MTA SZTAKI
Hálózatbiztonsági osztály
Útmutató a Windows XP megerősítéséhez
Tartalomjegyzék
1. Bevezetés
2. A Windows XP környezetei
2.1 Otthoni környezet illetve kisvállalkozások számítógépei (OKV)
2.2 A vállalati környezet
2.3 Fokozott biztonságú környezet
2.4 Elavult környezet
3. Windows XP mintabeállításainak áttekintése
3.1 Azonosítók és jelszavak beállításai
3.2 Helyi házirend
3.3 Eseménynaplózás
3.4 Kötött csoportok
3.5 Rendszerszolgáltatások
3.6 Fájl jogosultságok
3.7 Rendszerleíró-adatbázis engedélyezése
3.7.1 Nyomkövetéshez kapcsolódó rendszerleíró kulcsok
3.7.2 Automatikus funkciók
3.7.3 Hálózati munka
3.8 Javaslatok összefoglalása
4. Biztonsági mintabeállítások
4.1 Fiókházirend
4.2 Helyi házirend
4.3 Eseménynapló házirend
4.4 Kötött csoportok
4.5 Rendszerszolgáltatások
4.6 Fájl engedélyek beállítása
4.7 A rendszerleíró-adatbázis beállításai
4.8 A rendszerleíró-adatbázis értékei
5. A Windows XP biztonsági beállításainál alkalmazott eszközök
6. A Windows XP rendszerben használt portok
1. Bevezetés
A dokumentum célja, hogy a rendszergazdáknak a Windows XP munkaállomás beállításához segítséget nyújtson.
Az alábbi tanulmány a National Institute of Standards and Technology (NIST) 800-68 számú speciális kiadványa alapján készült. Az eredeti dokumentum címe: Guidance for Securing Microsoft Windows XP Systems for IT Professionals: A NIST Security Configuration Checklist. Azonban ez az anyag több vonatkozásban is eltér az eredeti tanulmánytól: részben lényeges fejezetek nem kerültek ide, mint például a telepítéssel, frissítéssel foglalkozó rész, valamint az alkalmazásokat elemző fejezet. A hangsúly itt a Windows XP lehetséges beállításaira került. Ugyanakkor bővebb is ez az anyag, mert bizonyos beállításokhoz magyarázatokat fűztek, s kiegészítették a magyar Windows XP-ben alkalmazott elnevezésekkel.
Az anyag csupán az első változat, az MTA SZTAKI-ban működő Hálózatbiztonsági csoport további kiegészítések elkészítését tervezi.
A dokumentumban lévő információkat különböző környezetben elhelyezkedő Windows XP munkaállomások, mobil számítógépek és telekommunikációs rendszerek megvédésére használhatók. A lehetséges környezeteket a következő rész ismerteti.
A melléklet az egyes környezetekhez tartozó biztonsági mintabeállításokat tartalmazza. A sablonok a National Security Agency (NSA), a Defense Information Systems Agency (DISA) és a Microsoft által kifejlesztett mintabeállításokon alapulnak. A sablonok a Center for Internet Security (CIS), DISA, NSA, Microsoft és a NIST biztonsági szakembereivel történő egyeztetés alapján készültek.
A Windows XP számos lehetőséget nyújt a sablonok telepítéséhez. A Security Configuration and Analysis Microsoft Management Console (MMC) „snap-in” funkciója kiválóan megfelel arra, hogy egy lokális gépen telepítse a sablont. Windows XP tartomány (domain) környezetben a Csoport házirend szerkesztő (Group Policy Editor) az erre alkalmas eszköz. A Microsoft a GPMC-t ajánlja a többszörös tartományban a csoportok beállításainak kezelésére. A biztonsági beállításoknál alkalmazott eszközök listája a 7. fejezetben található.
Az itt leírtakat sokan és alaposan tesztelték, de minden rendszer és környezet egyedinek számít, ezért a rendszeradminisztrátornak saját magának is tesztelnie kell azokat. A NIST Windows XP biztonsági sablonok kifejlesztését az motiválta, hogy egy sokkal biztonságosabb Windows XP munkaállomás konfiguráció szülessen. Azonban egyes beállítások a rendszer működőképességét vagy használhatóságát csökkenthetik, ezért óvatosan alkalmazza azokat. Tesztelési módszernek javasolható, hogy a rendszeradminisztrátor egy frissen telepített rendszerből induljon ki, fokozatosan építse fel a kívánt rendszert.
2. A Windows XP környezetei
Ez a rész bemutatja azokat a környezeti típusokat, amelyekbe a Windows XP gazdagép kerülhet: otthoni illetve kisvállalkozási környezet (OKV), vállalati környezet vagy fokozott biztonságot igénylő hely. Egy negyedik környezeti típus, az elavult környezet is ide sorolható, amikor is a Windows XP speciális igények kielégítését vállalja fel, vagyis azt, hogy a korábbi szerverekhez és alkalmazásokhoz történő, időben visszafelé mutató kompatibilitásnak tegyen eleget.
2.1 Otthoni környezet illetve kisvállalkozások számítógépei (OKV)
Az OKV kis, hétköznapi, egyedülálló számítógépet jelent, amit üzleti célra használnak. Az OKV ugyanakkor sokféle környezetet jelenthet, kezdve a csak alkalomszerűen munkára használt otthoni géptől egy cég kisebb részlegénél munka céljaira alkalmazott gépekig, amelyet technikai vagy üzleti okokból nem távolról kezelnek. Az alábbi ábra egy tipikus OKV környezetet mutat:

Általában az OKV környezet szokott a legkevésbé biztonságos lenni. Ugyanis az OKV rendszer adminisztrációjával foglalkozók keveset tudnak, keveset foglalkoznak a biztonsággal, sokkal inkább a működőképességet tartják szem előtt. Ilyen környezetben nem mindig alkalmaznak biztonsági szoftvereket, például vírusölőt, személyes tűzfalat. De a hálózatvédelemmel sem mindig törődnek, tehát az OKV-s gépek közvetlenül ki van téve külső támadásoknak. És ezért sokszor támadási célpontokká is válnak, nem a rajtuk lévő információ megszerzése miatt, hanem inkább további támadások kiindulópontjául választják ezeket, vagy férgek által okozott károk mellékszereplőivé válnak.
