System — Полный доступ (Full Control), Everyone — Change. Для совместного использования по сети ей будут назначены следующие полномочия доступа: Everyone — Полный доступ (Full Control).

Примечание 

К локально зарегистрированным пользователям также относятся те, кто зарегистрировался на компьютере с Windows XP Professional в сеансе Remote Desktop (RDP).

Уровни полномочий, предоставляемые в Windows XP, представлены в табл. 9.3.

Таблица 9.3. Уровни полномочий в Windows XP

 Примечание 

Все полномочия в NTFS, относящиеся к группе Everyone, включают в себя группу Гости (Guests). Все уровни, приведенные выше, являются взаимоисключающими. Частные (private) папки (Уровень 1) не допускают совместного использования, а совместно используемые папки (Уровни 4 и 5) не могут стать частными, пока не будет отменено их совместное использование. Если вы создаете папку внутри папки общих документов (Shared Documents) (Уровень 3), совместно используете ее в сети, а затем позволяете пользователям внести изменения в ваши файлы (Уровень 5), то для этой папки, файлов, содержащихся в ней, а также для всех дочерних папок и т. п. действуют полномочия доступа пятого уровня.

Опытные пользователи обращают внимание на то, что полномочия в NTFS не распространяются на операции по перемещению файлов при использовании Проводника (Windows Explorer) с активизированным пользовательским интерфейсом Простой общий доступ к файлам (Simple File Sharing).

Если вы активизируете и выключаете опцию Простой общий доступ к файлам (Simple File Sharing), полномочия доступа к файлам при этом не изменяются. Полномочия доступа в NTFS и на совместное использование не меняются, пока вы не измените их в этом интерфейсе. Если вы установите права доступа при включенном пользовательском интерфейсе, то это повлияет только на элементы управления доступом (Access Control Entries, АСЕ) файлов, используемых для Простого общего доступа к файлам (Simple File Sharing). Интерфейс Простой общий доступ к файлам (Simple File Sharing) влияет на следующие АСЕ файлов и папок в списке управления доступом (ACL):

•  Owner; 
•  Everyone; 
•  Администраторы (Administrators); 
•  System.

Установки реестра для отображения "классического" пользовательского интерфейса совместного доступа к файлам

Когда параметры безопасности установлены в Windows XP, используется следующий ключ реестра (рис. 9.4):

HKEY_LOCAL_MACHINE\SYSTEM\
CurrentControlSet\Control\Lsa      

Найдите значение forceguest (тип данных — REG_DWORD). Оно может принимать значение 1 (force guests on, "принудительная регистрация гостей активизирована") или 0 (force the guests off, "принудительная регистрация гостей блокирована"), которые управляют пользовательским интерфейсом совместного доступа (Sharing UI) и поведением редактора списка контроля доступа (ACL).

Рис. 9.4. Содержание ключа реестра HKEY_LOCAL_MACHINE\ SYSTEM\CurrentControlSet\Control\Lsa

Значения элемента реестра Forceguest и его влияние на поведение интерфейса совместного доступа (Sharing UI) и редактора ACL представлены в табл. 9.4.

Таблица 9.4. Влияние значения Forceguest реестра на пользовательский интерфейс совместного доступа и редактор ACL

* Windows XP Professional требует обычной аутентификации (defaults to normal authentication), но поддерживает опцию Log on as Guest. Например, если система обновлена с версий Windows XP Home Edition, Microsoft Windows 95, Microsoft Windows 98 и Microsoft Windows 98 Second Edition, Windows XP Professional использует опцию Guest if in a workgroup по умолчанию.

Примечание

Вы не можете совместно использовать папку, размещенную в папке Мои документы (My Documents), после того как установите в пользовательском интерфейсе обеспечения безопасности и совместного использования параметр Отменить общий доступ к этой папке (Only I have access to this folder). Когда параметры безопасности установлены для родительской папки, то такие же параметры устанавливаются в отношении всех дочерних папок; обратное не допускается.

Наиболее важные ключи Windows NT/2000/XP, нуждающиеся в защите

Microsoft официально рекомендует администраторам ограничивать доступ пользователей к целому ряду вложенных ключей, входящих в состав ключа - HKEY_LOCAL_MACHINE\SOFTWARE. Основная цель этой операции заключается в предотвращении доступа неквалифицированных пользователей к параметрам настройки установленного в системе программного обеспечения.

