Главная | Контакты | Настройки

СМЕНИТЬ ПАЛИТРУ:

Обеспечение безопасности служебных и важных учетных записей

Введение

Первым шагом к обеспечению безопасности корпоративной сети среднего размера является понимание того, какими уязвимостями могут воспользоваться злоумышленники. Главной задачей злоумышленника, проникшего в сеть, является повышение привилегий созданного им плацдарма для получения более широкого доступа. После повышения привилегий очень тяжело предотвратить дальнейшие действия злоумышленника. Злоумышленники используют различные механизмы повышения привилегий, но чаще всего они связаны с атаками на имеющиеся в системе учетные записи, особенно, если они обладают правами администратора.

В корпоративных сетях среднего размера зачастую принимаются меры по обеспечению безопасности обычных учетных записей пользователей, а учетные записи служб остаются без внимания, что делает их уязвимыми и популярными целями злоумышленников. После получения злоумышленником контроля над важной учетной записью с высоким уровнем доступа к сети, вся сеть будет оставаться ненадежной, пока не будет полностью создана заново. Поэтому уровень безопасности всех учетных записей является важным аспектом обеспечения безопасности сети.

Внутренние угрозы, так же как и внешние, могут причинить значительный ущерб корпоративной сети среднего размера. Внутреннюю угрозу создают не только злоумышленники, но и те пользователи, которые могут нанести ущерб ненамеренно. Одним из примеров могут служить на первый взгляд безобидные попытки пользователей получить доступ к ресурсу в обход мер безопасности. Из соображений удобства пользователи и службы также очень часто получают более широкие права, чем необходимо для работы. Хотя такой подход гарантирует пользователям доступ к ресурсам, необходимым для выполнения работы, он также увеличивает опасность успешной атаки на сеть.

Аннотация

Как уже было сказано во введении, управление безопасностью всех типов учетных записей в сети является важным аспектом управления рисками корпоративной сети среднего размера. Во внимание должны приниматься как внешние, так и внутренние угрозы. Решение по защите от таких угроз должно быть сбалансировано с точки зрения безопасности и функциональности сетевых ресурсов, соответствующей потребностям среднего бизнеса.

Данный документ поможет представителям среднего бизнеса осознать риски, связанные с административными учетными записями и учетными записями служб, учетными записями по умолчанию и учетными записями приложений. Приведенные сведения являются основой для разработки и реализации мер по снижению этих рисков. Для этого необходимо рассказать о сути этих учетных записей, о том, как их различать, как определять права, необходимые для работы, и как снижать риски, связанные с повышенными привилегиями учетных записей служб и администраторов.

В рамках инициативы корпорации Майкрософт «Защищенные компьютерные системы» используемые в Microsoft® Windows Server™ 2003 параметры по умолчанию рассчитаны на обеспечение защиты службы каталогов Active Directory® от различных угроз. Однако уровень безопасности учетных записей администраторов корпоративной сети среднего размера можно усилить еще больше, изменив некоторые их параметры. Кроме того, службы, не входящие в состав операционной системы Windows Server 2003 и устанавливаемые другими приложениями, также необходимо защитить. В данном документе описываются способы обеспечения безопасности этих учетных записей и служб, а также содержатся рекомендации по контролю над использованием и управлением административными полномочиями.

Обзор

Данный документ состоит из четырех основных разделов, в которых приводятся сведения по обеспечению безопасности служебных и административных учетных записей в сетях компаний среднего размера. Первый раздел — «Введение» — вы читаете в настоящий момент. Оставшаяся часть документа имеет следующую структуру:

• Определения. В этом разделе приводятся некоторые основополагающие сведения и описания терминов, встречающихся в документе.
• Проблемы. В этом разделе описываются некоторые проблемы, с которыми чаще всего приходится сталкиваться компаниям среднего размера при принятии решения о необходимости обеспечения безопасности учетных записей, а также проблемы, связанные с обеспечением безопасности учетных записей администратора и служб.
• Решения. Этот раздел разделен на три подраздела, в которых приводятся сведения об этапах реализации подходов к обеспечению безопасности важных учетных записей и учетных записей служб в компании среднего размера. Подразделы имеют следующие названия.
  • Оценка. В этом подразделе описываются основные концепции обеспечения важных и учетных записей служб, а также закладывается основа для планирования решения.
  • Разработка. В этом подразделе используются сведения подраздела «Оценка» для разработки решений, помогающих в создании планов усиления безопасности важных учетных записей и учетных записей служб.
  • Развертывание и управление. В этом подразделе описываются рекомендуемые способы реализации защиты учетных записей служб и администраторов в корпоративной сети среднего размера.

Для кого предназначен этот документ

Данный технический документ предназначен для технических специалистов и руководителей технических подразделений, имеющих дело с обеспечением безопасности учетных записей служб, приложений и администраторов в сети Microsoft. Хотя аудитория, не владеющая техническими знаниями, может почерпнуть из данного документа некоторое представление о принципах управления обеспечением безопасности учетных записей, для получения наибольшей пользы от сведений, приведенных в данном документе, необходимо понимание операционной системы Microsoft Windows®, а также концепций и процедур управления учетными записями службы каталогов Active Directory.

Определение

В этом разделе даются определения встречающихся в документе терминов, которые могут требовать разъяснения.

• Службы. Службы — это исполняемые файлы, которые запускаются при загрузке системы или при возникновении других событий или запланированных действий. Обычно службы работают в фоновом режиме, практически без запросов и взаимодействия с пользователем.
• Служебные учетные записи. Проще говоря, учетной записью службы называется любая учетная запись, которая не соответствует реальному человеку. Чаще всего это встроенные учетные записи, используемые службами для доступа к ресурсам, необходимым для выполнения их функций. Однако для выполнения отдельных функций некоторым службам нужны учетные записи реальных пользователей, а многие компании все еще практикуют использование учетных записей домена для работы служб.
• Учетная запись администратора. Несмотря на то, что при установке Microsoft Windows или домена Active Directory по умолчанию создается учетная запись «Администратор», термин «учетная запись администратора» чаще всего используется в широком смысле для описания любой учетной записи, обладающей полномочиями администратора. Для ясности, в данном документе они используются для описания разных понятий.
• Группы администраторов. Эти группы зависят от установленных служб. В их число могут входить автоматически созданные группы в контейнерах Builtin и Users. В такие группы также входят учетные записи, обладающие правами администратора.
• Важные учетные записи. В данном документе термин «важная учетная запись» используется для описания учетных записей по умолчанию, которые считаются подверженными высокому риску, поскольку обладают высокими привилегиями и используются повсеместно.
• Учетная запись с ограниченными правами. Учетная запись с ограниченными правами — это любая учетная запись, не принадлежащая к группе администраторов и не обладающая повышенными привилегиями, аналогичными привилегиями локального администратора или администратора домена. Обычно учетная запись с ограниченными правами входит в группу «Пользователи домена» или в локальную группу «Пользователи».
• Принцип предоставления наименьшего уровня полномочий. Инструкция Министерства обороны США о критериях оценивания защищённых вычислительных систем (DOD-5200.28-STD) или «Оранжевая книга» является общепринятым стандартом компьютерной безопасности. В данном руководстве принцип предоставления наименьшего уровня полномочий определяется как принцип, согласно которому «каждому субъекту системы предоставляется минимальный набор полномочий (или минимальный допуск), необходимый для выполнения вверенных задач. Применение этого принципа ограничивает ущерб, наносимый в случае случайного, ошибочного или несанкционированного использования».

Трудности

Как было сказано в предыдущем разделе, незащищенные учетные записи администраторов и служб представляют значительную угрозу для безопасности корпоративной сети компании среднего размера. Сложность и быстрый рост большинства корпоративных сетей приводят к тому, что в организации управления учетными записями часто можно найти существенные уязвимости. По этим же причинам обеспечение безопасности важных учетных записей и служб, работающих в сети, становится такой сложной задачей.

Ниже перечислены наиболее часто встречающиеся проблемы, с которыми сталкиваются компании среднего размера при разработке подхода к вопросам безопасности.

• Защита от внутренних и внешних угроз, связанных с управлением учетными записями и попытками персонала обойти защиту.
• Определение всех учетных записей служб и приложений, используемых в сети и на локальных компьютерах.
• Обеспечение безопасности важных учетных записей служб и администраторов, а также учетных записей, связанных с приложениями.
• Определение учетных записей, связанных со службами и приложениями.
• Изоляция учетных записей служб от политик паролей учетных записей пользователей.