Az OKV környezetben az elsődleges fenyegetések kívülről várhatók, ezért kevésbé szigorú felhasználói házirendet kell megfogalmazni, mint egy vállalati vagy fokozott biztonságú környezetben. A támadások főleg a hálózati szolgáltatások ellen irányulnak, vagy rosszindulatú programoknak (vírusok, férgek) a számítógépekre való felvitele történik. A támadások többnyire a rendszer elérhetőségét bénítják (rendszer-összeomlás, hálózati sávszélesség csökkenése, működőképesség korlátozása), de érintheti a sértetlenséget is (adatfájlok megfertőzése) és a bizalmasságot is (érzékeny adatok, elektronikus levelek távolról történő elérése).
Az OKV biztonsága a kicsi, olcsó, hardver-alapú tűzfal útvonalválasztók (routerek) elterjedésével javulni fog, mivel azok bizonyos mértékig a mögöttük lévő gépeket is védik. Személyes tűzfalak (BlackICE, ZoneAlarm, Internet Connection Firewall) szintén javítanak a helyzeten. Azonban az OKV megerősítésében kulcsfontosságú szerepet játszik a sebezhetőségek megszűntetése a megfelelő javítások telepítésével, a felesleges funkciók kiiktatásával, a beállítások megváltoztatásával.
2.2 A vállalati környezet
A vállalati környezet tipikusan egy menedzselt környezet, ami a hardver és szoftver konfiguráció szempontjából is strukturált. Általában egy kijelölt csoport felelős a biztonságért. A gyakorlott munkatársak és a megtervezett környezet biztosíték arra, hogy mind a telepítésnél, mind pedig a működtetésnél a biztonság prioritást kap. A vállalati környezetre a tartományi modell a jellemző, mert abban hatékonyan végezhetők el a beállítások és az erőforrások megosztása (nyomtató, fájl szerver). A vállalatoknál csak a normál működéshez szükséges szolgáltatásokat engedélyezik, az egyéb, kockázatot jelentő alkalmazásokat törlik. A jogosultságot, a jelszavakat, a házirendek meghatározását központilag végzik, így az egész szervezeten belül azonos elvek érvényesülnek.
A vállalati környezet sokkal inkább korlátozó, mint az OKV környezet. Többszintű védelmi rendszert szoktak kialakítani (tűzfalak, vírusölők, behatolásérzékelő rendszerek). Vállalati környezetben általában nem merül fel az elavult eszközökkel, rendszerekkel való együttműködés kérdése.
2.3 Fokozott biztonságú környezet
A fokozott biztonságú környezetnek ugyanazokkal a fenyegetésekkel kell szembe nézniük, mint a vállalatoknál. A kockázatok és az eredményes támadások következményei miatt azonban kevesebb funkciót szabad megengedni, és a beállításoknál szigorúbban kell eljárni. Itt még inkább szükség van tapasztalt biztonsági szakemberekre, aki a korlátozások mögötti tartalmat is érti.
2.4 Elavult környezet
3. Windows XP mintabeállításainak áttekintése
Minden csoportnál az is megtalálható, hogy milyen eszközökkel végezzék el a beállítást. A javasolt értékek a 4.fejezet táblázataiban vannak. Az eszközök pedig az 5. fejezetben találhatók.
A Windows XP magyar és angol változatában használt kifejezéseket dőlt betűvel jelöljük. A / a lehetséges választást jelöli.
3.1 Azonosítók és jelszavak beállításai (Fiókházirend – Account Policies)
3.1.1 Jelszavak (Jelszóházirend – Password Policy)
- Jelszó maximális élettartama - Maximum password age: ez a felhasználót a rendszeres jelszócserére készteti. Minél kisebb ez az érték, annál valószínűbb, hogy gyenge jelszót választanak a felhasználók, mert azt könnyebb megjegyezni. Minél nagyobb az érték, annál inkább veszélyeztetett a jelszó, vagyis nagyobb az esélye, hogy jogosulatlanok megismerjék.
- Jelszó minimális élettartama – Minimum Password Age: ez a beállítás arra vonatkozik, hogy a felhasználónak hány napot várnia kell, mielőtt újra megváltoztathatja a jelszavát. Sokan a jelszó maximális élettartamának lejárta után megváltoztatják a jelszavukat, majd azonnal vissza is változtatják a régire. Ezt küszöböli ki a „jelszó minimális élettartamának” beállítása. Hátránya, hogy azokat a felhasználókat is korlátozza, akiknek új jelszava napvilágra került. Ilyenkor adminisztrátori beavatkozás szükséges.
- Legrövidebb jelszó – Minimális Password Length: a jelszó minimális hossza karakterekben megadva. Ennek hátterében az a meggondolás áll, hogy hosszabb jelszót nehezebb kitalálni/feltörni. Hátránya viszont, hogy a hosszabb jelszót nehezebb megjegyezni.
- A jelszónak meg kell felelnie a bonyolultsági feltételeknek – Password Must Meet ComplexityRequirements: a minimális jelszóhosszhoz hasonlóan ez is a jelszó kitalálását nehezíti. A bonyolultság ellenőrzése azt jelenti, hogy a jelszó nem tartalmazza a felhasználó azonosítóját, és különféle karakterek (kis- és nagybetű, szám, speciális karakter) keverékéből áll össze.
- Előző jelszavak megőrzése – Enforce Password History: a korábban használt jelszavak megőrizhetők a rendszerben, a megadott számú jelszó kerül tárolásra. Előnye, hogy a felhasználó korábbi jelszavait nem alkalmazhatja. Hátránya, hogy a régi jelszavak – a tárolás miatt – esetleg nyilvánosságra kerülnek.
- A tartomány összes felhasználója jelszavának tárolása visszafejthető titkosítással - Store Password Using Reversible Encryption for All Users in the Domain: ha ezt a lehetőséget beállítják, akkor a jelszó visszakódolható formában kerül tárolásra, ami veszélyes lehet. Csak akkor állítsák be ezt a módot, ha egy régebbi autentikálási protokoll támogatása (CHAP – Challenge Handshake Authentication Protocol) szükséges.
3.1.2 Azonosítók (Fiókzárolási házirend – Account Lockout Policy Settings)
- Fiókzárolás küszöbe – Account Lockout Threshold: a hibás kísérletek maximális számát mutatja ez az érték, ezután az azonosítót ideiglenes letiltják.