Внимание

Microsoft официально рекомендует администраторам ограничить права доступа пользователей к ключам реестра HKEY_LOCAL_MACHINE\\ SOFTWARE\Microsoft\ Windows\CurrentVersion и HKEY_LOCAL_MACHINE \SOFTWARE\ Microsoft\Windows\CurrentVersion.

Для группы Everyone вполне достаточно иметь права доступа Query Value, Enumerate Subkeys, Notify и Read Control к ключу реестра HKEY_LOCAL_ MACHINE\ SOFTWARE\Microsoft\Windows NT\CurrentVersion и следующим вложенным подключай, имеющимся в его составе: AeDebug, Compatibility, Drivers, Embedding, Font Drivers, FontCache, FontMapper, Fonts, FontSubstitutes, GRE_Initialize, MCI, MCI Extensions, Ports (и всем вложенным ключам в составе ключа Ports), Type 1 Installer, Windows 3.1 MigrationStatus (и всем вложенным ключам в составе этого ключа), wow (и всем вложенным ключам в составе ключа wow).

Точно такой, же набор прав доступа (Query Value, Enumerate Subkeys, Notify и Read Control) следует предоставить группе Everyone к ключам Uninstaii, Run и RunOnce в составе ключа реестра HKEY_LOCAL_MACHINE\SOFTWARE \Microsoft\Windows\CurrentVersion.

Помимо этого, Microsoft также рекомендует ограничить доступ пользователей к ключу реестра, управляющему данными о производительности системы, - это ключ HKEY_LOCAL_MACHINE\SOFTWARE\MicrosoftWindows NT\CurrentVersion\Perfiib. В Windows NT 4.0 группа Everyone по умолчанию имеет к этому ключу доступ с правом чтения. Просмотрите список контроля доступа для этого ключа, и если группа Everyone имеет к ключу Perflib доступ с правом чтения, то ее рекомендуется удалить из списка контроля доступа. Доступ к этому ключу (рис. 9.5) должны иметь только операционная система (System), создатель ключа (Создатель-Владелец (Creator Owner)), члены группы администраторов (Administrators) и пользователи, зарегистрировавшиеся в системе интерактивно (Interactive).

Рис. 9.5. Ограничение доступа к ключу реестра HKEY_LOCAL_MACHINE\ SOFTWARE\ MicrosoftWindows NT\  CurrentVersion\Perflib

Группа Everyone должна иметь ограниченные права доступа (только права типа Запрос значения (Query Value), Перечисление подразделов (Enumerate Subkeys), Уведомление (Notify) и Чтение разрешений (Read Control) и к некоторым другим ключам реестра. В первую очередь такую защиту необходимо обеспечить для улья HKEY_CLASSES_ROOT и всех его вложенных ключей, а также для ключа HKEY_USERS\.DEFAULT. Защищая эти ключи, вы защищаете систему от изменения ряда системных параметров и параметров настройки рабочего стола (в частности, это помешает пользователям произвольно изменять типы приложений, с помощью которых раскрываются файлы с конкретными расширениями, а также не позволит им изменять установленные вами параметры безопасности Internet Explorer).

Кроме того, следует ограничить права группы Everyone на доступ к ключам HKEY_LOCAL_MACHINE \SYSTEM\CurrentControl Set \Services\LanmanServer\ Shares и HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UPS только правами Запрос значения (Query Value), Перечисление подразделов (Enumerate Subkeys), Уведомление (Notify) и Чтение разрешений (Read Control). Установка этих ограничений помешает несанкционированному использованию разделяемых ресурсов системы и применению параметра imagePath в составе ключа UPS для запуска нежелательного программного обеспечения. Доступ типа "Полный доступ" (Full Control) к этим ключам должны иметь только операционная система (System) и члены группы Администраторы (Administrators).

Наконец, обратите внимание на такие ключи реестра, как Run, RunOnce и RunOnceEx в составе ключа реестра  HKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft \windows\currentversion. В частности, система выполняет все программы, перечисленные параметрами в составе ключа RunOnceZx, а затем удаляет параметры, задающие запуск этих программ, что дает возможность пользователям исполнять на компьютере любые нежелательные программы. Права группы уровня Полный доступ (Full Control) на эти ключи должны иметь только операционная система (System) и члены группы Администраторы (Administrators).