Решения

Предлагаемые в данном документе решения для управления учетными записями служб и администратора, а также важными учетными записями, основаны на принципе предоставления наименьших полномочий и использовании учетных записей с минимальными полномочиями.

В большинстве учебных курсов и документов по безопасности упоминается принцип предоставления наименьших полномочий. Хотя этот принцип относительно прост для понимания, его реализация способствует резкому повышению безопасности любой компании. Попросту говоря, этот принцип гласит, что все учетные записи должны обладать минимальным набором прав, необходимых для выполнения текущих задачи, и не более того. Данный принцип применим не только к пользователям, но также к компьютерам и запущенным на них службам.

Использование этого принципа помогает не только защититься от злоумышленников и вредоносных программ, но и укрепить безопасность компании за счет тщательного изучения специалистами вопроса о правах доступа, необходимых пользователям, компьютерам и приложениям. Изучение этих сведений является обязательным этапом успешной реализации любой инициативы в области безопасности, поскольку позволяет получить представление о процессах и параметрах, которые могут быть не вполне безопасными и требуют дополнительной защиты.

Например, согласно принципу предоставления наименьших полномочий пользователь, которому назначена роль администратора домена, должен использовать учетную запись, обладающую привилегиями администратора домена, только при выполнении задач, требующих такого уровня доступа. При выполнении задач, не требующих такого высокого уровня привилегий, администратор должен использовать учетную запись, обладающую стандартными правами доступа. Такой подход позволяет снизить количество угроз безопасности, связанных с человеческими ошибками, и уменьшить наносимый ущерб, если рабочая станция администратора будет заражена вредоносной программой.

Оценка

Для обеспечения безопасности важных и служебных учетных записей необходимо определить, какие учетные записи относятся к этим категориям, и какие для них существуют угрозы. Важно также осознавать последствия изменения этих учетных записей, чтобы обеспечить приемлемый уровень влияния этих изменений на работу компании.

Управление важными учетными записями и учетными записями администраторов

Для защиты административных и важных учетных записей и соответствующих групп, необходимо знать какие учетные записи и группы соответствуют этому критерию. Также важно определить сферу действия привилегий администратора и то, на какие системы они распространяются, особенно если речь идет об управлении контроллерами доменов.

Таким образом, важно иметь глубокое понимание сущности учетных записей администраторов и системы, в рамках которой они используются, а также знания о контроллерах доменов и управляющих ими учетных записях.

Группы и учетные записи администраторов

В сети Active Directory имеются указанные ниже административные учетные записи.

• Учетная запись по умолчанию «Администратор», которая создается при установке Active Directory на первый контроллер домена. Эта учетная запись обладает самыми высокими привилегиями в домене. При ее создании указывается пароль.
• Всем остальным учетным записям, создаваемым после нее, непосредственно предоставляются привилегии администратора, либо они помещаются в группу администраторов.

Наличие групп администраторов в домене Active Directory зависит от служб, установленных на домене. Базовый домен Active Directory содержит перечисленные ниже группы.

• Группы администраторов, автоматически создаваемые в контейнере Builtin.
• Группы администраторов, автоматически создаваемые в контейнере Users.
• Любые группы, создаваемые позже и помещаемые в группы, обладающие привилегиями администратора, либо такие, которым непосредственно назначаются привилегии администратора.

Администраторы служб и администраторы данных

В среде Active Directory операционной системы Windows Server 2003 существует два типа привилегий администратора: администраторы служб и администраторы данных.

• Учетные записи администраторов служб управляют обслуживанием и работой служб каталогов. В частности, в сферу их компетенции входит управление контроллерами доменов и службой каталогов Active Directory.
• Учетные записи администраторов данных управляют данными, хранящимися в службе каталогов, на рядовых серверах и рабочих станциях домена.

Несмотря на то, что в любой системе один и тот же пользователь может выполнять обе этих роли, важно понимать принципы работы используемых по умолчанию учетных записей и групп, которые являются администраторами служб. Учетные записи администраторов служб обладают большой властью в сетевой среде и должны быть защищены лучше всего. Эти учетные записи отвечают за параметры каталога, установку и обслуживание программного обеспечения, а также за установку пакетов обновления и обновлений операционной системы на контроллеры домена.

Таблица 1. Стандартные группы и учетные записи администраторов служб

Группы и учетные записи администраторов служб, приведенные в таблице, защищены с помощью фонового процесса, которые периодически проверяет и применяет специальный дескриптор безопасности, содержащий сведения о безопасности, которые связаны с определенным защищенным объектом. Данный процесс затрагивает каждого участника группы администраторов служб и обеспечивает перезапись несанкционированных изменений участников группы администраторов с их заменой на защищенные параметры, содержащиеся в структуре данных дескриптора безопасности.

Структура данных дескриптора безопасности хранится в объекте AdminSDHolder. Следовательно, чтобы изменить разрешения любой группы администраторов служб или их учетных записей, нужно изменить дескриптор безопасности в объекте AdminSDHolder таким образом, чтобы обеспечить согласованное применение изменений. Изменения, внесенные в дескриптор безопасности, приводят к изменению параметров по умолчанию, применяемых ко всем защищенным учетным записям администраторов, поэтому при использовании этого метода модификации разрешений необходимо соблюдать осторожность.

Дополнительные сведения об изменении разрешений учетных записей администраторов служб см. в документе «Рекомендации по обеспечению безопасности службы каталогов Active Directory», который можно загрузить с веб-узла www.microsoft.com/downloads/details.aspx?FamilyID=4e734065-3f18-488a-be1e-f03390ec5f91&DisplayLang=en.

Управление учетными записями служб и приложений

Службы — это исполняемые файлы, которые работают без вмешательства пользователя и запускаются автоматически при загрузке операционной системы. Поэтому службы и учетные записи служб часто не рассматриваются как источники угрозы безопасности корпоративной сети. Даже когда такая опасность принимается в расчет, управление учетными записями служб может стать достаточно сложной проблемой, поскольку изменение одного пароля может повлечь за собой необходимость смены нескольких других паролей во избежание неполадок.

Хотя в операционной системе Windows Server 2003 используются службы и учетные записи служб по умолчанию, которые защищены от угроз, многие сторонние службы и даже дополнительные службы Microsoft требуют защиты, поскольку для их правильной работы необходимы учетные записи служб. Это требование особенно актуально для корпоративных средств управления, например для сервера Microsoft Systems Management Server или программного обеспечения IBM Tivoli, поскольку для их работы зачастую требуется учетная запись, обладающая правами доступа ко всему домену и даже к другим доменам с доверительными отношениями.

Кроме того, использование учетных записей домена для запуска служб все еще является распространенным явлением, поскольку управлять службами через домен проще, чем с отдельных серверов, несмотря на риски, связанные с этим. Службы хранят сведения об используемой учетной записи пользователя и пароле в реестре (как для локальных учетных записей, так и для учетных записей домена). Таким образом, после проведения успешной атаки на один компьютер эти данные можно использовать для повышения привилегий злоумышленника, если эти службы используют учетные записи домена. Если служба использует учетную запись администратора домена, такое развитие событий представляет собой угрозу для всей сети.

Ситуации уязвимости учетной записи службы

Настройка служб на использование учетных записей домена для проверки подлинности может представлять угрозу безопасности. Уровень риска зависит от ряда факторов, включая перечисленные ниже.