- Fiókzárolás időtartama – Account Lockout Duration: az azonosító ideiglenes letiltásának idejét adja meg. Gyakran rövid, de azért lényeges időtartamra állítják be (pl. 15 perc), két okból. A jogos felhasználónak, aki véletlenül zárta ki magát a használatból, csak 15 percet kelljen várnia az újbóli belépésre, ahelyett, hogy az adminisztrátort kellene megkérnie az azonosító újbóli megnyitására. Másodszor, azok, akik a jelszót kívánják felderíteni, általában tömegesen próbálják ki a jelszavakat, és így ők egyszerre csak viszonylag kevés jelszóvak kísérletezhetnek, a folytatáshoz pedig 15 percet várniuk kell. Ez a beállítás csökkenti az ún. „brute force attack”, azaz a nyers erő használatát.
- Fiókzárolási számláló nullázása - Reset Account Lockout Counter After: ezt a beállítást a „Fiókzárolás küszöbe”-vel együtt alkalmazzák. Ha például a „kísérletek száma” 10, és ez a paraméter 15 perc, akkor 15 percen belüli 10 hibás jelszó megadása után az azonosítót letiltják.
A beállítás módja:
Start -> Vezérlőpult -> Felügyeleti eszközök -> Helyi biztonsági beállítások -> Fiókházirend -> Jelszóházirend illetve Fiókzárolási házirend
Start –> Control Panel -> Administrative Tools -> Local Security Policies -> Account Policies -> Password Policy illetve Account Lockout Policy
3.2 Helyi házirend
A helyi házirend (local policy) három témával foglalkozik: a naplózással, a felhasználói jogok kezelésével valamint a biztonsági beállításokkal.
3.2.1 A naplózás (Naplórend – Audit Policy)
A Windows XP hatékony eszközt biztosít a rendszer megfigyelésére, ellenőrzésére. A megfigyelés módszere a naplózás (log), a rendszeradminisztrátorok ezeket átnézve kiszűrhetik a jogosulatlan tevékenységeket. A naplók az incidensek felderítésénél is hasznos eszköznek bizonyulhatnak. A naplók rögzíthetik a bejelentkezéseket/kilépéseket, az azonosítók kezelését, a címtár-hozzáférést, a házirendek változtatását, a rendszerjogok módosítását, a folyamatok nyomon követését, stb. amint az az alábbi táblázatban látható. Minden naplózási fajtánál beállítható, hogy a sikeres, a sikertelen vagy mindkét típusú események bejegyzésre kerüljenek, vagy semmi se kerüljön bejegyzésre. A bejegyzéseket az Eseménynapló (Event viewer) segítségével nézhetjük meg.
Ellenőrzés beállítása | Leírás (Bejegyzés készülhet, ha... |
Bejelentkezés naplózása - Audit account logon events |
a felhasználó erről a munkaállomásról egy távoli gépre be- vagy kilép. |
Fiókkezelés naplózása - Audit account management |
felhasználói vagy csoport-azonosítót hoznak létre, módosítanak vagy törölnek; felhasználói azonosítót átneveznek, letiltanak vagy visszaállítanak; jelszót állítanak be vagy módosítanak. |
Címtárszolgáltatás-hozzáférés naplózása - Audit directory service access |
a címtár egy olyan objektumához férnek hozzá, amelynek saját rendszer-hozzáférési listája (SACL) van. |
Fiókkezelés naplózása - Audit logon events |
a felhasználó be- illetve kijelentkezik, vagy a lokális géppel hálózati kapcsolatot épít. |
Objektum-hozzáférés naplózása Audit object access |
a felhasználó saját rendszer-hozzáférési listával (SACL) rendelkező objektumhoz (fájl, könyvtár, rendszerleíróadatbázis-kulcs vagy nyomtató) fér hozzá. A sikertelen hozzáférések is bizonyos helyzetben normálisak lehetnek. Óvatosan használja! |
Házirendváltozás naplózása - Audit policy change |
a felhasználói jogokat, naplózást vagy egyéb házirendet érintő változtatás történik. |
Rendszerjogok használatának naplózása - Audit privilege use |
a felhasználó a jogait gyakorolja. Nagyon sok bejegyzés kerülhet a naplóba! |
Folyamatok nyomon követésének naplózása - Audit process tracking |
egy program elindul, egy folyamat leáll, duplum kezeléskor vagy közvetett módon férnek hozzá egy objektumhoz. |
Rendszeresemények naplózása Audit system events |
a felhasználó a számítógépét indítja/leállítja vagy a rendszer biztonságát és a biztonsági bejegyzéseket érintő esemény történik. |
3.2.2 Felhasználói jogok kiosztása – User right Assignment
A felhasználói jogok kiosztása meghatározza, hogy melyik csoportnak (adminisztrátor, felhasználó stb.) milyen jogosultsága legyen. A cél itt az, hogy minden csoport csak annyi jogot kapjon, amennyi feltétlenül szükséges, a felhasználók pedig abba a csoportba kerüljenek, ahol csak a nekik éppen szükséges jogok vannak. Ez „legkevesebb jog” elve. A jogok sokfélék lehetnek: a helyi vagy távoli rendszerekhez történő hozzáférés, mentések végrehajtása, a dátum/időpont megváltoztatása, naplók kezelése, a rendszer leállítása.
A 4.2.2 táblázatban szereplő bejegyzések többsége az elnevezés alapján beazonosítható. Némelyik szerepe talán első olvasatra nem egészen világos. Ezekhez egy rövid magyarázatot talál itt (a név után a 4.2.2 táblázatban lévő sorszám található. A kiválasztás szempontja önkéntes):
Az operációs rendszer részeként való működés (2)
Szülőkönyvtár-jogosultság mellőzése (7)
Lapozófájl létrehozása (9)
Token objektum létrehozása (10)
Számítógép- és felhasználói fiókok megbízhatóságának engedélyezése (19)
Biztonsági naplózás létrehozása (21)Meghatározza azokat a fiókokat, amelyeket használó processzek képesek a biztonsági naplóba bejegyzéseket tenni.
Számítógép eltávolítása tokjából (34)Meghatározza, hogy egy felhasználó a laptopját bejelentkezés nélkül kiszedheti-e a dokkoló állomásról.