Совет

Следует упомянуть еще один ключ реестра, весьма важный для обеспечения безопасности. При работе с сервисом удаленного доступа система выводит диалоговые окна, в которых пользователи должны ввести регистрационную информацию, — входное имя и пароль. В этих диалоговых окнах имеются флажки, установка которых позволяет запомнить пароль (Save This Password или Remember This Password). Хотя сохранение паролей очень удобно для конечного пользователя, эта практика представляет собой потенциальный риск, поскольку пароли хранятся так, чтобы система могла быстро их извлечь. Таким образом, узнать этот пароль несложно и взломщику. Это особенно актуально для владельцев портативных компьютеров, поскольку в случае утраты такого компьютера тот, в чьи руки он попал, получит также и беспрепятственный доступ к вашим сетям.

Простейший способ застраховать себя от этой опасности заключается в блокировке функциональной возможности сохранения паролей RAS на компьютере, являющемся клиентом RAS. Для этого раскройте ключ реестра HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Services\RemoteAccess\Parameters и добавьте в него параметр DisableSavePassword с типом данных REG_DWORD. Теперь система никогда не будет предлагать пользователю сохранить введенный пароль для доступа к серверу RAS.

Защита реестра от несанкционированного удаленного доступа

Опция доступа к реестру удаленного компьютера представляет собой очень удобный метод, позволяющий администратору эффективно выполнять свои задачи по поддержке пользователей непосредственно с собственного рабочего места. Однако в ряде случаев эта возможность может быть источником проблем, поскольку удаленный доступ к реестру локального компьютера должен быть санкционированным.

Когда пользователь пытается установить соединение с реестром удаленного компьютера, работающего под управлением Windows NT/2000/XP, действующий на этом компьютере сервис Server в первую очередь выполняет проверку существования ключа HKEY_LOCAL_MACHINE\ SYSTEM\CurrentControlSet\ Control\SecurePipeServers\winreg (рис. 9.6). Возможность получения удаленным пользователем доступа к реестру защищаемого компьютера определяется следующими факторами:

•  если ключ \winreg не существует, то доступ к реестру сможет получить любой удаленный пользователь. Этот пользователь способен выполнять над реестром манипуляции в пределах, допускаемых списком контроля доступа (ACL);
•  если ключ \winreg существует в реестре, то список контроля доступа, установленный для этого подключа, и будет определять, какие пользователи могут получать доступ к реестру с удаленного компьютера. (Следует помнить, что такие программы, как Back Orifice 2000 (известный также как ВО2К), позволяют осуществлять удаленный доступ к реестру. Для этого, однако, необходимо, чтобы кто-либо установил серверную часть в вашей системе.)

Это означает, что для обеспечения безопасности удаленного доступа к реестру локального компьютера Windows NT/2000/XP требуется сконфигурировать список контроля доступа для ключа HKEY_LOCAL_MACHINE\System \CurrentControlSet\ Control\SecurePipeServers\winreg.

Если список контроля доступа (ACL) ключа winreg предоставляет удаленному пользователю доступ с правом чтения или записи (явно или как члену одной из групп), этот пользователь может подключиться к реестру Windows NT/2000/XP. После установления такого соединения действия пользователя, манипулирующего реестром, будут ограничены только правами доступа к отдельным его ключам. Таким образом, даже если пользователь имеет только право на чтение ключа winreg, он сможет модифицировать другие ключи реестра, если их ACL это позволяют.

 Примечание

Создавать подключ \winreg требуется только на компьютерах Windows NT 4.0 Workstation. На компьютерах Windows NT 4.0 Server, а также Windows 2000/XP Professional и Windows 2000 Server этот подключ создается по умолчанию, и администраторы получают к нему доступ типа Полный доступ (Full Control).

Рис. 9.6. Конфигурирование списка контроля доступа для HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control \SecurePipeServers\winreg

Защита ульев SAM и Security

Информация безопасности Windows NT/2000/XP хранится в ульях реестра SAM (Security Accounts Manager) и security. Улей SAM содержит пользовательские пароли в виде таблицы хэш-кодов, а улей security — информацию о безопасности локального компьютера, в том числе — права пользователей, политику в отношении паролей, членство пользователей в локальных группах.