• Количество серверов, службы которых используют учетные записи служб. Уязвимость сети увеличивается с каждым новым сервером, на котором запущены службы, использующие для проверки подлинности учетные записи домена. Наличие каждого такого сервера увеличивает вероятность того, что злоумышленник успешно атакует сервер и использует его для повышения привилегий на другие ресурсы сети.
• Область действия привилегий любой учетной записи домена, используемой службами. Чем большими привилегиями обладает учетная запись службы, тем больше ресурсов может быть атаковано с ее помощью. Особенно опасно использовать привилегии администратора домена, поскольку областью уязвимости для таких учетных записей являются все компьютеры сети, включая контроллеры домена. Поскольку такие учетные записи обладают привилегиями администратора всех рядовых серверов, успешная атака на такую учетную запись может нанести значительный ущерб — опасности подвергнутся все имеющиеся в домене компьютеры и данные.
• Количество служб на сервере, использующих учетные записи домена. У некоторых служб имеются свои уникальные уязвимости, которые делают их более восприимчивыми к атакам. Злоумышленники обычно пытаются сначала воспользоваться известными уязвимостями. Использование уязвимой службой учетной записи домена создает повышенную угрозу другим системам, тогда как в иной ситуации эта угроза могла бы быть ограничена одним сервером.
• Количество учетных записей домена, используемых для работы служб в домене. При использовании учетных записей служб наблюдение и управление безопасностью должно быть более тщательным, чем в случае с обычными учетными записями пользователей, и каждая дополнительная учетная запись домена, используемая службой, усложняет администрирование этих учетных записей. Администраторы и администраторы безопасности должны знать, где используется каждая учетная запись службы, чтобы обнаружить подозрительную деятельность, и это подчеркивает необходимость минимизации числа таких учетных записей.

Перечисленные факторы фигурируют в нескольких возможных ситуациях уязвимости, каждая из которых представляет различный уровень потенциальной угрозы безопасности. Эти ситуации изображены на схеме и таблице ниже.

Приведенные ниже примеры основаны на предположении, что учетные записи служб являются учетными записями домена, и каждая учетная запись используется для проверки подлинности хотя бы одной службой на каждом сервере. Далее описываются учетные записи домена, изображенные на следующем рисунке.

• Учетная запись A обладает привилегиями администратора нескольких контроллеров домена.
• Учетная запись B обладает привилегиями администратора всех рядовых серверов.
• Учетная запись C обладает привилегиями администратора серверов 2 и 3.
• Учетная запись D обладает привилегиями администратора серверов 4 и 5.
• Учетная запись E обладает привилегиями администратора только одного рядового сервера.
  Рис 1. Ситуации уязвимости учетной записи службы домена

В следующей таблице описываются ситуации, изображенные и описанные выше, и оценивается их степень уязвимости.

Таблица 2. Оценка ситуаций уязвимости

Уровни риска в описанных выше ситуациях лучше всего характеризуются следующим образом.

• Критический уровень риска. Безопасность всей сети или компании оказывается под прямой угрозой.
• Высокий уровень риска. Возможна угроза безопасности всей сети, но не такая непосредственная как в случае критического уровня риска.
• Умеренный уровень риска. Опасности могут подвергаться несколько серверов, но важный сервер остается в безопасности. Такие ситуации также важно устранять.
• Низкий уровень риска. Может быть атакован отдельный сервер, но важные серверы не подвергаются опасности.

Системные учетные записи

Службам нужны учетные записи для доступа к ресурсам и объектам, управляемые операционной системой, под управлением которой они работают. Если учетная запись, используемая службой, не обладает достаточными привилегиями для входа в систему, оснастка «Службы» консоли управления (MMC) автоматически предоставляет этой учетной записи необходимое разрешение «Вход в качестве службы» на управляемом компьютере.

Windows Server 2003 содержит три следующих встроенных учетных записи, которые используются как учетные записи для входа в систему для различных системных служб.

• Локальная система. Учетная запись локального компьютера, которая отображается как DOMAIN\<имя компьютера>$ в сети и как NT AUTHORITY\System на локальном компьютере, является встроенной локальной учетной записью, которая может запускать службы и предоставлять им контекст безопасности. Данная учетная запись обладает полным доступом к локальному компьютеру, включая службы каталогов при использовании в контроллерах домена. Хотя некоторые службы Windows Server 2003 по умолчанию используют эту учетную запись, ее не следует использовать, поскольку она представляет значительную угрозу, особенно в случае с контроллерами домена.
• Локальная служба. Учетная запись локальной службы (NT AUTHORITY\LocalService) является встроенной учетной записью, которая обладает ограниченными привилегиями, аналогичными учетной записи локального пользователя. Такой ограниченный доступ является мерой защиты на случай успешной атаки на службу или использующий ее процесс. Службы, запускаемые с учетной записью локальной службы, работают с сетевыми ресурсами, используя пустой сеанс (анонимные учетные данные).
• Сетевая служба. Учетная запись сетевой службы (NT AUTHORITY\NetworkService) является встроенной учетной службой, также обладающей ограниченными привилегиями, подобно учетной записи локальной службы. Однако вместо анонимных учетных данных службы и процессы, использующие эту учетную запись, работают с сетевыми ресурсами через учетные данные учетной записи компьютера.

Примечание. Изменение стандартных параметров службы может привести к неправильной работе важных служб. Следует с осторожностью подходить к изменению параметров Тип запуска и Вход в систему служб, которые по умолчанию запускаются автоматически.

Стандартные параметры безопасности служб Windows Server 2003

До выхода Windows XP и Windows Server 2003 почти все службы, созданные операционной системой, по умолчанию использовали учетную запись локального компьютера. Это создавало явную угрозу безопасности, поскольку такие службы обладали неограниченными правами на локальный компьютер. При разработке Windows Server 2003 параметры по умолчанию были изменены для улучшения внутренней безопасности операционной системы. В результате многие службы теперь по умолчанию используют учетные записи локальной или сетевой службы, которые представляют меньшую угрозу.

Некоторые службы, например автоматическое обновление, обозреватель компьютеров, служба сообщений и установщик Windows, все же требуют использования учетной записи локального компьютера. Службы, использующие для проверки подлинности учетную запись локального компьютера, не следует переводить на использование других учетных записей. Это может привести к возникновению серьезных проблем, вплоть до неправильной работы служб.

В следующей таблице приводятся учетные записи служб, которые более не используют учетную запись локального компьютера в Windows Server 2003, а также тип учетной записи, используемый теперь:

Таблица 3. Новые параметры учетных записей служб в Windows Server 2003

Разработка

Для разработки плана по обеспечению безопасности административных и важных учетных записей, важно понимать основные элементы, на которых базируются все рекомендации. Все действия по обеспечению безопасности учетных записей и основаны на одних и тех же базовых принципах, а эти принципы в свою очередь являются частью всех рекомендуемых процедур и процессов. В данном разделе приводится обзор этих принципов и основных соображений.

Управление важными учетными записями и учетными записями администраторов

Рекомендации по обеспечению безопасности учетных записей администраторов в Windows Server 2003 основываются на применении принципа предоставления наименьших привилегий и использовании подхода ограниченной учетной записи. Первым шагом в этом процессе является достижение полного понимания имеющейся среды. Следующие три основных принципа являются ключом к разработке эффективного плана повышения безопасности важных учетных записей и учетных записей администратора.

• Анализ и документирование среды.
• Использование принципа предоставления наименьших привилегий.
• Использование принципа учетной записи с минимальными полномочиями.

Анализ и документирование среды

Будучи очевидным, этот первый и самый важный шаг к усилению безопасности учетных записей с правами администратора иногда может быть самым сложным. Если компания не ограничивала и не документировала использование привилегий администратора, будет достаточно трудно определить, какие учетные записи обладают привилегиями администратора, особенно, когда речь идет о локальных учетных записях.

В случае учетных записей с правами администратора и других важных учетных записей анализ и документирование сетевой среды предполагает ответы на вопросы «Кто?», «Почему?», «Какие?» и «Где?». То есть, кто имеет право на использование учетных записей администраторов, почему эти пользователи имеют доступ к учетным записям администраторов, какие задачи соответствуют использованию учетных данных администратора и где можно безопасно использовать эти учетные данные.

Важнейшим аспектом документирования этих сведений является организация процессов и процедур, которые проверяют, где используются учетные записи администраторов, зачем они используются, кто их использует, и что сделано во время из использования. Лучше всего собирать эти данные заранее, в рамках процессов подготовки к работе, управления изменениями и управления инцидентами, требующих санкционирования и внесения в журнал всех действий по выполнению задачи. Такие процессы позволяют скрупулезно проверять использование привилегий администратора, что облегчает обнаружение подозрительных действий.

Как будет показано далее, анализ и документирование сетевой среды является наиболее важным этапом повышения безопасности важных учетных записей. Организация рекомендуемых процессов и процедур использования и выдачи важных учетных записей является основной частью такого процесса и должна быть выполнена до реализации любых других рекомендаций, содержащихся в данном документе.