Folyamat token lecserélése (35)
Könyvtárszolgáltatás-adatok szinkronizálása (38)
Meghatározza, hogy melyik felhasználónak illetve melyik csoportnak van joga a directory service adatainak szinkronizálására. Ez „Active Directory” szinkronizálás néven is ismert.
3.2.3 Biztonsági beállítások – Security Options
A helyi házirend kialakításánál a már korábban említettek mellett további beállítások is lehetségesek, ezekkel az ún. biztonsági beállításokkal jobb biztonsági körülményeket tudunk kialakítani, mint az alapértelmezéssel. A NIST minta több tucat ilyen beállítást ismertet, például: az üres jelszó használatának letiltása, a rendszergazda és a vendég azonosító átnevezése, a floppihoz és a CD-ROM eszközhöz távolról való hozzáférés korlátozása, egy tartományon belül a biztonságos csatorna kódolása, a bejelentkezési képernyő biztonságosabbá tétele (az előző azonosító elrejtése, figyelmeztető felirat megjelenítése, a jelszó lejárati ideje előtt a felhasználó figyelmeztetése), bizonyos típusú hálózati hozzáférés korlátozása, a hitelesítés típusának meghatározása (pl. NTLMv2).
A 4.2.3 táblázatban szereplő bejegyzések többsége az elnevezés alapján beazonosítható. Némelyik szerepe talán első olvasatra nem egészen világos. Ezekhez egy rövid magyarázatot talál itt (a név után a 4.2.3 táblázatban lévő sorszám található. A kiválasztás szempontja önkéntes):
Eszközök: Dokkolás megszüntethető bejelentkezés nélkül is (9)
Interaktív bejelentkezés: A munkaállomás zárolásának feloldásához tartományvezérlői hitelesítésre van szükség (28)
Interaktív bejelentkezés: Viselkedés intelligens kártya eltávolításakor (31)
Hálózati hozzáférés: A névtelen helyazonosító-/névfordítás engedélyezése (39)
Hálózati hozzáférés: SAM fiókok névtelen felsorolása nem engedélyezett (40)
Hálózati hozzáférés: A névtelen felhasználókra a Mindenki csoportra vonatkozó engedélyek vonatkoznak (43)
Hálózati hozzáférés: Névtelenül elérhető Named Pipe-ok (44)
Hálózati hozzáférés: Távolról elérhető rendszerleíró elérési utak (45)
Hálózati hozzáférés: Névtelenül elérhető megosztások (46)
Hálózati hozzáférés: Megosztási és biztonsági modell helyi felhasználói fiókok számára (47)
A beállítás módja:
Start -> Vezérlőpult -> Felügyeleti eszközök -> Helyi biztonsági beállítások -> Helyi házirend -> Naplórend / Felhasználói jogok kiosztása / Biztonsági beállítások
Start –> Control Panel -> Administrative Tools -> Local Security Policy -> Local Policies -> Audit Policy / User right assignments / Security Options
3.3 Eseménynaplózás
A beállítás módja:
Start -> Vezérlőpult -> Felügyeleti eszközök -> Eseménynapló -> Alkalmazás/Biztonság/Rendszer (jobb kattintás) -> Tulajdonságok
Start –> Control Panel -> Administrative Tools ->Event viewer -> Application/Security/System (rigth click) -> Properties
3.4 Kötött csoportok - Restricted users
Minden rendszerben és minden környezetben a távoli felhasználók (remote users) csoportjából minden felhasználót távolítsunk el, kivéve azokat, akiknek valóban oda kell tartozniuk! Így csökkenthető annak a valószínűsége, hogy valaki távoli felhasználóként jogosulatlanul a rendszerhez férjen. Akiemelt felhasználók (power users) csoportjában lévőket is szűrjük meg, mivel jogosultságuk majdnem megegyezik az rendszergazdák (administrators)csoport jogosultságaival. Ha egy felhasználónak további – de nem teljes adminisztrátori – jogosultságra van szüksége, akkor ahelyett, hogy a kiemelt felhasználók csoportjába betennék, egyedi jogosultságokat kell számára biztosítani. Alapértelmezésben a NIST mintabeállításai a kiemelt és a távoli felhasználók csoportjából mindenkit eltávolít.
A beállítás módja:Start -> Vezérlőpult -> Felügyeleti eszközök -> Számítógép kezelése -> Rendszereszközök -> Helyi fiókok és csoportok -> Csoportok -> Kiemelt felhasználók / Távoli felhasználók
Start –> Control Panel -> Administrative Tools -> Computer Management -> System Tools -> Local Users and Groups -> Groups -> Power Users / Remote Desktop Users
3.5 Rendszerszolgáltatások
• Kézi – Manual: Csak akkor indul a szolgáltatás, ha szükséges. A gyakorlatban ez nem azt jelenti, hogy ha igénybe kívánják venni a szolgáltatást, akkor az automatikusan elindul, hanem kézzel el kell indítani.
Megjegyzés: ha egy szolgáltatás egy másik szolgáltatástól függ, akkor az első – helytelenül – azt feltételezi, hogy a másik szolgáltatás már fut.
• Letiltva – Disabled: A szolgáltatást nem lehet elindítani.
- Riasztás
- Vágókönyv
- FTP publikációs szolgáltatás
- IIS rendszerszolgáltatás
- Üzenetkezelő
- Netmeeting távoli asztalmegosztás
- Útválasztás és távelérés
- SMTP
- SNMP szolgáltatás
- SNMP csapda
- Telnet
- WWW publikációs szolgáltatás
A szolgáltatások letiltása:
Start –> Control Panel -> Administrative Tools -> Services -> (Double click the service name) -> Startup Type: Automatic / Manual /Disable
A távolról történő hozzáférés lehetőségét másképpen tiltják le. Bár ez egy nagyon hathatós tulajdonsága a rendszernek, sajnos ekkor a számítógép nagyon ki van téve a hálózati támadásoknak.