 Примечание

Существует целый набор утилит, с помощью которых можно осуществить взлом улья SAM. Наиболее известными из них являются PWDUMP, NT Crack и LOphtCrack (последней версией является LC3).

Как защитить улей SAM

Microsoft официально утверждает, что лучший способ защиты Windows NT/2000/XP — это защита административных паролей, но этого явно недостаточно. Доступ к ульям SAM и security получают многие пользователи — например, пользователи из группы Операторы архива (Backup Operators), в обязанности которых входит резервное копирование реестра.

По умолчанию ни один пользователь (даже администратор) не имеет необходимых прав доступа, которые позволили бы ему получить доступ или хотя бы просмотреть базу данных SAM Windows NT/2000/XP с помощью редактора реестра. Но, тем не менее, ульи ЗАМ и Security хранятся на диске точно так же, как и другие файлы, и единственное, что требуется для взлома, — это раздобыть копии этих ульев. Обычным копированием этого не сделать — при попытке копирования реестра работающей системы Windows NT /2000/ХР вы получите сообщение об ошибке (рис. 9.7).

Рис. 9.7. Попытка копирования файлов реестра работающей системы Windows NT/2000/XP приводит к появлению сообщения об ошибке

Однако в составе программных продуктов имеются утилиты (Regback в Windows NT 4.0 Resource Kit и REG — в Windows 2000 Resource Kit), при помощи которых пользователи, принадлежащие к группам администраторов или операторов резервного копирования, могут получать копии реестра работающей системы.

Если Windows NT/2000/XP установлена на томе FAT, то потенциальную опасность представляют любые пользователи, обладающие правом на выполнение перезагрузки системы и получившие физический доступ к компьютеру. В этом случае требуется лишь перезагрузить компьютер под управлением DOS или Windows 95/98/МЕ и скопировать ульи SAM и Security из каталога %SystemRoot%\System32\Config.

 Совет 

Если Windows NT/2000/XP установлена на томе NTFS, то пользователь, желающий незаконно скопировать ульи SAM и Security, может воспользоваться утилитой NTFSDOS (http://www.sysinternals.com/ntfs30.htm), которая позволяет монтировать тома NTFS в DOS. Эта утилита и другие ее модификации (имеется также утилита NTFS for Windows 98) вызывают у многих противоречивую реакцию (именно из-за потенциального риска для системы безопасности). После появления первых версий NTFSDOS корпорация Microsoft официально заявила, что истинная безопасность— это физическая безопасность. Тем не менее, эта утилита весьма полезна и может оказаться просто незаменимой при выполнении процедур аварийного восстановления (особенно если надо сделать такую работу быстро).

Подводя итоги, скажем, что для обеспечения должной зашиты файлов SAM и Security от незаконного копирования следует установить защищаемые компьютеры в охраняемом помещении, а также лишить пользователей права на перезагрузку компьютера.

 Примечание

На рабочих станциях Windows 2000/XP по умолчанию это право предоставлено группам Администраторы (Administrators), Операторы архива (Backup Operators), Опытные пользователи (Power Users) и Пользователи (Users). На серверах — членах домена — Администраторы (Administrators), Опытные пользователи (Power Users) и Операторы архива (Backup Operators). На контроллерах домена — Администраторы (Administrators), Account Operators, Операторы архива (Backup Operators), Print Operators и Server Operators.

Чтобы отредактировать права пользователей в Windows 2000/XP, зарегистрируйтесь в системе от имени пользователя с правами администратора, раскройте окно Панель управления (Control Panel), выполните двойной щелчок мышью на значке Администрирование (Administrative Tools) и выберите опцию Локальная политика безопасности (Local Security Policy). Разверните дерево консоли ММС и выберите опцию Назначение прав пользователя (User Rights Assignment). В правой части окна появится список пользовательских прав, доступных для редактирования. На рис. 9.8 иллюстрируется редактирование списка пользовательских групп, имеющих право на перезагрузку компьютера.

