Windows 2000 biztonsági beállításai - alapelvek

A Windows 2000 (Win2k) biztonsági beállításait sokszáz oldalas könyvek ismertetik. Ezen az oldalon olyan gyorsan és bárki által elvégezhető beállítások és tanácsok szerepelnek, melyekkel a biztonság növelhető, és így a hálózatot pásztázó alkalmai betolakodók ellen jó védelmet nyújtanak. A sorszámok nem jelentenek rangsorolást, csak könnyítik az eligazodást, amint a felhasználó halad az egyes pontok végrehajtásában.

Alapelveket sorolunk fel, melyekre építhető minden későbbi konkrét beállítás, al-al-al menükben és registry-ben történő finomhangolás, és sok alapelv verziófüggetlenül alkalmazható később is akár más rendszerben is.

  1. Lehetőség szerint formázott üres merevlemezre jogtiszta szoftverekkel dolgozzunk, amikor a rendszert telepítjük, és az egyes beállítások a telepítés közben is elvégezhetők. Ezért is ajánlatos a biztonságra igényes felhasználók számára a 'Custom setup' választása, ahol a biztonsággal kapcsolatos paramétereket maguk állíthatják be. Bárhogy történjen is a telepítés, a következő beállítások elvégezhetők később is, ezért most ezt az utat járjuk be, így a régi és új telepítéseken is elvégezhetők a következő beállítások. Formázáskor az NTFS módot ajánlatos beállítani, mert ez jobban támogatja az egyes biztonsági beállításokat.

  2. Nevezzük át, tiltsuk le vagy szüntessük meg a Vendég (Guest) azonosítót: ha mindenképpen szükségünk van ilyen jellegű azonosítóra, akkor az átnevezés ajánlott. Időszakos nem használat esetén jobb letiltani az azonosítót, míg ha nincs rá szükségünk, akkor egyszerűen válasszuk a törlést: 'Remove' gombot a Start/ Beállítások/ Vezérlőpult/ Felhasználók és Jelszavak alatt (Start/ Settings/ Control Panel/ Users and Passwords).

  3. Nevezzük át a „Rendszergazda” (“Administrator”) azonosítót, és általában ne használjunk olyan azonosítót, ami könnyen kikövetkeztethető (pl. vezetéknév.keresztnév, root stb.). Az átnevezést az előző pontban említett úton tehetjük meg, de csak rendszergazdai jogosultságú azonosítóval. Minden rendszerfrissítést és programtelepítést a rendszergazda azonosító alól végezzünk el, és ha egyedül használjuk otthon a gépünket, akkor is hozzunk létre egy új felhasználót ('Add' vagy 'Hozzáadás' gomb) és ez alatt dolgozzunk. A létrehozott felhasználó legyen „Korlátozott jogú felhasználó” (“Restricted”). A rendszergazda jelszavát válasszuk jó bonyolultra, írjuk fel egy lezárt borítékba, és tegyük el jó helyre, amit már ne írjunk fel...

  4. Állítsunk le minden olyan szolgáltatást, amire nincs szükségünk: csak az fusson és csak úgy, amit és ahogyan rendeltetésszerűen használunk. Mindezt kézzel is beállíthatjuk a Vezérlőpult/ Felügyeleti eszközök/ Szolgáltatások (Control Panel/ Administrative Tools/ Services) ikonra kattintva. A kényelem és a biztonság sokszor egymással szemben állnak rövid távon, de hosszú távon megfizetődik, ha a biztonságra szavazunk. Erre kell emlékezni, amikor a két út közül választunk:

    • minél több szolgáltatás és program fusson a gépen, így biztos nem lesz gond, ha valamit akarunk
    • minél kevesebb szolgáltatás és program fusson, így biztos nem okoz gondot olyasmi, amire nincs is szükségünk, és ha valamire szükség lenne, a rendszer úgyis szól.

    A biztonságra szavazók a második utat választják, és hosszú távon nem fogják megbánni. A szakemberek már a telepítéskor megválogatják, hogy mire van szükségük és mire nem, mert tudják, hogy ha szükség van valamire, akkor azt lehet utólag is telepíteni. A feleslegesen feltelepített elemek csak zavarhatnak, de legrosszabb esetben is foglalják a helyet, és leszedéskor véletlenül olyasmit is törölhetünk, amire fennmaradó alkalmazásnak még szüksége lehet.

  5. Amennyiben mégis biztonsági esemény történne a rendszerben, legalább biztosítsuk magunk vagy más szakember számára azt, hogy a rendszert felügyelje és rátekinthessen időnként az eseményekre. Ehhez be kell kapcsolni az események naplózását (logging). A naplófájlok, azaz a logok alapján lehet vizsgálni (auditálni) a rendszert ért biztonsági eseményeket, azok hatását, a megvalósítandó védekezést. Az auditálás bekapcsolása szintén a már említett Felügyeleti eszközök (Administrative tools) alatt érhető el. Az Eseménynapló (Event viewer) a naplózásra került eseményeket mutatja.