Использование принципа предоставления наименьших привилегий

Использование принципа предоставления наименьших привилегий является, пожалуй, самым значительным шагом, который может сделать компания для повышения безопасности сетевой среды. Хотя предоставление привилегий администратора чаще всего является наиболее простым и быстрым способом разрешения сложных проблем, связанных с привилегиями и правами доступа, он также и самый рискованный. И хотя системным администраторам легче постоянно использовать учетную запись с привилегиями администратора, это повышает уязвимость сети, за которую они ответственны.

Самая простая реализация такого принципа звучит следующим образом: привилегии администратора должны использоваться только уполномоченным персоналом и только если выполняемая задача требует наличия таких привилегий. Реализация такой концепции может показаться обременительной, однако компании, не использующие этот принцип, подвергаются слишком большому риску, игнорировать который невозможно.

В то же время использование этого принципа снижает уровень риска, связанный с большинством наиболее часто встречающихся уязвимостей. Ниже приведено несколько примеров таких уязвимостей.

• Руткит, работающий в режиме ядра.
• Клавиатурные шпионы системного уровня.
• Попытки перехвата пароля.
• Нарушения, связанные с программами-шпионами и программами для показа рекламы.
• Несанкционированный доступ к данным.
• Установка троянских программ.
• Манипуляции с журналом событий.

При ограничении использования учетных записей администратора также снижается и возможность использования повышенных привилегий этих учетных записей для злонамеренных действий, а значит, повышается безопасность сети. Кроме того, ликвидация возможности внесения серьезных изменений в операционную систему ограничивает и возможность установки и запуска вредоносных программ и программ-шпионов. В силу этих причин использование принципа предоставления наименьших привилегий весьма сильно влияет на безопасность сети.

Использование принципа учетной записи с минимальными полномочиями

Во многих компаниях пользователи обладают привилегиями администратора на собственные компьютеры, особенно на портативные. И хотя на предоставление таких всеобъемлющих привилегий могут быть веские причины, это чревато большим риском для компании.

Использование принципа учетной записи с минимальными полномочиями основано на рекомендациях, позволяющих компаниям использовать учетные записи, не имеющие прав администраторов, для компьютеров, работающих под управлением Windows XP. Результатом этих рекомендаций является практическое применение принципа предоставления наименьших привилегий в отношении клиентских устройств Windows XP.

Поскольку в данном документе подробно рассматриваются вопросы, связанные с учетными записями администраторов, и уделяется много внимания сетевым привилегиям, также важно рассмотреть разветвление локальных учетных записей пользователей на рабочих станциях. Хотя подробное рассмотрение этого выходит за рамки данного документа, дополнительные сведения о принципе предоставления наименьших привилегий можно найти на веб-узле корпорации Майкрософт. Дополнительные сведения см. в документе «Использование принципа предоставления наименьших привилегий учетным записям пользователей в Windows XP» по адресу http://go.microsoft.com/fwlink/?LinkId=58445 (эта ссылка может указывать на содержимое полностью или частично на английском языке) или в статье «Использование учетной записи пользователя с минимальными привилегиями» по адресу www.microsoft.com/technet/security/secnews/articles/lpuseacc.mspx (эта ссылка может указывать на содержимое полностью или частично на английском языке).

Управление учетными записями служб

Как и в случае с управлением важными учетными записями и учетными записями администратора, речь пойдет о трех основных принципах, которые являются ключом к успешной разработке эффективного плана повышения безопасности служб в корпоративной сети среднего размера. Важно решить эти вопросы на фазах разработки и внедрить их в процедуры политики безопасности.

• Анализ и документирование среды.
• Использование принципа предоставления наименьших привилегий.
• Использование принципа наименьшего количества служб.

Анализ и документирование среды

Этот этап может показаться очевидным, однако во многих компаниях имеется слишком мало сведений обо всех ролях и службах, имеющихся в сетевой среде. Причин недостатка осведомленности и документации может быть несколько, однако чаще всего это происходит из-за быстрого роста сетевой среды и нехватки времени и ресурсов на надлежащее документирование.

Чтобы определить, насколько компьютер безопасен, необходимо узнать, какие службы запущены на нем и какими они обладают свойствами. Эта информация важна для обеспечения безопасности серверов и их служб, а также учетных записей, необходимых для работы этих служб. Для выполнения данной задачи полезно создать таблицу служб, свойств служб и компьютеров, на которых эти службы запущены. Создание такой таблицы может оказаться нелегкой задачей, однако результаты стоят затраченных усилий. Кроме того, обновлять таблицу после ее создания и включения в процессы компоновки сервера и развертывания приложений будет относительно легко.

Существует несколько средства, которые могут помочь в документировании служб и их свойств в сети. Ниже перечислены некоторые из этих средств.

• Средство управления службами (sc.exe). Эта программа командной строки входит в состав операционных систем Windows Server 2003 и Windows XP. С ее помощью легко работать с диспетчером управления службами из командной строки, запрашивая и устанавливая свойства служб.
• Средство управления списком служб (sclist.exe). В состав набора Windows 2000 Server Resource Kit входит средство вывода списка запущенных и остановленных служб локального или удаленного компьютера. Программа Sclist.exe используется для определения служб, запущенных на удаленных серверах, которые не оснащены мониторами или географически удалены от администратора.
• Инструментарий управления Windows (WMI). Данный компонент входит в состав Windows Server 2003 и Windows XP. Он предоставляет данные, необходимые для управления корпоративной сетью, и обеспечивает контроль над ней. Администраторы используют инструментарий WMI для запроса и установки данных на компьютерах, в сетях, приложениях и службах. В дополнение к возможности использования сценариев для управления административными задачами, инструментарий WMI позволяет определять зависимости служб и все службы, от которых зависят эти службы.
• Командная строка инструментария управления Windows (WMIC). Инструментарий WMI также содержит программу командной строки WMIC, которая предоставляет простой интерфейс командной строки к инструментарию WMI для выполнения запросов и удаленного управления компьютером. Результаты запросов WMIC можно выводить в формате таблиц HTML, которые можно просматривать в любом обозревателе, например в Internet Explorer.

Соблюдение принципа предоставления наименьших привилегий

В корпорации Майкрософт понимают важность безопасности и то, какую значительную роль играет принцип предоставления наименьших привилегий в обеспечении безопасности сетевой среды. Корпорация Майкрософт применила принцип предоставления наименьших привилегий в разработке операционной системы Windows Server 2003, чтобы обеспечить использование основными службами операционной системы учетных записей с наименьшими привилегиями и избавить таким образом пользователей от необходимости настраивать эти службы. При использовании этого подхода внимание должно быть сосредоточено на обеспечение безопасности служб, которые не входят в операционную систему, например поставляемых в качестве компонентов других продуктов, таких как Microsoft SQL Server, Microsoft Operations Manager или программные продукты других производителей.

Соответственно, принцип предоставления наименьших привилегий также необходимо использовать при запуске любых других служб, несмотря на то, что значительно проще при установке новых продуктов предоставить более высокие привилегии. Например, службы должны по возможности использовать учетную запись локальной службы, чтобы успешная атака на локальный компьютер не ставила под угрозу весь домен. Службы, требующие проверки подлинности при доступе к сети, должны по возможности использовать учетную запись сетевой службы. Службы, требующие более широких прав, должны использовать учетную запись локального компьютера. Наконец, если служба использует учетную запись администратора домена, то серверы, на которых запущена эта служба, должны быть системами с высокой степенью безопасности, защищенными не хуже, чем важные сетевые ресурсы и контроллеры домена.

Также можно использовать групповую политику для управления отдельными службами, которые запускаются на компьютерах. Ряд свойств можно изменять на странице Свойства службы в разделе Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Системные службы. Можно изменять такие параметры как режим запуска и разрешения, для которых могут быть использованы учетные записи для выполнения определенных операций со службой (например, ее запуск или остановка).

Реализация принципа предоставления наименьших полномочий зависит от знаний о системах в корпоративной сети. Объединяя две эти базовые концепции, можно узнать, какие службы запущены на компьютерах, их состояние и учетные данные, используемые для каждой службы и сервера. Только тогда станет возможным эффективно и методично снижать используемые каждой службой привилегии до необходимого минимума с помощью процессов управления изменениями, что также упрощает постоянное документирование среды.

Соблюдение принципа наименьшего количества служб

Принцип наименьшего количества служб гласит, что в операционной системе и сетевых протоколах, имеющихся на любом сетевом ресурсе, должны запускаться только службы и протоколы, необходимые для работы компании. Например, если на сервере не размещаются веб-приложения, службу WWW следует отключить или удалить.