Saját gép (jobb klikk) -> Tulajdonságok -> Távoli használat -> (pipa mellőzése)A számítógépről lehet távsegítséget kérni / Távolról is kapcsolódhatnak a felhasználók ehhez a számítógéphez
My Computer (jobb klikk) -> Properties -> Remote (tab) -> (uncheck) Allow Remote Assistance invitation to be sent from this computer / Allow users to connect remotely to this computer
3.6 Fájl jogosultságok
Egy adott erőforráshoz (fájl, könyvtár) tartozó ACL lista módosítása három féleképp történhet:
-
Az Intézőben (Windows Explorer) – vagy az asztalon,... - az erőforráshoz tartozó Tulajdonságok (Properties) elnevezésű ablak megnyitása után aBiztonság (Security) fülre rákattintva látható, hogy az erőforráshoz melyik felhasználónak és melyik csoportnak milyen jogosultsága van. A Speciális (Advanced) Megjegyzés: Ha a Windows XP operációs rendszer nem tartozik tartományhoz, valamint NTFS fájlrendszere van, akkor a Biztonság (Security) fül alapértelmezésben nem látható. Bekapcsolása: Intéző -> Eszközök -> Mappa beállításai -> Nézet -> Egyszerű fájlmegosztás használata (ne legyen pipa); Windows Explorer -> Tools -> Folder Options -> View -> Use simple file sharing (ne legyen pipa)–t megnyitva még finomabb beállítás végezhető, például az erőforrás tulajdonosának beállítása vagy a naplózás.
-
a %SystemRoot%\system32 –ben található cacls.exe -vel. Ez a parancs módban használható program a fájlok ACL-jeit állítja, de nem módosítja a Windows XP „Security descriptor”-ait. (Megjegyzés: az MFT (Master File Table)-ban minden fájlhoz tartozik egy rekord, s a rekord mindenféle attribútumot tartalmaz, többek között az ún. „security descriptor”-t is, ami a fájlhoz tartozó ACL-eket tárolja.)
-
az MMC segítségével egy biztonsági mintasablon (security template) betöltésével.
A Windows XP a hozzáférési szabályok öröklési modelljét alkalmazza, vagyis egy objektum ACL-je tartalmazza a szülő-objektumtól örökölt ACE-t. Például az NTFS fájlrendszerben lévő fájl az őt tartalmazó könyvtár ACE-jét örökli. Ugyanakkor a fájlrendszer egy objektumára vonatkozó közvetlen ACE beállítás magasabb prioritású az örökölt ACE-nél.
3.7 Rendszerleíró-adatbázis engedélyezése
Start -> Run -> Regedit -> HKLM\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg (right click) -> Permissions
A következőkben néhány rendszerleíró-kulcs neve, elérési útja, feladata kerül felsorolásra, valamint a javasolt beállítás. Az alkalmazott rövidítések:
HKLM = HKEY_LOCAL_MACHINE
HKCU = HKEY_CURRENT_USER
HKU = HKEY_USERS
3.7.1 Nyomkövetéshez kapcsolódó rendszerleíró kulcsok
HKLM\Software\Microsoft\DrWatson\CreateCrashDumpÉrtékét 0-ra állítva a Dr. Watson nyomkövető program nem készít a memória tartalmáról másolatot (dump). A memória ugyanis érzékeny információkat is tartalmazhat, mint például jelszavak.
HKLM\Software\Microsoft\Windows NT\CurrentVersion\AEDebug\Auto
3.7.2 Automatikus funkciók
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun
HKU\.DEFAULT\ Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun
HKLM\System\CurrentControlSet\Services\Cdrom\Autorun
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\AutoAdminLogon
Megjegyzés: A jelszó a „DefaultPassword” bejegyzésben található. Ha akár a „DeafultPassword”, akár az „AutoAdminLogon” bejegyzés nincs meg az adatbázisban, akkor azok létrehozhatóak.
HKLM\System\CurrentControlSet\Control\CrashControl\AutoReboot
Az „AutoReboot” engedélyezése esetén egy hiba vagy fennakadás esetén a rendszer automatikusan újraindul. Egyesek szerint ez biztonsági és működési szempontból nem kívánatos. Például, ha egy hiba történik és a rendszer automatikusan újraindul, nem lehet tudni, hogy működési hiba történt vagy a rendszert feltörték. Kikapcsolása az érték 0-ra állításával megy.
3.7.3 Hálózati munka
HKLM\System\CurrentControlSet\Services\LanManServer\Parameters\AutoShareWks
HKLM\System\CurrentControlSet\Services\MrxSmb\Parameters\RefuseReset
HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\DisableIPSourceRouting
(Megjegyzés: Source routing: A feladó által megadott útvonalon, állomások megadott listáján halad végig a csomag. Két vállfaja van, a szigorú (strict) és a laza (loose). Az első esetben csak a listán felsorolt állomásokon haladhat végig a csomag és ha két szomszédosnak felsorolt állomás nem szomszédos, akkor a csomag elvész és egy „Source routing failed" ICMP csomag küldődik a feladóhoz. A második esetben ha a listán két szomszédosnak feltüntetett állomás a valóságban nem szomszédos, akkor is továbbmegy a csomag a lista következő eleméhez, de a routerek által kijelölt útvonalon.)
HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\EnableDeadGWDetect
HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\EnableICMPRedirect
HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\EnablePMTUDiscovery
HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\KeepAliveTime
HKLM\System\CurrentControlSet\Services\Netbt\Parameters\NoNameReleaseOnDemand
HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\PerformRouterDiscovery
HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\SynAttackProtect
HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\TcpMaxHalfOpen
HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\TcpMaxHalfOpenRetried
HKLM\System\CurrentControlSet\Services\IPSEC\NoDefaultExempt
HKLM\System\CurrentControlSet\Services\Lanmanserver\Parameters\Hidden
HKLM\System\CurrentControlSet\Control\Session Manager\SafeDIISearchMode
3.8 Javaslatok összefoglalása
- Készítsen jelszó-házirendet, hogy a jelszó kitalálásával vagy feltörésével történő jogosulatlan hozzáférést megakadályozza! A házirendnek a biztonság, a működőképesség és a használhatóság között kell egyensúlyoznia.
- Készítsen napló-házirendet, hogy bizonyos típusú tevékenységet rögzíteni lehessen, így a rendszergazda megnézheti a naplót és észlelheti a jogosulatlan aktivitást!
- A „legkevesebb jog” elvének figyelembevételével adjon a felhasználóknak jogokat!
- A nagyobb biztonság eléréséért az alapértelmezések állítsa át, ahol szükséges; például a jelszó nélküli belépés ne engedélyezzen, a „Rendszergazda” és a „Vendég” azonosítót nevezze át, és határozza meg, milyen típusú azonosítást alkalmaz!