Можно ли сказать, что реестр Windows NT/2000/XP теперь защищен? Нет, нельзя, потому что еще остаются резервные копии реестра. В системах Windows NT 4.0 сразу же после успешной установки операционной системы или в любое время при запуске утилиты Rdisk с ключом /s создаются резервные копии ульев реестра, которые сохраняются в каталоге %SystemRoot%\Repati. Резервные копии реестра Windows 2000/XP создаются при каждом резервном копировании системных конфигурационных данных (System State Data), и эта информация сохраняется в каталоге %5y,tfm/?o0/%\Repair\Regback. Данные файлы не открыты системой и поэтому, если пользователь зарегистрировался локально (или если каталог с резервной копией является разделяемым), эти файлы могут быть беспрепятственно скопированы. В системах Windows NT 4.0 права доступа к объектам файловой системы NTFS никак не защищают каталог %SystemRoot%\Repair, все пользователи имеют к этому каталогу доступ с правом чтения, и этого достаточно для копирования файлов. В Windows 2000/XP группа Пользователи (Users) по умолчанию имеет только право просмотра (List) этого каталога, что не дает возможности копирования файлов. Тем не менее, как уже говорилось в этой главе, если вы выполняли обновление предыдущей версии Windows NT до Windows 2000/XP, то права доступа к объектам реестра и файловой системы наследуются от предыдущей версии Windows NT.

Рис. 9.8. Редактирование списка пользовательских групп Windows 2000/XP, имеющих право на перезагрузку компьютера

Подводя итоги, скажем, что для предотвращения доступа рядовых пользователей домена к файлам SAM и security следует:

•  лишить конечных пользователей права локальной регистрации на серверах;
•  использовать файловую систему NTFS;
•  обеспечить надлежащую физическую защиту для серверов;
•  в системах Windows NT 4.0 и тех системах Windows 2000/XP, где операционная система устанавливалась как обновление предыдущей версии Windows NT, следует ужесточить права доступа к каталогу %SystemRoot%\Repair;
•  обеспечить безопасные условия хранения резервных копий и дисков аварийного восстановления (Windows NT 4.0), а также копий данных из набора System State Data (Windows 2000/XP).

Для взлома похищенных ульев SAM и security больших усилий не требуется. Имея эти файлы в своем распоряжении, пользователь может в свободное время провести на них такое количество словарных атак, какое требуется для взлома паролей. Если в его распоряжении имеется такая утилита, как LC3 (которую можно переписать по адресу http://www.atstake.com/Ic3), представляющая собой новую версию известного инструментального средства взлома паролей (password-auditing tool) LOphtCrack, и т. п., то успех проведенной атаки зависит, в основном, от качества используемого для взлома словаря — чем большее количество слов, дат, чисел, словосочетаний, используемых чаще всего в качестве пароля, содержится в этом файле, тем выше шансы успешного взлома.

Таким образом, чтобы защитить систему, следует запретить пользователям использовать пустые пароли и задать системную политику в отношении паролей. Минимальная длина паролей в любом случае не должна быть меньше 8 символов. Помимо этого, в качестве пароля рекомендуется использовать произвольные комбинации букв и цифр, а также задать политику в отношении минимально допустимой сложности паролей.

 Совет

Попробуйте представить себя на месте злоумышленника, и взломайте свой собственный улей SAM (при этом учтите, что ваши задачи существенно проще, чем задачи, стоящие перед этим человеком, — вам ведь не надо проводить удаленную атаку с целью похищения ульев SAM и Security). С пользователями, пароли которых будут вскрыты автоматически, следует провести разъяснительную работу. Помимо этого, рекомендуется установить правила периодической смены паролей.

Ограничение анонимного доступа к компьютеру

Как ранее упоминалось, на компьютерах с Windows NT/2000/XP все управление доступом к ресурсам осуществляется с помощью списков управления доступом (ACL) и идентификаторов безопасности (SID). Для каждого ресурса имеется ACL, содержащий идентификаторы безопасности всех пользователей и групп, наделенных полномочиями доступа к данному ресурсу. Когда пользователи регистрируются локально или же по сети, они получают так называемые маркеры доступа (access tokens), содержащие идентификаторы безопасности их учетных пользовательских записей, а также идентификаторы безопасности всех тех групп, в которых эти учетные записи участвуют. Когда пользователь пытается получить доступ к ресурсу, Windows проверяет идентификаторы безопасности, содержащиеся в маркере доступа к ACL этого ресурса. Если соответствие идентификаторов установлено, то пользователь получает доступ к требуемому ресурсу, в противном случае доступ будет запрещен.