Большинство операционных систем и программ по умолчанию устанавливают гораздо больше служб и протоколов, чем необходимо для использования в обычном случае. Поэтому по возможности следует использовать процесс выборочной установки, контролируя установку и активацию служб и протоколов приложения. Такой подход дает возможность документировать процессы, созданные при установке, на случай, если будет выяснено, что созданная при установке служба более не нужна.

При развертывании новых серверов и при разработке образов рекомендуется останавливать все службы, кроме тех, которые необходимы для работы операционной системы. Отключенные службы позднее можно включить, если они нужны для работы запускаемых на сервере приложений. Например, до выпуска Windows Server 2003 в операционных системах Windows обычно отключали службу оповещений и службу сообщений ввиду отсутствия необходимости в них. Отключение этих служб укрепляет безопасность сервера без ущерба его функциональности.

Надлежащее размещение служб также является важной составляющей этого принципа. Например, служба маршрутизации и удаленного доступа или служба IIS не должны размещаться на контроллерах доменов, поскольку эти фоновые службы делают их более уязвимыми. В случае успешной атаки на контроллер домена злоумышленник может получить неограниченный доступ ко всему домену. Следовательно, рекомендуется не разворачивать на контроллере домена дополнительные службы, кроме тех, без которых невозможна его нормальная работа.

Развертывание и управление

Теперь, после описания ключевых концепций и основных принципов, можно предложить несколько рекомендаций, основанных на этих концепциях. Выполнение любого из этих действий повышает безопасность корпоративной сети, а вместе они становятся частью всеобъемлющей структуры обеспечения безопасности, которая в значительной мере снижает уязвимость корпоративной сети среднего размера.

Управление важными учетными записями и учетными записями администраторов

Для обеспечения безопасности учетных записей администраторов в сети Microsoft Windows можно применять несколько рекомендуемых подходов. Ниже перечислены часто используемые в корпоративных сетях среднего размера и хорошо зарекомендовавшие себя способы борьбы с уязвимостями, связанными с такими учетными записями.

Разделение ролей администратора домена и администратора предприятия

Роль администратора предприятия обладает наиболее широкими правами в лесу Active Directory. Следует принять меры для обеспечения безопасности учетных записей этого типа и тщательного регулирования их использования. Существует два подхода к управлению учетными записями такого типа.

• Одна управляемая учетная запись. Первый подход заключается в ограничении этой роли до одной учетной записи, за которой ведется тщательное наблюдение, и которая скрупулезно контролируется, чтобы обеспечить ее использование только в случае получения санкционированного запроса от системы управления изменениями для выполнения задач, требующих ее использования. Любое событие, возникающие для этой учетной записи, требует немедленного расследования и должно сопровождаться соответствующим событием прошедшего проверку подлинности запроса на изменение.
• Временная учетная запись. Согласно другому подходу, такая учетная запись не создается до тех пор, пока не потребуется выполнить соответствующую задачу. При возникновении такой задачи создается временная учетная запись, которая используется для выполнения задачи и удаляется. Поскольку необходимость в учетной записи с такими широкими правами доступа возникает редко, такой подход не добавит много работы администратору.

Разделение учетных записей пользователя и администратора

Обычно учетные записи связаны с пользователями. Используя принцип предоставления наименьших привилегий, учетные записи можно связывать с задачами, а не только с ролями. Это особенно актуально для административных задач. Для каждого пользователя, исполняющего роль администратора, создаются две учетных записи. Одна, обычная учетная запись пользователя, для повседневного использования, а другая, имеющая привилегии администратора, используется только для выполнения административных задач на рабочей станции администратора.

Учетные записи администратора должны использоваться только для административных задач и только на рабочей станции администратора, которая входит в безопасную сеть, аналогичную контроллеру домена. Учетные записи администраторов и связанные с ними рабочие станции не должны иметь доступа к электронной почте или Интернету, а также не должны находиться в сети, когда они не используются. Пароли для обычной учетной записи и учетной записи администратора должны быть разными, кроме того, надежность пароля администратора должна быть как можно выше.

Эти простые предосторожности значительно снижают опасность, которую представляют собой эти учетные записи, уменьшая их доступность внешнему миру и ограничивая время их использования.

Использование службы «Вторичный вход в систему»

С помощью команды «Запуск от имени...» операционной системы Microsoft Windows 2000 можно запускать программы, используя учетную запись, отличную от той, с помощью которой осуществлен вход в систему. В Windows Server 2003 и Windows XP Professional аналогичная функция получила название службы вторичного входа в систему.

Служба «Вторичный вход в систему» позволяет администраторам входить в систему с неадминистративной учетной записью и выполнять административные задачи, запуская их с учетными данными администратора без выхода из системы. Это уменьшает риск, связанный с использованием учетных данных администратора, путем применения описанного выше способа разделения учетных записей пользователя и администратора.

Использование раздельных сеансов служб терминалов для администрирования

Службы терминалов и подключения к удаленному рабочему столу часто используются для управления сервером без физического доступа к его консоли. Такой подход не только эффективен, но и более безопасен, чем использование учетной записи администратора для интерактивного входа на сервер, особенно, если на компьютере, с которого устанавливается подключение, не используется учетная запись администратора. После выполнения административной задачи, нужно выйти из системы, и сеанс будет отключен.

Переименование стандартной учетной записи «Администратор»

Переименование стандартной учетной записи администратора часто используется во многих компаниях среднего размера, поскольку это помогает уменьшить уязвимость этой учетной записи. Однако такой подход препятствует лишь небольшому количеству типов атак, поскольку существует много средств и техник для определения того, какая учетная запись изначально была учетной записью «Администратор». Хотя переименование стандартной учетной записи может быть полезно, более эффективным будет создание вторичных учетных записей администраторов и отключение изначальной встроенной учетной записи, как описано далее.

Создание ложных учетных записей администратора

Использование ложной учетной записи «Администратор» в сочетании с механизмом защиты от вторжения, который обнаруживает определенные действия учетной записи и отправляет оповещения, может быть действенным дополнительным рубежом защиты от атак на сеть. Даже сама по себе эта техника может замедлить действия злоумышленника, если для этой учетной записи разрешено большее число попыток ввода пароля, чем для других, и установлен надежный пароль. Ложные учетные записи администраторов не должны входить ни в какую из привилегированных групп безопасности. За их деятельностью должно вестись наблюдение. Любая попытка использования такой учетной записи должна немедленно расследоваться.

Создание вторичных учетных записей администратора и отключение встроенных учетных записей

Если каждому пользователю, которому назначена роль администратора, не предоставлена учетная запись с правами администратора для выполнения административных задач, и даже если службы терминалов не используются для администрирования сервера, рекомендуется все равно создавать вторичную учетную запись администратора. Вторичная учетная запись администратора является защитой от атаки на главную учетную запись администратора и должна создаваться до отключения встроенной учетной записи администратора.

Примечание. Следует обязательно убедиться в наличии другой учетной записи с соответствующими привилегиями администратора перед отключением встроенной учетной записи «Администратор». Без этого отключение встроенной учетной записи администратора может привести к потере прав администратора домена и потребовать восстановления или переустановки системы.

Блокировка удаленных входов в систему под учетной записью «Администратор»

Хотя встроенную учетную запись администратора нельзя заблокировать, можно заблокировать удаленный вход в систему с использованием учетной записи администратора. Для этого в наборе Microsoft Windows 2000 Server Resource Kit имеется программа командной строки Passprop.Exe, которая блокирует учетную запись для удаленного входа в систему. Использование этой программы командной строки с параметром /ADMINLOCKOUT подводит интерактивный и удаленный вход в систему с помощью учетной записи администратора под действие политик блокировки Windows 2000 Server.

Примечание. Использование команды Passprop.Exe /ADMINLOCKOUT в Windows Server 2003 затронет удаленный и интерактивный вход в систему с учетной записью администратора. При работе с этой программой следует соблюдать осторожность, поскольку использование учетной записи администратора для администрирования сервера невозможно, пока она находится в заблокированном состоянии.

Создание надежных паролей администратора

Рекомендуется использовать надежный пароль как для учетной записи с правами администратора, так и для встроенной учетной записи администратора. Надежные пароли уменьшают вероятность получения злоумышленником дополнительных прав доступа путем атаки методом подбора пароля. Обычно надежный пароль отвечает следующим требованиям.

