Безопасность стала основной темой рекламной кампании Windows Server 2003, особенно мероприятий, предназначенных для ИТ-специалистов. В маркетинговых материалах по Windows 2003 приводятся восторженные отзывы об обращении Билла Гейтса к сотрудникам Microsoft в январе 2002 г., в котором он объявил об инициативе Trustworthy Computing; менеджеры по продуктам убеждают профессионалов и пользователей, что Microsoft радикально изменила подход к безопасности операционных систем Windows. Некоторые из объявленных изменений представляют собой новые функции, такие как Software Restriction Policy (SRP), позволяющая предотвратить запуск несанкционированных программ на любой машине в составе домена. Но не менее важны изменения в существующих механизмах безопасности и стандартной конфигурации операционной системы.
Главная цель инициативы Trustworthy Computing — сделать Windows безопасной в стандартной конфигурации. Другими словами, пользователю не придется вручную настраивать приложения и реестр, чтобы надежно защитить систему.
В Windows 2000 принят слишком вольный подход к разрешениям на доступ к объектам. В этой операционной системе существуют ACL для файлов, каталогов, очередей печати, ветвей реестра, разделяемых каталогов и других объектов, но в них по умолчанию устанавливался разрешительный режим доступа ко всем этим объектам. В Windows 2003 многие стандартные разрешения были пересмотрены. Эти изменения не только обеспечивают более безопасную стандартную конфигурацию, но и меняют стандартное поведение Windows. Перед установкой Windows 2003 необходимо принять во внимание следующие десять изменений.
1. Новый стандартный ACL разделяемых каталогов
При создании нового разделяемого каталога в Windows 2000 или Windows NT не нужно назначать никаких разрешений. Достаточно нажать OK, и все аутентифицированные пользователи получают полные права чтения/записи. Авторы этого решения считали, что администраторы могут ограничить доступ с помощью дополнительных файловых разрешений NTFS.
Такая логика противоречит новой цели — безопасной стандартной конфигурации. При создании разделяемого каталога в Windows 2003 разрешения по-прежнему предоставляются группе Everyone (всем аутентифицированным пользователям), но только для чтения. Другими словами, Microsoft изменила стандартный ACL для разделяемых каталогов с Everyone:F на Everyone:R. Эти изменения не коснулись стандартного ACL Administrators:F для административных ресурсов. Если переводить систему с Windows 2000 на Windows 2003, то разрешения существующих каталогов не изменяются, но все разделяемые каталоги, созданные после модернизации, получают новый стандартный ACL. Администраторам придется выполнить лишнюю операцию, чтобы назначить разрешения конкретным пользователям при создании разделяемых каталогов, но зато в результате повышается уровень защиты ресурсов.
2. Новый System Root ACL
В версиях операционной системы, предшествующих Windows 2003, стандартные параметры ACL для файлов и каталогов не обеспечивали надежную защиту. Хотя доступ к каталогу winnt и его подкаталогам предоставлялся только администраторам, корневой каталог системного раздела (обычно C:) имел такие же стандартные разрешения (Everyone:F), как и другие каталоги. Чтобы исправить ситуацию, в Windows 2003 разработчики ввели новый режим, в котором по умолчанию ACL для этих файлов и каталогов настраиваются на полный доступ для администраторов и недоступны для остальных пользователей.
Администраторам Windows 2003, привыкшим хранить данные в разделе C:, придется переместить свои данные или отказаться от использования System Root ACL. Рекомендуется выбрать первый вариант, так как System Root ACL обеспечивает хорошую защиту. Режим System Root ACL можно назначить в процессе установки или модернизации.
3. Учетные записи служб с низкими привилегиями
Учетные записи пользователей — ступеньки для внешних взломщиков. Взломщик, зарегистрированный в системе через учетную запись, полномочия которой превышают необходимый уровень, сможет украсть или испортить потенциально конфиденциальные данные и даже получить через учетную запись доступ к более важным объектам, требующим более высокого уровня разрешений.
Наиболее важная задача, стоящая перед Microsoft в рамках проекта стандартной безопасности, — устранить известные уязвимые места в учетных записях, в том числе связанные с системными службами и служебными приложениями, которые требуется запускать с разрешениями конкретной учетной записи пользователя.