Ограничение анонимного доступа в Windows 2000

Анонимные пользователи или службы, регистрирующиеся анонимно, автоматически включаются во встроенную группу безопасности Anonymous Logon (Анонимный вход). В ранних версиях Windows NT такие пользователи или же службы могли получать доступ ко многим ресурсам (иногда даже к тем, полномочия к которым должны предоставляться только авторизованным пользователям). В Windows 2000 устанавливаются более строгие параметры безопасности, чем в Windows NT 4.0. Компьютер Windows 2000 можно сконфигурировать таким образом, чтобы предотвратить доступ анонимно регистрирующихся пользователей ко всем ресурсам, за исключением тех, доступ к которым был предоставлен таким пользователям явным образом. Это можно сделать как с помощью оснастки ММС Локальная политика безопасности (Local Security Policy), так и с помощью редактирования реестра.

Использование оснастки ММС Локальная политика безопасности

1. Выполните команды Программы | Администрирование | Локальная политика безопасности (Programs | Administrative Tools | Local Security Policy) меню Пуск (Start).

2. Выберите опции Параметры безопасности | Локальные политики | Параметры безопасности (Security Settings Local Policies | Security Options).

3. В правой части окна выполните двойной щелчок мышью на опции Дополнительные ограничения для анонимных подключений (Additional restrictions for anonymous connections) и в раскрывшемся окне установите опцию Отсутствует. Использовать разрешения по умолчанию (No access without explicit anonymous permissions under Local policy setting) — рис. 9.9.

Рис. 9.9. Установка дополнительных ограничений на доступ к ресурсам компьютера для анонимно регистрирующихся пользователей (Windows 2000)

Редактирование реестра

Вызовите редактор реестра Regedt32.exe, найдите ключ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\control\LSA и создайте параметр RestrictAnonymous с типом данных REG_DWORD. Установите для этого параметра  значение 0x2 (Hex).

Если параметр RestrictAnonymous имеет такое значение, то маркер доступа (access token) для неаутентифицированных пользователей не включает в свой состав группу Everyone, и доступ к ресурсам, по умолчанию предоставляемым группе Everyone, будет отклонен.

Примечание 

Microsoft официально рекомендует тщательно проанализировать преимущества, предоставляемые этой настройкой с точки зрения безопасности по сравнению с возможными проблемами, которые могут быть вызваны таким ограничением прав анонимного пользователя. Причина заключается в том, что некоторые сервисы Windows 2000 и прикладные программы зависят от возможностей анонимного пользователя. В частности, не рекомендуется устанавливать это значение в смешанных сетевых средах, включающих не только компьютеры Windows 2000, но и компьютеры Windows NT 4.0 Workstation и Server, а также системы Windows 95/98. Устанавливать значение 0x2 для параметра RestrictAnonymous рекомендуется только в сетях Windows 2000 и только после тщательного тестирования, которое не выявит нарушений в работе сервисов и прикладных программ.

Стандартный шаблон безопасности High Secure включает это ограничение, поэтому его применение может также вызвать нежелательные проблемы. Для совместимости со службами, требующими анонимного доступа к некоторым данным в домене, в Windows 2000 предусмотрен способ переключения используемых параметров безопасности — с обеспечивающих высокую степень безопасности (эти установки являются предпочтительными в том случае, если не требуется обеспечить обратную совместимость) на параметры безопасности, обеспечивающие обратную совместимость, предоставляющие анонимным пользователям доступ точно так же как это выполнялось под управлением Windows NT 4.0 и более ранних версий Windows. Этим режимом обеспечения безопасности управляет группа безопасности Pre-Windows 2000 Compatible Access, которая была введена в Windows 2000. Обратная совместимость на компьютерах с Windows 2000 достигается путем включения группы безопасности Everyone в группу Pre-Windows 2000 Compatible Access. Вы можете конфигурировать установки безопасности высокой степени, удалив всех членов из группы Pre-Windows 2000 Compatible Access.