• Содержит 15 или более знаков.
• Никогда не содержит имен учетных записей, реальных имен или имени компании в любом виде.
• Никогда не содержит полных слов, жаргонных терминов или иных удобных для подбора элементов.
• Радикальным образом отличается от предыдущих паролей и не создается путем приращения.
• Используют по крайней мере три из следующих типов знаков:
  • прописные буквы (A, B, C...);
  • строчные буквы (a, b, c...);
  • цифры (0, 1, 2...);
  • знаки, не являющиеся буквами или цифрами (@, &, $...);
  • знаки из кодировки Юникод (€, ƒ, ?...).

Автоматическое обнаружение ненадежных паролей

Средства проверки паролей используют два основных подхода для поиска ненадежных или пустых паролей. Эти подходы описаны ниже.

• Оперативная проверка паролей. При оперативной проверке производятся попытки входа в систему с помощью общеизвестных уязвимостей пароля, например использование слова password в качестве пароля или даже использование пустых паролей. Анализатор безопасности Microsoft Baseline Security Analyzer (MBSA) является примером средства, использующего такой метод.
• Автономная проверка паролей. При автономной проверке используются различные механизмы, использующие кэшированные учетные данные для проверки и даже оценки надежности паролей различных учетных записей. Средства, использующие такой подход, имеют ряд преимуществ перед предыдущим методом, но предполагают использование программ сторонних производителей.

Хотя сторонние средства и могут выполнять поиск ненадежных паролей, корпорация Майкрософт предоставляет анализатор безопасности Microsoft Baseline Security Analyzer (MBSA) для бесплатной загрузки. Анализатор безопасности MBSA может выдавать уведомления обо всех отключенных или заблокированных учетных записях, найденных при пересчете всех учетных записей пользователей для проверки паролей на наличие следующих уязвимостей:

• пустые пароли;
• использование имени пользователя в качестве пароля;
• использование имени компьютера в качестве пароля;
• использование слов password, admin или administrator в качестве пароля.

Дополнительные сведения см. на веб-странице анализатора безопасности Microsoft Baseline Security Analyzer по адресу www.microsoft.com/technet/security/tools/mbsahome.mspx (эта ссылка может указывать на содержимое полностью или частично на английском языке).

Разрешение выполнения административных задач только надежным компьютерам

Учетные данные администратора представляют желанную цель для злоумышленников. Существуют способы незаметного получения доступа к этим учетным данным. Чаще всего для получения важных данных используются программы, записывающие последовательность нажатий клавиш и делающие снимки экрана, которые фиксируют каждое нажатие клавиши и каждый введенный символ. Такие вредоносные программы очень незаметны, и их сложно обнаружить и удалить после того, как они были установлены на компьютер.

Поэтому рекомендуется использовать учетные записи с привилегиями администратора на как можно меньшем количестве компьютеров, чтобы уменьшить уязвимость к таким угрозам. Кроме того, выбирая ресурсы, где будут использоваться учетные записи администраторов, важно обеспечить надежность и защищенность таких систем. Существует много методик защиты важных ресурсов, например изоляция сети с помощью протокола IPsec, которые обеспечивают надежную защиту определенных устройств, не влияя на удобство работы с самой сетью.

Дополнительные сведения об использовании протокола IPsec для изоляции доменов и серверов см. в техническом центре «Изоляция доменов и серверов» по адресу www.microsoft.com/technet/itsolutions/network/sdiso/default.mspx (эта ссылка может указывать на содержимое полностью или частично на английском языке).

Аудит учетных записей и паролей

Регулярный аудит учетных записей обеспечивает целостность защиты домена от атак, использующих повышение привилегий. Если злоумышленник получает доступ к учетной записи с правами администратора, он может создать уязвимости и обойти меры безопасности. Например, злоумышленник, получивший доступ к учетной записи с правами администратора, может создать учетные записи пользователей прокси-сервера, изменить принадлежность учетной записи к группе и даже отредактировать журнал событий, чтобы замести следы.

Следует регулярно проводить аудит всех пользователей и групп администраторов, а также учетных записей и групп локальных администраторов, находящихся на важных серверах. Использование таких учетных данных администратора необходимо подвергать аудиту для обеспечения их использования только в рамках требований, установленных внутренними политиками, и только в соответствии с установленными и хорошо задокументированными внутренними процессами, такими как процедуры управления изменениями. Регулярное проведение аудита учетных записей обеспечивает надлежащее выполнение процедур в процессе выполнения административных задач и даже проверку соответствия надежности пароля установленной политике.

При обеспечении безопасности журнала событий полезно использовать для аудита средство «Просмотр событий». Дополнительные сведения об использовании журналов событий для отслеживания безопасности сети и о том, как обеспечить безопасность данные журнала событий см. в документе «Руководство по отслеживанию проблем в сфере безопасности и планированию обнаружения атак» по адресу http://go.microsoft.com/fwlink/?LinkId=41309 (эта ссылка может указывать на содержимое полностью или частично на английском языке).

Запрет делегирования учетной записи

Делегированная проверка подлинности выполняется, если сетевая служба принимает запрос от пользователя и использует учетные данные пользователя, чтобы установить новое соединение с другими сетевыми службами. Делегированная проверка подлинности применяется для многоуровневых приложений, использующих функции единого входа в сеть. Веб-клиент Microsoft Outlook использует этот механизм для организации взаимодействия с базами данных другого компьютера.

Учетные записи администратора должны иметь пометку «Важные учетные записи, которые нельзя делегировать». Такой подход помогает защитить учетные данные администраторов от имитации через серверы с пометкой о разрешении делегирования. Учетным записям компьютеров в службе каталогов Active Directory, соответствующим компьютерам, которые физически не защищены, должно быть отказано в делегированной проверке подлинности. Кроме того, учетным записям администраторов домена также должно быть отказано в делегированной проверке подлинности, поскольку они имеют доступ к важным данным и ресурсам сети.

Дополнительные сведения о делегировании учетной записи см. в документе «Включение делегированной проверки подлинности» по адресу http://technet2.microsoft.com/WindowsServer/en/Library/72612d01-622c-46b7-ab4a-69955d0687c81033.mspx?mfr=true (эта ссылка может указывать на содержимое полностью или частично на английском языке).

Обеспечение многофакторной проверки подлинности для учетных записей администраторов

Группы «Администраторы», «Администраторы предприятия» и «Администраторы домена» включают учетные записи, обладающие самыми широкими полномочиями в корпоративной сети. Соответственно, эти учетные записи должны быть защищены лучше всего.

Методы многофакторной проверки подлинности повышают безопасность процесса входа в систему, запрашивая дополнительные идентифицирующие пользователя данные, что увеличивает объем данных, которые злоумышленник должен раздобыть для получения доступа к учетной записи. Как видно из названия, метод многофакторной проверки подлинности требует наличия нескольких элементов идентифицирующих данных. При использовании данного метода обычно требуются следующие элементы.

• Что-либо, принадлежащее пользователю, например смарт-карта.
• Что-либо, известное пользователю, например персональный идентификационный номер (ПИН-код).
• Что-либо, являющееся неотъемлемой особенностью пользователя (обычно называемое биометрическими параметрами). Для проверки подлинности может использоваться простой сканер отпечатков пальцев.

Использование многофакторной проверки подлинности ликвидирует уязвимости, связанные с проверкой подлинности на основе передачи открытым текстом имени пользователя и пароля, за счет использования смарт-карты, содержащей динамически создаваемый случайный код, идентифицирующий владельца учетной записи. Каждая карта содержит уникальный закрытый ключ, гарантирующий сингулярность сведений для проверки подлинности.

Кроме того, использование смарт-карты требует использования ПИН-кода, представляющего собой еще один зашифрованный код, который устанавливается владельцем карты и хранится в ней. Этот ПИН-код позволяет использовать при проверке подлинности хранящийся в карте закрытый ключ; в противном случае ключ остается зашифрованным и бесполезным.

Дополнительные сведения о методах мультифакторной проверки подлинности и смарт-картах см. в документе «Руководство по планированию безопасного доступа с использованием смарт-карт» по адресу http://go.microsoft.com/fwlink/?LinkID=41313 (эта ссылка может указывать на содержимое полностью или частично на английском языке).