Многие системные службы и служебные приложения необходимо запускать от имени учетной записи с высокими полномочиями, поэтому они работают с наделенной самыми широкими полномочиями учетной записью Local System или учетной записью Administrator или Domain Admin. Если в службе есть уязвимое место (например, переполняемый буфер), то взломщики смогут манипулировать сервером, запуская службу из учетной записи с широкими полномочиями, которые дадут им почти безграничные возможности.
Чтобы блокировать уязвимые места, разработчики создали две новые встроенные учетные записи, поддерживающие большинство служб: Network Service и Local Service.
Network Service — доменная учетная запись, которую могут использовать службы, работающие на нескольких машинах. Local Service — учетная запись, локальная для каждой системы.
Учетные записи Network Service и Local Service не имеют полномочий, чтобы изменять другие учетные записи пользователей, производить остановку системы или манипулировать прочими административными функциями, из-за которых уязвимые службы становятся столь опасными.
По умолчанию службы DHCP Client, Distributed Transaction Coordinator, DNS Client, License Logging Service, Performance Logs and Alerts и Remote Procedure Call (RPC) Locator используют учетную запись Network Service. Службы Alerter, Plug and Play, Remote Registry Service, Smart Card, SSDP Discovery, TCP/IP NetBIOS Helper Service, Telnet, Uninterruptible Power Supply и WebClient используют учетную запись Local Service. Учетную запись Network Service или Local Service следует задействовать для резервного копирования, борьбы с вирусами и других служб и приложений, устанавливаемых в Windows 2003.
4. Исключение учетных записей Anonymous из группы Everyone
В Windows 2000 и NT учетная запись Anonymous входит в группу Everyone. Учетная запись Anonymous обеспечивает пользователям общедоступного Web-сервера ограниченный доступ без аутентификации учетной записи или пароля. Однако, поскольку группе Everyone часто предоставляются права доступа к файлам, разделяемым каталогам и другим ресурсам, взломщики научились использовать непроверяемую учетную запись в своих целях.
В Windows 2003 анонимная учетная запись из группы Everyone удалена. Это изменение может вызвать неудобства в единственной ситуации — если нужно предоставить расширенные права неаутентифицированным пользователям Web-сервера, например позволив им изменить файл или выполнить программу. В этом случае можно вручную вернуть учетную запись Anonymous в группу Everyone (что противоречит цели усилить защиту) или предоставить ограниченные права доступа к файлам или каталогам учетной записи Anonymous.
5. Ограниченные права доступа для учетных записей с пустыми паролями
Как и все предшествующие версии, серверы Windows 2003 могут предоставить локальные полномочия (например, ACL, членство в группе) учетным записям пользователей, созданным на другой системе. В результате удаленная система наделяется определенными правами. Но серверы Windows 2003 проверяют маркеры аутентификации и отказывают в доступе любой учетной записи с пустым паролем.
Такая процедура аутентификации хотя бы отчасти устраняет опасность, исходящую от учетных записей, не управляемых централизованно, и гарантирует, что учетные записи с пустым паролем не получат широких полномочий.
6. Изолирование IIS
Специалисты Microsoft по информационной безопасности используют термин «площадь атаки» (attack surface area) для характеристики возможностей взлома, в том числе системных служб, приложений и сетевых протоколов. Наиболее важны настраиваемые и факультативные фрагменты площади атаки. Подробнее о площади атаки рассказано в статье «Using Attack Surface Area and Relative Attack Surface Quotient to Identify Attackability», http://www.microsoft.com/windowsserver2003/ techinfo/overview/advsec.mspx.
В стандартной конфигурации Windows 2003 имеет минимальную площадь атаки. Например, Microsoft IIS. По умолчанию служба IIS в Windows 2000 активна; это означает, что каждый сервер Windows 2000 — потенциальный Web-сервер и потому подвергается опасности. Многие взломщики проникали в системы Windows 2000 именно через IIS.
В Windows 2003 служба IIS блокирована, и данный фрагмент площади атаки закрыт. IIS входит в состав Windows 2003, но по умолчанию не устанавливается. Если нет необходимости запускать IIS на сервере, то ничего делать не нужно, Windows 2003 предоставляет возможность пользоваться дополнительным дисковым пространством и памятью, освобожденными IIS.