- Állítsa be az „Alkalmazás”, a „Biztonság” és a „Rendszer” naplózást!
- Törölje ki a távoli felhasználók és a kiemelt felhasználók csoportjából az összes olyan felhasználót, akinknek nem kell ott szerepelniük!
- Töröljön minden felesleges szolgáltatást!
- Töröljön minden Univerzális plug and play eszközt és Távoli segítséget!
- Korlátozza a hozzáférési lista (ACL) beállításait és a rendszerleíró-adatbázis bejegyzéseit!
4. Biztonsági mintabeállítások
4.1 Fiókházirend
4.1.1 Jelszóházirend
Házirend | Javasolt érték | |||||
Fokozott biztonság | Vállalat | OKV | Idejétmúlt | |||
1. |
Jelszó maximális élettartama Maximum password age |
90 nap | ||||
2. |
Jelszó minimális élettartama Minimum password age |
1 nap | ||||
3. |
Legrövidebb jelszó Minimum password length |
12 karakter | 8 karakter | * | ||
4. |
A jelszónak meg kell felelnie a bonyolultsági feltételeknek Password must meet complexity requirements |
engedélyezve | ||||
5. |
Előző jelszavak megőrzése Enforce password history |
24 jelszó megőrzése | ||||
6. |
A tartomány összes felhasználója jelszavának tárolása visszafejthető titkosítással Store password using reversible encryption for all users in the domain |
letiltva | ||||
* Jelszó helyett inkább jelmondatot használjanak!
4.1.2 Fiókzárolási házirend
Házirend | Javasolt érték | |||||
Fokozott biztonság | Vállalat | OKV | Idejétmúlt | |||
1. |
Fiókzárolás küszöbe Account lockout threshold |
10 kísérlet | 50 kísérlet | |||
2. |
Fiókzárolás időtartama Account lockout duration |
15 perc | ||||
3. |
Fiókzárolási számláló nullázása Reset account lockout counter after |
15 perc | ||||
4.2 Helyi házirend
4.2.1 Naplórendrend
Házirend | Javasolt érték | |||||
Fokozott biztonság | Vállalat | OKV | Idejétmúlt | |||
1. |
Bejelentkezés naplózása Audit logon events |
sikeres/sikertelen | ||||
2. |
Fiókkezelés naplózása Audit account management |
sikeres/sikertelen | ||||
3. |
Címtárszolgáltatás-hozzáférés naplózása Audit directory service access |
nem definiált | ||||
4. |
Fiókkezelés naplózása Audit account logon events |
sikeres/sikertelen | ||||
5. |
Objektum-hozzáférés naplózása Audit object access |
sikeres/sikertelen | sikertelen | |||
6. |
Házirendváltozás naplózása Audit policy change |
sikeres | ||||
7. |
Rendszerjogok használatának naplózása Audit privilege use |
sikertelen | ||||
8. |
Folyamatok nyomon követésének naplózása Audit process tracking |
nem definiált | * | |||
9. |
Rendszeresemények naplózása Audit system events |
sikeres |
4.2.2 Felhasználói jogok kiosztása
Házirend | Javasolt érték | |||||
Fokozott biztonság | Vállalat | OKV | Idejétmúlt | |||
1. |
A számítógép elérése a hálózatról Access this computer from the network |
rendszergazdák | felhasználó/rendszergazdák | |||
2. |
Az operációs rendszer részeként való működés Act as part of the operating system |
nincs beállítás | ||||
3. |
Munkaállomás felvétele a tartományba Add workstation to domain |
nem definiált (nem alkalmazható) | ||||
4. |
Memóriakvóták beállítása folyamat számára Adjust memory quotas for a process |
nem definiált | ||||
5. |
Be lehessen jelentkezni terminálszolgáltatások használatával Allow logon through Terminal Services |
nincs beállítás | rendszergazdák | |||
6. |
Biztonsági másolat készítése fájlokról és könyvtárakról Back up files and directories |
rendszergazdák | ||||
7. |
Szülőkönyvtár-jogosultság mellőzése Bypass traverse checking |
felhasználó | ||||
8. |
Rendszeridő megváltoztatása Change the system time |
rendszergazdák | * | |||
9. |
Lapozófájl létrehozása Create a pagefile |
rendszergazdák | ||||
10. |
Token objektum létrehozása Create a token object |
nincs beállítás | ||||
11. |
Globális objektumok létrehozása Create global objects |
rendszergazdák | ||||
12. |
Állandó megosztott objektumok létrehozása Create permanent shared objects |
nincs beállítás | ||||
13. |
Programok hibakeresése Debug programs |
egyik sem | rendszergazdák | egyik sem | ||
14. |
A számítógép hálózati elérésének megtagadása Deny access to this computer from the network |
vendég | ||||
15. |
Kötegelt munka bejelentkezésének megtagadása Deny logon a a batch job |
nem definiált | ||||
16. |
Szolgáltatásként bejelentkezés megtagadása Deny logon as service |
nem definiált | ||||
17. |
Helyi bejelentkezés megtagadása Deny logon locally |
nem definiált | ||||
18. |
Ne lehessen bejelentkezni terminálszolgáltatások használatával Deny logon through Terminal Services |
nem definiált | ||||
19. |
Számítógép- és felhasználói fiókok megbízhatóságának engedélyezése Enable computer and user accounts to be trusted for delegation |
nem definiált (nem alkalmazható) | ||||
20. |
Távirányított rendszerleállítás Force shutdown from a remote system |
rendszergazdák | ||||
21. |
Biztonsági naplózás létrehozása Generate security audits |
helyi szolgáltatás, hálózati szolgáltatás | ||||
22. |
Ügyfél megszemélyesítése hitelesítés után Impersonate a client after authentication |
nem definiált | ||||
23. |
Ütemezési prioritás növelése Increase scheduling priority |
rendszergazdák | ||||
24. |
Szolgáltatók betöltése és eltávolítása Load and unload device drivers |
rendszergazdák | ||||
25. |
Memórialapok zárolása a memóriában Lock pages in memory |
nincs beállítás | ||||
26. |
Bejelentkezés kötegfájlfolyamatként Log on as a batch job |
nem definiált | ||||
27. |
Bejelentkezés szolgáltatásként Log on as a service |
nem definiált | ||||
28. |
Helyi bejelentkezés Log on locally |
felhasználó, rendszergazdák | ||||
29. |
Naplózás felügyelete Manage auditing and security log |
rendszergazdák | ||||
30. |