Управление учетными записями служб и приложений

Существует также несколько рекомендуемых способов повышения безопасности служб и учетных записей служб. В этом разделе описываются способы повышения безопасности служб, доказавшие свою эффективность в реальных сетях. Хотя использование сочетания всех этих методов значительно повышает безопасность корпоративных сетей среднего размера, лучше всего оценить каждый из них и определить наилучшее сочетание подходов для среды каждого конкретного предприятия.

Аудит необходимых свойств служб

Как было сказано выше, первым шагом в разработке плана по обеспечению безопасности служб в конкретной системе является сбор всех данных о службах — где они находятся и для чего используются. Хотя эта задача выглядит сравнительно простой, может оказаться неожиданно сложно определить, какие службы запущены на каждом компьютере, и как ими нужно управлять.

Каждый сервер в среде должен быть задокументирован и проверен, чтобы определить все запущенные на нем службы и все учетные записи, используемые службами для проверки подлинности. Существует ряд средств, которые могут помочь администратору в выполнении этой задачи.

• Программа «Сведения о системе» в Microsoft Windows Server 2003. В сведениях о системе приводится исчерпывающий список свойств всех служб, запущенных на локальном компьютере. Однако это средство предоставляет не очень удобный способ аудита большого количества серверов.
• Консоль управления службами. Можно использовать страницу службы Свойства на вкладке Вход в систему консоли управления службами для определения учетных записей, используемых службами для проверки подлинности. Вкладку Зависимости можно использовать для определения того, от каких служб зависит данная служба, и какие службы зависят от нее. К сожалению, этот способ также малоэффективен при аудите большого количества серверов.
• Инструментарий управления Windows (WMI). Инструментарий WMI можно использовать для получения данных о службах, запущенных на всех серверах сети. Используя инструментарий WMI вместе со сценариями или другими средствами программирования, можно получить данные о настройках большинства компьютеров в сети, а также внести изменения в настройки этих компьютеров.
• Командная строка инструментария управления Windows (WMIC). Служба WMIC предоставляет те же функции, что и инструментарий WMI, но в виде программы командной строки, которая может взаимодействовать с имеющимися оболочками и другими служебными программами, а также может быть легко расширена при помощи сценариев или других приложений.
  
  С помощью службы WMIC можно получить различные данные о службах, запущенных в сети:
  • Описание
  • Выводимое имя (DisplayName)
  • Действие при ошибке (ErrorControl)
  • Дата установки (InstallDate)
  • Путь (PathName)
  • Идентификатор процесса (ProcessId)
  • Режим запуска (StartMode)
  • Имя используемой службой учетной записи (StartName)
  • Состояние
  • Сценарии
    
    Как упоминалось выше, службу WMIC можно использовать для автоматизации управления удаленными и локальными компьютерами с помощью сценариев.
• Другие корпоративные средства управления. Существует несколько других средств управления, которые можно использовать при проведении аудита служб сервера. Они перечислены ниже.
  • Сервер Microsoft Systems Management Server (SMS)
  • IBM Tivoli
  • HP OpenView
  • Диспетчер учетных записей служб корпорации Lieberman Software

Определение необходимых служб

При установке Windows Server 2003 создает несколько стандартных служб, которые запускаются при загрузке компьютера. Эти стандартные службы обеспечивают совместимость приложений, совместимость клиентов и упрощают управление системой. Однако все эти службы необходимы отнюдь не в каждой среде. Следует проверить все службы и определить, какие из них можно отключить, чтобы уменьшить число уязвимостей сервера, на котором они запущены.

Определение необходимых и ненужных служб может превратиться в достаточно сложный процесс. Необходимость использования одних служб очевидна, а других — нет. При определении служб, которые нужно отключить, используются два основных критерия:

• если нет причин использовать службу, ее можно отключить;
• если в будущем потребуется использовать службу, но в данный момент она не нужна, службу можно отключить пока она не понадобится.

Службы, необходимые для работы конкретного сервера, в основном зависят от роли сервера. Например, службы IIS нужно использовать только на веб-сервере или на сервере приложений, который использует механизм распространения через Интернет. Если сервер не использует службы Telnet или службы удаленного доступа, они должны быть отключены.

При установке на сервер программного обеспечения могут быть установлены дополнительные службы. Например, службы Microsoft Systems Management Services устанавливают службу «Агент удаленного управления Wuser32» для обеспечения функциональности удаленного клиента для обновления программного обеспечения или удаленного управления. При определении того, какие службы нужно отключить, важно иметь представление о том, какие службы могут быть установлены пакетами программного обеспечения или могут понадобиться для их работы.

Использование мастера настройки безопасности

Мастер настройки безопасности, входящий в пакет обновления 1 для Windows Server 2003, можно использовать для быстрой настройки серверов с учетом предъявляемых к ним функциональных требований (например, веб-сервер или контроллер домена). Кроме того, он позволяет создавать политики безопасности для минимизации уязвимостей. Мастер настройки безопасности используется для определения служб, запущенных на серверах сети, и их зависимостей.

Установка мастера настройки безопасности на сервер Windows Server 2003

1. Откройте панель управления.
2. Дважды щелкните Установка и удаление программ.
3. Щелкните раздел Установка компонентов Windows.
4. Установите флажок Мастер настройки безопасности в разделе Компоненты на экране Компоненты Windows.
5. Нажмите кнопку Далее.
6. После завершения процесса установки нажмите кнопку Готово.

Мастер настройки безопасности можно использовать для сокращения числа уязвимых мест компьютера, работающего под управлением Windows Server 2003 с пакетом обновления SP1. Мастер дает администраторам указания по созданию политик безопасности с учетом выполняемой данным сервером роли. Термин роль сервера определяет основную функцию, выполняемую компьютером в сети. Необходимые службы, входящие порты и параметры зависят от роли сервера. Созданные политики применяются на серверах, в зависимости от их настроек.

Прекращение использования учетных записей администраторов домена для служб

После завершения аудита сервера собранных данных о системе должно быть достаточно для определения и ликвидации всех возможных экземпляров учетных записей администраторов домена, которые используются для проверки подлинности служб. По возможности службы должны использовать учетные записи локальной службы, сетевой службы или локальной системы.

Следует уделить особое внимание корректировке использования службами учетных записей администраторов в следующих ситуациях.

• Учетные записи пользователей с привилегиями администраторов, входящие в систему как службы.
• Встроенные учетные записи администраторов, которые входят в систему как службы.
• Учетные записи администраторов домена, которые входят в систему как службы на компьютерах с низким уровнем безопасности.

Использование иерархий с наименьшими привилегиями для развертывания службы

Как говорилось выше, службы всегда должны использовать учетные записи с наименьшими привилегиями, необходимыми для работы службы. Все службы, имеющие более высокие привилегии, чем необходимо, должны быть повторно развернуты с использованием учетных записей с меньшими привилегиями.

Ниже приведена иерархия наименьших привилегий, в которой приведены используемые службами учетные записи, начиная с наиболее предпочтительных.

• Локальная служба.
• Сетевая служба.
• Уникальная учетная запись локального пользователя.
• Уникальная учетная запись пользователя домена.
• Локальная система
• Учетная запись локального администратора.
• Учетная запись администратора домена.

Создание группы серверов высокой степени безопасности для исключительных ситуаций

Серверы высокой степени безопасности — это серверы, содержащие ресурсы или поддерживающие службы, от которых зависит работа предприятия или которые создают повышенную угрозу безопасности. В эту категорию входят указанные ниже серверы.

• Контроллеры домена.
• Серверы, использующие службы, для работы которых необходима проверка подлинности с помощью учетной записи администратора домена.
• Серверы с разрешением для делегирования в лесу.
• Серверы, используемые важными группами предприятия или содержащие важные данные предприятия, например, сервер отдела кадров с данными о заработной плате.
• Серверы, на которых запущены службы с разрешением делегирования в пределах леса с помощью принудительного делегирования в Windows Server 2003.

Создание группы серверов высокой степени безопасности предполагает выполнение следующих действий.