    Event viewer
    Első körben a pirossal jelzett 'Error' események érdemelnek nagyobb figyelmet. A részletek megtekintéséhez a kiválasztott eseményen állva egy jobb klikkre megjelenik a Beállítások (Properties) menüpont, és ezt kiválasztva olvashatjuk az esemény okát. A naplófájlokat védeni kell az illetéktelen hozzáférésektől, így még olvasási jogot se adjunk minden felhasználónak (a mappán jobb klikk, Tulajdonságok, azaz Properties alatt a Biztonság/Security rész).

  6. Legyen biztonsági mentésünk a legfontosabb adatainkról. Sokszor egy kis floppy lemez is sokat jelenthet, ha kimentjük rá adatainkat, vagy egyre olcsóbban hozzáférhetők USB eszközök is, melyek több pénzért ugyan, de több adatot tudnak tárolni nagyobb fizikai biztonsággal, mint egy hajlékony lemez. Manapság már nem nagy kiadás egy úgyn. 'rack' beépítése sem a számítógépbe, és egy tartalék merevlemez beszerzése is sokkal olcsóbb (átlagban tízes szorzó), mint egy sérült lemezről az adatmentés ára. A házi mentéshez elérhetők az operációs rendszerbe épített lehetőségek éppúgy, mint a szoftveres alkalmazások A CD-íróval felszerelt számítógépek esetében a fontos adatok időszakos CD-re írása is sok bosszúságtól kíméli meg az embert adatvesztés esetén. A CD-k archiválás esetére is hasznosak lehetnek, hiszen egy adott időpontban fennállt állapotot rögzítenek. A mentés vagy archiválás sikerét egy-egyvisszatöltéssel ellenőrizni kell, nehogy akkor derüljön ki, hogy nem ért semmit a mentés és archiválás, amikor éppen a legnagyobb szükségünk lenne rá.

  7. Rendszeresen futtassunk biztonsági eseményeket megelőző (PREventive), észlelő (DEtective) és javító (COrrective) alkalmazásokat. A megelőzés jobb az észlelésnél, az észlelés a javításnál, a javítás a semminél. Egyes esetekben több feladatot is elláthat egy módszer (pl. víruskereső lehet megelőző az ismert vírusra, észlelheti a fertőzöttséget a rendszerben, és irtással javító intézkedést tud végezni) vagy egy-egy alkalmazásban több szolgáltatás is egybe lett gyúrva. A főbb PREDECO alkalmazás-csoportok a következők:

    • víruskereső: több is kipróbálható-tesztelhető, mint 'shareware', és csak később kell érte fizetni, ha a felhasználó meg akarja vásárolni (sok hazai képviselet közül lehet választani, így magyar nyelvű segítség is kérhető), hogy naprakészen tartsa a védelmét; a víruskereső lehetőleg legyen memóriarezidens internetes kapcsolat idején és más külső kapcsolat és adatáramlás idején (pl. lemezről beolvasott fájl). A CERT.HU technikai oldalain is található rövid útmutató néhány vírusölőről.
    • személyes tűzfal: ezekről külön részletesebb leírás is található a CERT.HU lapjain.
    • kiegészítő eszközök vagy alkalmazások: arra az esetre, ha az otthoni felhasználó a profik felé mozdul el a védekezésben alkalmazhatók még fizikai eszközök (pl. intelligens kártya, USB token, szünetmentes tápegység, feszültségingadozás-kiegyenlítő) és szoftver segédprogramok (elemző alkalmazások, nyomkövető programok stb.), de szoftverek esetén sokszor könnyű átlépni azt a határt, ami a védelmi és a támadó alkalmazások között húzódik, ezért a jogszabályi helyzet miatt tanácsos szakember véleményét kérni, hogy az adott alkalmazás mennyire tekinthető védelmi eszköznek és mennyire lehet avatatlan kézben akár nem szándékosan másoknak kárt okozni, és így törvénybe ütközni.
  8. Alkalmazzunk megfelelő jelszó-politikát akkor is, ha egyedül használjuk a rendszerünket. A megfelelő jelszavakról is találhatunk részletes leírást a CERT.HU lapjain. A jelszavakat megfelelően kell kezelni is, így az időszakos változtatást akár automatikusan is ki lehet kényszeríteni. A Vezérlőpult/ Felügyeleti eszközök/ Helyi biztonsági házirend/ Fiókházirend/ Jelszóházirend (Control Panel/ Administrative Tools/ Local Security Policy/ Account Policies/ Password Policy) ablakban lehet az egyes beállításokat elvégezni:

    Image

  9. Fontossági sorrendben előbbrevaló, de a védelmi szinteken haladva itt van helye a frissítésekről beszélni. Ez érinti a operációs rendszer, a rajta futó alkalmazások és a védelmi alkalmazások mindegyikét. A példák és örök igazságok résznél is említettük, hogy a ritkán frissített víruskereső alig ér többet a nem is létező víruskeresőnél. Hasonlóan ritkán ér többet a megerősített régi rendszer az időnként frissített újabb rendszernél. Nem frissítek, mert a régi rendszer hibáit legalább ismerem, az újban ismeretlen hibák vannak - mondja a pesszimista felhasználó, de az esetek többségében a hiba súlyától függően kell megfelelő időben frissíteni a rendszert. A Start menüpontba lépve látjuk is a “Windows Update” sort, amit kiválasztva a frissítés folyamata elindul. Lépésről lépésre haladva elérjük a frissítések listáját, és kiválaszthatjuk, hogy szükségünk van-e az adott frissítésre vagy sem. Ha nem futtatunk IIS szervert a gépen (miért is lennénk ilyen felelőtlen otthoni felhasználók, ha már olvastuk a 4. pontot?), akkor nem fogjuk frissíteni sem. A kiválasztottak alapján a frissítés végbemegy.

  10. A frissítésekhez tartozik, de ki kell emelnünk azokat az eseteket, amikor egy nagyobb csomag érhető el, mely mindent tartalmaz, amire szükség lehet a biztonsági problémák javításához. Ez a “Service Pack” (SP) néven ismert csomag, ami már elég nagy ahhoz, hogy a modemes felhasználóknak szinte elérhetetlen legyen. Ezt érdemes gyors elérésű helyeken letölteni vagy a termék hazai képviseletétől is igényelhető CD a 100 MB-nál is nagyobb csomaggal. Ez egy exe fájl, amit lefuttatva a rendszeren ellenőrizhetjük, hogy rendszerünk milyen SP verziójú. Az információ a Start/ Beállítások/ Vezérlőpult/ Rendszer (Start/ Settings/ Control Panel/ System) alatt az Általános (General) fülecskén olvasható. A frissítések menetéről elérhető magyar nyelvű leírás is a cég honlapján, amit sajnos csak a saját böngészőjükkel (Internet Explorer) engednek megtekinteni...

  11. A toplista végén hivatkozunk arra az elvre, amely az informatikai rendszer egészét egy körfolyamatra fekteti. E szerint a tervezés-bevezetés-fenntartás-felügyelet részek alapján a felügyelet foglalja magába az ellenőrzés (audit) elemet is, és az audit során megszerzett tapasztalatokat a tervezés fázisába kell visszagörgetni. Ennek alapján a saját gépünkkel is úgy kell bánni, hogy bármilyen biztonsági folyamatot is végeztünk el, nem szabad hátradőlni, hanem újabb és újabb köröket kell nyitni. Ez a szemlélet biztosítja a felbukkanó biztonsági hiányosságok mielőbbi észlelését és a potenciális hiányosságok felfedezésének lehetőségét még azelőtt, hogy azt kihasználó alkalmazás jelenne meg a színen. Sok ilyen öntesztelő szolgáltatás található az Interneten, de ezek megalapozottsága eléggé eltér egymástól. Széleskörű átvilágítást a Microsoft Baseline Security Analyzer biztosít.

Összefoglalva a lépéseket a következő listán kell végigmennünk, ha a feltételeit meg akarjuk teremteni, hogy biztonságos rendszeren dolgozzunk:

  1. Formázott lemezre (NTFS) jogtiszta operációs rendszer és szoftver telepítése.
  2. Felesleges azonosítók megszüntetése, átnevezése, időszakos felfüggesztése.
  3. Rendszergazda azonosító és jogosultsági kör elkülönítése.
  4. Csak olyan szolgáltatás fusson, amire szükség van.
  5. Naplózás beállítása, naplófájlok védelme, elemzése, kezelése.
  6. Mentés, archiválás, visszatöltés. Megfelelő mód és időszakosság kiválasztása, valamint ellenőrzés.
  7. Rendszeres és rezidens vírusellenőrzés, személyes tűzfal és egyéb kiegészítők alkalmazása.
  8. Megfelelő jelszavak választása és kezelése; megfelelő beállításokkal.
  9. Frissíteni kell az egyes összetevőket a rendszerben, amikor elérhetővé válik ilyesmi (update).
  10. Javítócsomag (Service Pack) felrakása (tartalmazhatja a 9. pontot is egy-egy csomag).
  11. Biztonsági átvilágítás, tapasztalatok visszagörgetése.

rendszer finomhangolását ajánljuk azoknak, akik az alapbeállítások és általános teendők után sem érzik magukat eléggé biztonságban, vagy kedvük támadt rendszerük biztonságának fokozására. Akik úgy érzik, hogy a kevesebb is több, és eddig is eleget tettek a rendszer biztonságának növeléséért, azok futtassák le az automatikus hibakeresőt. A használathoz nyújt egy kis segítséget egy rövid ismertető leírás.