Усовершенствованные возможности Windows XP и разрешение вопросов совместимости

В вопросах обеспечения безопасности система Windows XP превосходит даже Windows 2000. В отличие от предыдущих версий Windows, маркер доступа для анонимных пользователей больше не включает в себя группу Everyone. Таким образом, маркер доступа для анонимных пользователей содержит идентификаторы безопасности (SID) для: 

•  Anonymous Logon (анонимная регистрация);
•  типа регистрации (обычно Network).

Когда анонимный пользователь пытается получить доступ к ресурсу компьютера с Windows XP, ему не предоставляются такие полномочия или право членства, которыми располагает группа безопасности Everyone. Следует отметить, что в большинстве случаев такое ограничение является вполне подходящим и желательным. Однако, в некоторых случаях, для того чтобы обеспечить обратную совместимость, вам может потребоваться включить группу безопасности Anonymous Logon в группу Everyone. Именно с этой целью в Windows XP было введено новое значение в реестре — EveryoneinciudesAnonymous, которое можно установить с помощью методов, приведенных далее в этой главе.

Использование средства Локальная политика безопасности

Для включения анонимного доступа с помощью ММС выполните следующие действия:

1. Запустите утилиту Администрирование (Administrative Tools) в Панели управления (Control Panel), а затем выберите либо опцию Локальная политика безопасности (Local Security Policy), либо опцию Domain Security Policy (только для контроллеров домена).

Рис. 9.10. Установка значения реестра EveryonelncludesAnonymous с помощью Локальной политики безопасности

2. Раскройте дерево Параметры безопасности (Security Settings), выберите опцию Локальные политики |Параметры безопасности (Local Policies | Security Options).

3. Выполните двойной щелчок мыши на опции Сетевой доступ: разрешать применение разрешений для всех к анонимным пользователям (Network access: Let Everyone permissions apply to anonymous users). По умолчанию, эта установка политики безопасности выключена (рис. 9.10).

4. Для того чтобы разрешить участие анонимных пользователей в группе Everyone, установите переключатель включен (Enabled). Чтобы не допустить включения SID группы безопасности Everyone в маркер доступа (access token) анонимного пользователя (в Windows XP этот запрет действует по умолчанию), установите переключатель отключен (Disabled).

Использование Редактора реестра

Для того чтобы установить значение реестра EveryonelncludesAnonymous с помощью Редактора реестра, необходимо выполнить следующие действия:

Рис. 9.11. Содержание ключа реестра HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Control\Lsa

1. Запустите программу Regedit.exe и найдите следующий ключ реестра (рис. 9.11):

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControl
Set\Control\Lsa

2. Выполните щелчок правой кнопкой мыши на параметре EveryoneIncludesAnonymous, а затем выберите команду Изменить (Modify).

3. Для того чтобы разрешить участие анонимных пользователей в группе Everyone, в поле Данные (Value data), введите значение 1. Чтобы не допустить включения SID группы безопасности Everyone в маркер доступа анонимного пользователя (в Windows XP этот запрет действует по умолчанию), в поле Данные (Value data) введите значение 0.

4. Закройте Редактор реестра.

Системный планировщик как еще одна потенциальная угроза безопасности

Системный планировщик (Task Scheduler), который имеется на каждом компьютере Windows NT/2000/XP, можно использовать для запуска некоторых нежелательных программ на компьютере пользователя в контексте учетной записи SYSTEM. Эта учетная запись имеется во всех системах Windows NT/2000/XP, но ее наличие не афишируется (по крайней мере, вы не увидите ее ни в утилитах User Manager и User Manager for Domains (Windows NT 4.0), управляющих созданием учетных записей пользователей Windows NT, ни в оснастках ММС, выполняющих ту же задачу в Windows 2000/XP). Это позволяет администратору дать обычному пользователю однократную возможность выполнить некоторые задачи по администрированию его клиентского компьютера без предоставления ему прав выполнения других административных задач. Например, чтобы предоставить пользователю возможность запустить оснастку ММС Disk Management, можно дать следующую команду:

at <\\machine_name>1:00pm      /interactive 

   %SystemRoot%\system32\diskmgmt.msc

где  <\\machine_name> — имя клиентского компьютера.