Beégetett programok környezeti értékeinek megváltoztatása Modify firmware environment values |
rendszergazdák | ||||
31. |
Kötetkarbantartási feladatok végrehajtása Perform volume maintenance tasks |
rendszergazdák | ||||
32. |
Folyamatok teljesítményadatainak figyelése Profile single process |
rendszergazdák | ||||
33. |
A rendszer teljesítményadatainak figyelése Profile system performance |
rendszergazdák | ||||
34. |
Számítógép eltávolítása tokjából Remove computer from docking station |
felhasználó, rendszergazdák | ||||
35. |
Folyamat token lecserélése Replace a process level token |
helyi szolgáltatás, hálózati szolgáltatás | ||||
36. |
Fájlok és könyvtárak helyreállítása Restore files and directories |
rendszergazdák | ||||
37. |
A rendszer leállítása Shut down the system |
felhasználó, rendszergazdák | ||||
38. |
Könyvtárszolgáltatás-adatok szinkronizálása Synchronize directory service data |
nem definiált (nem alkalmazható) | ||||
39. |
Fájlok és egyéb objektumok saját tulajdonba vétele Take ownership of files or other objects |
rendszergazdák |
4.2.3 Biztonsági beállítások
Házirend | Javasolt érték | |||||
Fokozott biztonság | Vállalat | OKV | Idejétmúlt | |||
1. |
Fiókok: A Rendszergazdák fiókok állapota Accounts: Administrator account status |
nem definiált | ||||
2. |
Fiókok: A vendég fiók állapota Accounts: Guest account status |
letiltva | ||||
3. |
Fiókok: Az üres jelszó használatának konzolbejelentkezésekre korlátozása a helyi fiókoknál Accounts: Limit local account use of blank passwords to console logon |
engedélyezve | ||||
4. |
Fiókok: A rendszergazdai fiók átnevezése Accounts: Rename administrator account |
nem definiált | ||||
5. |
Fiókok: a vendégfiók átnevezése Accounts: Rename guest account |
nem definiált | ||||
6. |
Naplózás: Globális rendszerobjektumokhoz való hozzáférés naplózása Audit: Audit the access of global systems object |
nem definiált | ||||
7. |
Naplózás: A biztonsági mentés és helyreállítás jogának naplózása Audit: Audit the use of Backup and Restore privilege |
nem definiált | ||||
8. |
Naplózás: A rendszer azonnali leállítása, ha nem lehet naplózni a biztonsági eseményeket Audit: Shut down system immediately if unable to log security audit |
engedélyezve | nem definiált | |||
9. |
Eszközök: Dokkolás megszüntethető bejelentkezés nélkül is Devices: Allow undock without having to log on |
tiltva | nem definiált | |||
10. |
Eszközök: Cserélhető adathordozó formázása és kiadása a következő csoportok tagjainak engedélyezve Devices: Allowed to format and eject removable media |
rendszergazdák | Rendszergazdák, interaktív felhasználó | |||
11. |
Eszközök: A felhasználók nem telepíthetnek nyomtatókat Devices: Prevent users from installing printer drivers |
engedélyezve | nem definiált | |||
12. |
Eszközök: A CD-ROM használatához kötelező bejelentkezni a helyi számítógépre Devices: Restrict CD-ROM access to locally logged-on user only |
engedélyezve | nem definiált | |||
13. |
Eszközök: A hajlékonylemez használatához kötelező bejelentkezni a helyi számítógépre Devices: Restrict floppy access to locally logged-on user only |
engedélyezve | nem definiált | |||
14. |
Eszközök: Viselkedés nem aláírt illesztőprogram telepítésekor Devices: Unsigned driver installation behavior |
értesítés után engedélyezve | ||||
15. |
Tartományvezérlő: A kiszolgálófelelősök ütemezhetnek feladatokat Domain controller: Allow server operator to schedule tasks |
nem definiált (nem alkalmazható) | ||||
16. |
Tartományvezérlő: LDAP-kiszolgáló aláírási követelményei Domain controller: LDAP server signing requirements |
nem definiált (nem alkalmazható) | ||||
17. |
Tartományvezérlő: Számítógépfiók jelszómódosításának visszautasítása Domain controller: Refuse machine account password changes |
nem definiált (nem alkalmazható) | ||||
18. |
Tartományi tag: A biztonságos csatornák adatainak digitális titkosítása vagy aláírása (mindig) Domain member: Digitally encrypt or sign secure channel data (always) |
engedélyezve | tiltva | |||
19. |
Tartományi tag: az adatok digitális titkosítása (ha lehet) Domain member: Digitally encrypt secure channel data (when possible) |
engedélyezve | ||||
20. |
Tartományi tag: az adatok digitális aláírása (ha lehet) Domain member: Digitally sing secure channel data (when possible) |
engedélyezve | ||||
21. |
Tartományi tag: Számítógépfiók jelszómódosításainak tiltása Domain member: Disable machine account password changes |
tiltva | ||||
22. |
Tartományi tag: Számítógépfiók jelszavának maximális élettartama Domain member: Maximum machine account password age |
30nap | ||||
23. |
Tartományi tag: erős (Windows 2000 vagy frissebb rendszerű) munkamenetkulcs megkövetelése Domain member: Require strong (Windows 2000 or later)session key |
engedélyezve | tiltva | |||
24. |
Interaktív bejelentkezés: Ne jelenjen meg a legutóbb bejelentkezett felhasználó neve Interactive logon: Do not display last user name |
engedélyezve | ||||
25. |
Interaktív bejelentkezés: Nincs szükség CTRL+ALT+DEL billentyűkombinációra Interactive logon: Do not require CTRL+ALT+DEL |
letiltva | ||||
26. |
Interaktív bejelentkezés: Bejelentkezési üzenet a felhasználónak Interactive logon: Message text for users attempting to log on |
<jogi részleg jóváhagyásával> | ||||
27. |
Interaktív bejelentkezés: Bejelentkezési üzenet címe Interactive logon: Message title for users attempting to log on |
<jogi részleg jóváhagyásával> | ||||
28. |
Interaktív bejelentkezés: Tartományvezérlő nélküli bejelentkezés helyileg tárolt információval Interactive logon: Number of previous logons to cache (in case domain controller is not available) |
