ручное удаление аккаунта Администратора в Windows NT/2k/XP/ 2k3
disclaimer
Статья предназначена в первую очередь для системных администраторов (здесь под "администратором" понимаем в первую очередь "профессионал", но не позицию в штатном расписании). Легко представить себе катастрофу, которую может учинить даже юзверь средней advance'ности, прочтя текст и истолковав его сколько-либо вольно.
И пусть вас не смущает то, что в качестве примера выбрана система, ориентированная скорее на домашнее применение, ведь от админа требуется именно вольное толкование текста - доносится информация о неоправданности ряда сервисов и рекомендации по мерам защиты, которые любой грамотный администратор в состоянии применить в любом окружении.
вступление
Пожалуй, Windows 2000 на данный момент является наиболее приемлемой в своем семействе операционной системой для рабочих станций. Ниже будет рассмотрено, как обеспечить максимальную безопасность работы в сети для станции под W2K.
Большинство руководств по защите рабочей станции ограничиваются рекомендациями "не открывать подозрительные вложения", "не устанавливать нелицензионные программы" и т.д.; в некоторых, мягко говоря, мотивированных, случаях, делается упор на тот или иной программный продукт как панацею от всех бед.
В этой статье подобные вопросы рассмотрены не будут. Я дам рекомендации по практической защите рабочей станции под Windows 2000, преимущественно при помощи "родных" средств системы. Система, рассматриваемая в статье - W2KSP4 pro rus с патчами MS04-011, MS04-012, MS04-024 и dial-up подключением.
патчи
Всеми любимая компания регулярно радует пользователей новыми патчами, патчами к патчам и так далее. Устанавливать все, что выпускает под видом патчей M$, неоправданно и небезопасно. Как же определиться с необходимым минимумом заплаток?
Как ни странно, под лэйблом той же компании выходит вполне приличный инструмент patch management'а - Baseline Security Analyzer (MBSA). После сканирования системы на предмет наличия/отсутствия патчей, в файл отчета пишется список предлагаемых патчей, из которых легко выбрать действительно нужные - так, я при написании этого материала установил 3 патча из предложенных 19. Помимо анализа патчей, MBSA проводит поиск некоторых других уязвимостей (незащищенные аккаунты, расшаренные каталоги), так что вердикт - рекомендовать к применению.
Любопытное решение проблемы spyware реализовано Javacool Software в бесплатном продукте SpywareBlaster, который тоже можно отнести к патчам, исходя из принципа действия. В отличие от большинства анти-spyware разработок, "вычищающих" агрессивные компоненты из системы, SpywareBlaster предотвращает возможность заражения, дописывая т.н. kill bit к CLSID'ам опознанных компонентов. В последних версиях появилась также защита браузеров Mozilla и Firefox.
SpywareBlaster доступен наhttp://www.javacoolsoftware.com/spywareblaster.html.
сервисы
Что касается сервисов, то эти штучки вдоволь попили крови не одного админа. Решение - отключить или, по крайней мере, поставить на "ручной тормоз" как можно больше сервисов, щедро навключенных в default installation. На особо вредных я остановлюсь подробнее.
RPC DCOM -фактически бесполезная для рабочей станции служба, однако представляющая серьезную угрозу безопасности - на ошибках RPC DCOM паразитирует ряд опасных червей и эксплойтов.
Отключается RPC DCOM следующим образом:
- dcomcnfg.exe - Default Protocols - удалить все протоколы;
- снять чек-бокс Enable Distributed COM on this Computer.
Вот список приложений, которым действительно требуется RPC DCOM (cогласно FAQ по уязвимостям RPC DCOM):
- Microsoft Access Workflow Designer;
- FrontPage с Visual Source Safe на IIS;
- BizTalk Server schedule client;
- Excel использует DCOM, если он включает RTD-инструкцию;
- Microsoft Exchange Conferencing Server;
- Dell Open Manage suite;
- Veritas Backup Exec, Network based backup;
- Citrix NFuse Elite;
- Sophos (Antivirus) Enterprise Manager;
- SMS 2.0.
DHCP & DNS -в действительности, никакой необходимости в этих сервисах, как правило, нет. Встречаются рекомендации (например, в отличном руководстве Hardening Windows 2000) отключить только DHCP-клиент, что, однако, приводит к необходимости перезапуска DNS-клиента.
На системе, о которой идет речь в статье, присутствуют подключения к двум ISP, для одного из которых потребовалось прописать адреса DNS-серверов, после чего клиентские сервисы были остановлены без ущерба для функциональности.
NetBIOS - абсолютно не нужен вне локальной сети. Наиболее эффективным методом показало себя удаление драйвера NetBIOS из списка устройств (для этого необходимо включить отображение скрытых устройств).
Дополнительно можно отключить показ имени компьютера:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters NoNameReleaseOnDemand = 1 (DWORD).
Подсистемы POSIX и OS/2 также лучше отключить из соображений безопасности.
Windows AutoUpdate - без комментариев =)
TCP/IP
Таким образом, у нас не остается открытых портов. Однако, если мы работаем в сети, имеет место определенный TCP/IP-траффик, который может также содержать неприятные сюрпризы. Следующие модификации реестра позволят повысить безопасность соединения. Большинство параметров, с которыми придется работать, по умолчанию отсутствуют, так что вооружаемся редактором реестра и вперед:
Все модификации проводятся в HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip \Parameters , значения DWORD:
AllowUnqualifiedQuery 0
DeadGWDetectDefault 0
DisableIPSourceRouting 2
EnableDeadGWDetect 0
EnableICMPRedirect 0
EnablePMTUBHDetect 0
EnableSecurityFilters 1
ForwardBufferMemory 74240
PerformRouterDiscovery 0
SynAttackProtect 2
Tcp1323Opts 3
TcpMaxConnectResponseRetransmissions 3
TcpMaxConnectRetransmissions 3
TcpMaxDataRetransmissions 3
TcpMaxHalfOpen 100
TcpMaxHalfOpenRetried 80
TCPMaxPortsExhausted 5
TcpUseRFC1122UrgentPointer 0
Ряд руководств рекомендует поставить значение EnablePMTUDiscovery = 0, однако необходимо помнить, что это - рекомендация для сервера, не рабочей станции.
На этом этапе тесты на уязвимости дают оптимистические результаты, однако не стоит расслабляться - колесо кармы Windows продолжает крутится, накручивая новые возможности для повышения безопасности системы =)
использованная документация
- FAQ по уязвимостям DCOM/RPC;
- Antony Shaw - Case Study of a Compromised Administrator Workstation;
- NSA Security Recommendation Guides - Windows 2000 Security;
- Philip Cox - Hardening Windows 2000;
- Microsoft Windows 2000 Security Hardening Guide 1.3;
- Windows 2000 Home User Self-Defence Guide.
Отдельного внимания заслуживает построение политики IPSEC. Здесь сложно давать некие общие, универсальные рекомендации, поэтому приведу только краткий список полезных документов:
- Timothy Rogers - IP Security in Windows 2000: Step-by-Step;
- NSA Report C4-045R-01: Microsoft Windows 2000 IPsec Guide;
-http://www.ietf.org/html.charters/ipsec-charter.html.
ALiEN Assault.
Сетевые решения. Статья была опубликована в номере 08 за 2004 год в рубрике sysadmin