Тем не менее, эта возможность представляет потенциальную угрозу для безопасности системы, поскольку системный планировщик по умолчанию использует права учетной записи SYSTEM, и поэтому любая программа, запущенная таким образом, будет иметь полный набор системных привилегий, включая доступ к базе данных SAM.

Чтобы защититься от данной опасности, можно или заблокировать сервис Task Scheduler (но это не всегда возможно, поскольку он может быть нужен для запуска других заданий) или сконфигурировать его таким образом, чтобы сервис работал от имени учетной записи пользователя.

Вы можете также заблокировать доступ пользователя к сервисам Планировщика заданий с помощью одного из следующих методов:

•  использование оснастки Локальная политика безопасности;
•  использование Редактора реестра (Registry Editor).

Рис. 9.12. Добавление оснастки Групповая политика в собственную консоль

Для того чтобы заблокировать доступ к сервисам Планировщика заданий (Schedule) с помощью Локальной политики безопасности, выполните следующие действия:

1. Щелкните по кнопке Пуск (Start), затем выберите команду Выполнить (Run), введите значение mmc и нажмите кнопку ОК.

2. В меню Консоль (File) укажите команду Добавить/удалить оснастку (Add/Remove Snap-in). На вкладке Изолированная оснастка (Standalone) нажмите кнопку Добавить (Add).

3. В списке Доступные изолированные оснастки (Available Standalone Snap-ins) (рис. 9.12) выберите опцию Групповая политика (Group Policy), а затем нажмите кнопку Добавить (Add).

4. Откроется окно Выбор объекта групповой политики (Select Group Policy Object) — рис. 9.13. Выберите опцию Локальный компьютер (Local Computer) для редактирования локального объекта Групповой политики (Group Policy), или же щелкните по кнопке Обзор (Browse) для поиска желаемого объекта Групповой политики (Group Policy).

5. Нажмите последовательно кнопки Готово (Finish), Закрыть (Close), а затем ОК. Оснастка Групповая политика (Group Policy) откроет объект Групповой политики (Group Policy) для редактирования (рис. 9.14).

Рис. 9.13. Окно Выбор объекта групповой политики

Рис. 9.14. Окно Корень консоли, открытое для редактирования

6. Раскройте ветви Конфигурация пользователя (User Configuration) или Конфигурация компьютера (Computer Configuration), а затем — Административные шаблоны | Компоненты Windows | Планировщик заданий (Administrative Templates | Windows Components | Task Scheduler).

7. Дважды щелкните по параметру Запретить запуск и завершение задач (Prevent Task Run or End), выберите опцию Включен (Enabled), а затем нажмите кнопку ОК.

Эта же самая задача может быть выполнена с помощью Редактора реестра (Registry Editor) (опытные пользователи сочтут этот метод более быстрым, чем предыдущий).

1. Нажмите кнопку Пуск (Start), затем выберите команду Выполнить (Run), введите значение regedit.exe, а затем нажмите клавишу <Enter> для запуска Редактора реестра (Registry Editor).

2. Откройте один из следующих ключей реестра (вам, возможно, потребуется его создать):

HKEY_LOCAL_MACHINE\SOFTWARE\Policies
\Microsoft\Windows\Task  
 Scheduled.0 HKEY_CURRENT_USER\Software
\Policies\

Microsoft\Windows\Task Scheduler5.0

Создайте новое значение типа DWORD, присвойте ему имя Execution, а затем установите его значение равным 1.

Резюме

Завершая эту главу, автор считает своим долгом сказать, что вовсе не стремился детально инструктировать читателя о методах взлома Windows NT/2000/XP (приведенной здесь информации для этого ни в коем случае не достаточно). Скорее, эта глава предназначена тем пользователям и администраторам, которые хотят усилить безопасность своих сетей (а для этого они должны быть осведомлены о потенциальной угрозе, ведь кто предупрежден — тот вооружен).

Можно ли считать материалы данной главы исчерпывающе полными? Нет, тоже нельзя. Тема безопасности настолько широка и серьезна, что заслуживает не главы, а отдельной большой книги (в библиотеках множество таких книг). Дополнительные источники информации, касающейся данного вопроса, можно найти в списке литературы, который приведен в конце книги.