1. Определение серверов, которые должны обладать высокой степенью безопасности.
2. Создание в каждом лесу универсальной группы безопасности «Серверы высокой степени безопасности».
3. Размещение соответствующих учетных записей компьютеров в новой универсальной группе.
4. Создание в каждом домене локальной группы «Учетные записи администраторов домена».
5. Размещение всех учетных записей администраторов домена в новой локальной группе.
6. Создание в каждом домене объекта групповой политики, ограничивающего использование учетных записей администраторов домена для служб на всех компьютерах путем назначения прав пользователя Отказ во входе в качестве службы и Отказ во входе в качестве пакетного задания и применения разрешений на чтение (Allow-Read) и применение (Allow-Apply) для объекта групповой политики для созданной локальной группы домена «Учетные записи администраторов домена».
7. Использование фильтрации групповой политики для группы «Серверы высокой степени безопасности» для каждого объекта групповой политики, чтобы участники группы по-прежнему могли использовать учетные записи администраторов доменов для служб. Этого можно добиться, применив разрешения на чтение (Allow-Read) и отказ в применении (Deny-Apply) для объектов групповой политики для группы «Серверы высокой степени безопасности».

В управлении участниками группы «Серверы высокой степени безопасности» необходимо использовать внутренний рабочий процесс оценивания запросов на добавление в группу новых участников. Этот процесс должен включать проверку запроса и оценку возникающих рисков безопасности при добавлении сервера в группу. Этот процесс может быть как простым (например, отправка запроса по электронной почте на определенную учетную запись), так и сложным автоматизированным процессом, использующим несколько средств подготовки к работе, например Zero Touch Provisioning (ZTP).

Обсуждение ZTP выходит за рамки данного документа, поскольку это средство ориентировано на системы больших предприятий. Дополнительные сведения о ZTP и других аналогичных средствах см. на Центральном веб-узле развертывания ПО корпорации Майкрософт по адресу www.microsoft.com/technet/desktopdeployment/default.mspx (эта ссылка может указывать на содержимое полностью или частично на английском языке).

Управление сменой паролей учетных записей служб

Перед назначением учетной записи службе диспетчер управления службами требует ввести правильный пароль учетной записи. Если введен неправильный пароль, назначение будет отклонено диспетчером управления службами. Использование служб учетных записей локальной системы, локальной службы и сетевой службы ликвидирует необходимость управления паролями учетных записей, поскольку эту функцию берет на себя операционная система.

Диспетчер управления службами хранит пароли других учетных записей служб в базе данных служб. После назначения паролей диспетчер управления службами не проверяет пароли, хранящиеся в этой базе данных, и пароль, назначенный учетной записи пользователя в службе каталогов Active Directory, будет по-прежнему действовать. Это может привести к проблемам при возникновении перечисленных ниже ситуаций.

1. Служба использует учетную запись определенного пользователя.
2. Служба запускается с помощь этой учетной записи с текущим паролем.
3. Пароль этой учетной записи пользователя изменен во время работы службы.
4. Служба работает, пока не будет остановлена. После остановки служба не запустится снова, поскольку диспетчер управления службами пытается использовать старый пароль. Изменения паролей в Active Directory не синхронизируются с паролями, хранящимися в базе данных служб.

Нужно обновлять данные проверки подлинности любой службы, использующей стандартную учетную запись локального пользователя или пользователя домена, после каждой смены пароля учетной записи пользователя. На это может потребоваться много времени и ресурсов, если службы и используемые ими учетные записи не задокументированы надлежащим образом.

Разумеется, наличие документа, в котором хранятся все данные об учетных записях работающих на всех серверах служб, опасно само по себе. Поэтому следует обеспечить безопасность этого документа. Крупные организации могут хранить эти данные в зашифрованном файле, который находится в безопасном месте вне сети. Небольшие организации могут просто записывать эти данные на бумагу и хранить в сейфе или другом безопасном месте.

Некоторые приложения также могут использовать пароли учетных записей служб (например, сервер Exchange Server или SQL Server™), поэтому в таких ситуациях следует соблюдать осторожность при смене соответствующих паролей в интерфейсе приложения.

Дополнительные сведения о написании средств автоматизации процесса изменения паролей учетных записей служб см. в статье «Изменение пароля учетной записи пользователя службы» по адресу http://msdn.microsoft.com/library/default.asp?url=/library/en-us/ad/ad/changing_the_password_on_a_serviceampaposs_user_account.asp (эта ссылка может указывать на содержимое полностью или частично на английском языке).

Обеспечение использования надежных паролей

Как уже упоминалось в разделе об учетных записях администраторов, политики использования надежных паролей должны неукоснительно соблюдаться для всех учетных записей с правами администратора, а также для всех учетных записей служб. Для реализации этих правил можно использовать групповую политику, с помощью которой можно задать даты истечения срока действия пароля, минимальную длину и другие правила надежных паролей.

Дополнительные сведения о политиках надежных паролей см. документе «Пароли и политики учетных записей» по адресу http://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/security/bpactlck.mspx (эта ссылка может указывать на содержимое полностью или частично на английском языке). 

Дополнительные сведения об обеспечении использования надежных паролей см. в документе «Руководство по безопасности Windows Server 2003» по адресу http://go.microsoft.com/fwlink/?linkid=14845 (эта ссылка может указывать на содержимое полностью или частично на английском языке).

Ненадежные пароли представляют одну из наиболее распространенных уязвимостей сети. Если такие пароли используются для учетных записей с правами администратора, то они представляют собой один из самых простых способов получения доступа к ресурсам сети. Сотрудники, отвечающие за безопасность и администрирование сети, должны регулярно использовать средства автоматической проверки для нахождения учетных записей администратора с ненадежными паролями.

Для выполнения этой задачи можно использовать анализатор безопасности Microsoft Baseline Security Analyzer (MBSA), который проверяет все компьютеры сети в поиске ненадежных паролей. Анализатор безопасности MBSA перебирает все учетные записи пользователей и проверяет наличие следующих уязвимостей, связанных с паролями.

• Пустые пароли.
• Пароли, совпадающие с именем учетной записи пользователя.
• Пароли, совпадающие с именем компьютера.
• Пароли, использующие слова password, admin или administrator.

Анализатор безопасности MBSA пытается использовать каждую из перечисленных уязвимостей для смены пароля учетной записи. Найденные ненадежные пароли не меняются: анализатор безопасности MBSA просто сообщает о том, что пароль представляет угрозу для безопасности. Анализатор безопасности MBSA также сообщает обо всех отключенных или заблокированных учетных записях.

Хотя анализатор безопасности MBSA обнаруживает наиболее распространенные слабости паролей, он не обладает всеми функциями проверки паролей. Для этого можно использовать предлагаемые некоторыми сторонними производителями средства автономного сканирования и другие приложения.

Для получения дополнительных сведений об анализаторе безопасности MBSA или о загрузке этого средства посетите веб-узел анализатора безопасности Microsoft Baseline Security Analyzer по адресу www.microsoft.com/technet/security/tools/mbsahome.mspx (эта ссылка может указывать на содержимое полностью или частично на английском языке).

Примечание. Анализатор безопасности MBSA сбрасывает политики блокировки учетной записи, обнаруженные на компьютере, чтобы предотвратить блокирование учетных записей во время сканирования. Кроме того, анализатор безопасности MBSA не сканирует пароли контроллеров домена.

Аннотация

Очевидно, что существует огромное множество способов повышения безопасности важных учетных записей и учетных записей служб в корпоративных сетях среднего размера. По сути, все эти подходы основываются на нескольких ключевых концепциях, таких как организация хорошо документированных процессов и использование принципа предоставления наименьших привилегий. Понимание и использование этих нескольких ключевых концепций в качестве основы для управления учетными записями оказывается очень полезным при повышении безопасности любой сети.

Все описанные в данном документе рекомендованные методики можно использовать в корпоративных сетях среднего размера, если они соответствуют потребностям компании. Хотя все эти рекомендации, используемые в комплексе, без сомнения повысят безопасность любой сети, лучше всего проанализировать влияние, которое они могут оказать на сеть компании, чтобы определить наиболее подходящее сочетание подходов.

Приложение A: Распространенные службы

В следующей таблице представлены в алфавитном порядке и описаны наиболее распространенные службы операционных систем Windows Server 2003 и Windows XP. Хотя в этот список включены как стандартные службы, так и службы, которые могут быть добавлены на компьютер, он не является полным списком всех возможных служб, которые могут быть установлены на компьютер, поскольку в него не включены службы, устанавливаемые программами сторонних производителей.

Таблица А.1 Описание служб операционных систем Windows XP и Windows Server 2003