Если требуется специализированный Web-сервер, можно развернуть IIS. Можно также воспользоваться версией Windows Server 2003 Web Edition, в которой IIS активизируется по умолчанию. Непосредственно после установки службы IIS ограничены отражением атак. В Windows 2003 применяется мастер IIS Lockdown Wizard, появившийся в Internet Information Services (IIS) 6.0. По умолчанию он значительно ограничивает тайм-ауты соединений и другие настраиваемые параметры (в отличие от прежних версий IIS). Кроме того, по умолчанию IIS 6.0 пересылает только статические Web-страницы. Для работы с динамическим контентом необходимо изменить конфигурацию IIS. При переходе с Windows 2000 на Windows 2003 все функции IIS блокируются.
7. Другие службы отключенные по умолчанию
Многие службы, запущенные в Windows 2000 по умолчанию, в Windows 2003 отключены. В приложении A к опубликованной Microsoft статье «Windows Server 2003 Security» (http://www.microsoft.com/windowsserver2003/ techinfo/overview/secinnovation.mspx) приведен список служб Windows 2003, отключенных по умолчанию. В этот список вошли такие службы, как Alerter, Human Interface Device Access, Kerberos Key Distribution Center (KDC) и Telnet. Названные службы отключаются и при переходе от Windows 2000 к Windows 2003.
Многие из этих служб используются редко, но, оставаясь активными, представляют угрозу для безопасности, поскольку зачастую наделены большими возможностями (например, Telnet). Поэтому администратору следует определить функции сервера и активизировать только необходимые службы.
8. Ограничение NTLM Communications
За последние три года взломщики часто проникали в компьютеры с Windows 2000 через относительно безобидные компоненты операционной системы. Раньше программисты Microsoft вводили в систему дополнительные функции для совместимости со старыми режимами работы, но теперь отбор компонентов стал гораздо строже. Например, чтобы добиться максимальной обратной совместимости с NT и другими старыми версиями, Windows 2000 устанавливает любые соединения NetBIOS в стиле NT LAN Manager (NTLM).
Однако Windows 2003 игнорирует запросы службы NTLM, исходящие из неаутентифицированного источника. Это изменение вряд ли отразится на работе, но все же следует протестировать любые серверные приложения, в которых используются вызовы процедур NetBIOS.
9. Подписанные пакеты SMB для связи с контроллером домена
В отличие от Windows 2000, в Windows 2003 для связи с контроллером домена (DC) используются подписанные пакеты SMB (Server Message Block). Пакеты SMB широко применяются при аутентификации и в других важнейших сетевых функциях. Все пакеты должны быть подписаны, если только они не исходят от старых клиентов Windows 3.1 или Windows for Workgroups (WFW). Это требование устраняет уязвимое место, но вряд ли повлияет на функционирование сервера или приложений.
10. Право удаленного запуска программ предоставляется только администраторам
Для удаленного запуска команд и программ используются две службы: Rexec и Rcmd. В Windows 2000 эти команды доступны всякому, кто может зарегистрироваться в системе и имеет разрешение в ACL на выполнение файлов. Но в Windows 2003 ими могут пользоваться только владельцы учетных записей с административными полномочиями.
Прежде чем пытаться запустить Rexec или Rcmd на машине Windows 2003, следует убедиться, что учетная запись (или учетная запись, из которой запускается сценарий, где задействованы эти команды) наделена необходимыми административными правами.
Безопасность по умолчанию
Windows 2003 располагает множеством факультативных компонентов и функций, с помощью которых можно защитить систему, таких как аутентификация, доверительные отношения, сбор результатов аудита и надежное шифрование файлов. Но пока администратор не воспользуется этими функциями, система защищена благодаря 10 описанным в данной статье изменениям. Новые стандартные параметры Windows 2003 изначально обеспечивают уровень защиты, достаточный для администраторов, которые никогда ничего не настраивают и работают с параметрами, установленными по умолчанию.
Джо Рудич (joe@rudich.com) — сетевой администратор компании St. Paul Companies (Сент-Пол, шт. Миннесота).