0 | 1 | 2 | ||
29. |
Interaktív bejelentkezés: A felhasználó figyelmeztetése a jelszó lejárta előtt Interactive logon: Prompt use to change password before expiration |
14 nap | ||||
30. |
Interaktív bejelentkezés: A munkaállomás zárolásának feloldásához tartományvezérlői hitelesítésre van szükség Interactive logon: Require Domain Controller authentication to unlock workstation |
nem definiált | engedélyezve | letiltva | nem definiált | |
31. |
Interaktív bejelentkezés: Viselkedés intelligens kártya eltávolitásakor Interactive logon: Smart card removal behavior |
munkaállomás zárolása | ||||
32. |
Microsoft hálózati ügyfél: Kommunikáció digitális aláírása (mindig) Microsoft network client: Digitally sign communications (always) |
engedélyezve | nem definiált | 1 | ||
33. |
Microsoft hálózati ügyfél: Kommunikáció digitális aláírása (ha a kiszolgáló egyetért) Microsoft network client: Digitally sign communications (if server agrees) |
engedélyezve | ||||
34. |
Microsoft hálózati ügyfél:Titkosítatlan jelszavak küldése egyéb SMB kiszolgálóknak Microsoft network client: Send unencrypted password to third-party SMB servers |
letiltva | 2 | |||
35. |
Microsoft hálózati ügyfél: Ügyfelek leválasztása a nyilvántartási idő végén Microsoft network server: Amount of idle time required before suspending session |
15 perc | ||||
36. |
Microsoft hálózati kiszolgáló: Kommunikáció digitális aláírása (mindig) Microsoft network server: Digitally sign communications (always) |
engedélyezve | nem definiált | |||
37. |
Microsoft hálózati kiszolgáló: Kommunikáció digitális aláírása (ha az ügyfél egyetért) Microsoft network server: Digitally sign communications (if client agrees) |
engedélyezve | ||||
38. |
Microsoft hálózati kiszolgáló: Ügyfelek leválasztása a nyilvántartási idő végén Microsoft network server: Disconnect clients when logon hours expired |
engedélyezve | letiltva | engedélyezve | ||
39. |
Hálózati hozzáférés: A névtelen helyazonosító-/névfordítás engedélyezése Network access: Allow anonymous SID/Name translation |
letiltva | ||||
40. |
Hálózati hozzáférés: SAM fiókok névtelen felsorolása nem engedélyezett Network access: Do not allow anonymous enumeration of SAM accounts |
engedélyezve | ||||
41. |
Hálózati hozzáférés: SAM fiókok és –megosztása névtelen felsorolása nem engedélyezett Network access: Do not allow anonymous enumeration of SAM accounts and shares |
engedélyezve | ||||
42. |
Hálózati hozzáférés: Nem lehet hitelesítő adatokat vagy .NET passportot tárolni hálózati hitelesítéshez Network access: Do not allow storage of credentials or .NET Passports for network authentication |
engedélyezve | nem definiált | |||
43. |
Hálózati hozzáférés: A névtelen felhasználókra a Mindenki csoportra vonatkozó engedélyek vonatkoznak Network access: Let Everyone permissions apply to anonymous users |
letiltva | ||||
44. |
Hálózati hozzáférés: Névtelenül elérhető Named Pipe-ok Network access: Named Pipes that can be access anonymously |
nincs beállítás | nem definiált | |||
45. |
Hálózati hozzáférés: Távolról elérhető rendszerleíró elérési utak Network access: Remotely accessible registry paths |
nem definiált | ||||
46. |
Hálózati hozzáférés: Névtelenül elérhető megosztások Network access: Shares that can be accessed anonymously |
nincs beállítás | ||||
47. |
Hálózati hozzáférés: Megosztási és biztonsági modell helyi felhasználói fiókok számára Network access: Sharing and security model for local account |
klasszikus | ||||
48. |
Hálózati biztonság: A következő jelszómódosításkor ne tárolja a LAN-kezelő üzenetkivonatát Network security: Do not store LAN manager hash value on next password change |
engedélyezve | nem definiált | |||
49. |
Hálózati biztonság: Kötelező kijelentkezés a nyitvatartási óra lejártakor Network security: Force logoff when logon hours expire |
engedélyezve | nem definiált | |||
50. |
Hálózati biztonság: LAN-kezelő hitelesítési szintje Network security: LAN Manager authentication level |
NTLMv2 küldés LM és NTLM elutasítva |
NTLMv2 küldés, LM elutasítva |
NTLMv2 küldés | 3 | |
51. |
Hálózati biztonság: LDAP ügyfél aláírási követelményei Network security: LDAP client signing requirements |
aláírás megkövetelve | ||||
52. |
Hálózati biztonság: Minimális biztonság az NTLM SSP alapú (a biztonságos RPC is) ügyfelekkel Network security: Minimum session security for NTLM SSP based (including secure RPC) clients |
az üzenet sértetlensége, titkossága, az NTLMv2 munkamenet biztonság, 128-bites titkosítás megkövetelve | nem definiált | 3 | ||
53. |
Hálózati biztonság: Minmális munkamenet-biztonság az NTLM SSP (a biztonságos RPC is) kiszolgálókkal Network security: Minimum session security for NTLM SSP based (including secure RPC) servers |
az üzenet sértetlensége, titkossága, az NTLMv2 munkamenet biztonság, 128-bites titkosítás megkövetelve | nem definiált | 3 | ||
54. |
Helyreállítási konzol: Automatikus rendszergazdai bejelentkezés Recovery console: Allow automatic administrative logon |
letiltva | ||||
55. |
Helyreállítási konzol: Hajlékonylemez másolása és hozzáférés minden meghajtóhoz és mappához Recovery console: Allow floppy copy and access to all drives and all folders |
nem definiált | ||||
56. |
Leállítás: A rendszer leállítható bejelentkezés nélkül Shutdown: Allow system to be shutdown without having to log on |
letiltva | ||||
57. |
Leállítás: Virtuális memória lapozófájljainak törlése Shutdown: Clear virtual memory pagefile |
engedélyezve | 4 | |||
58. |
Rendszerkriptográfia: FIPS szabványnak megfelelő algoritmus használata titkosításhoz, kivonatoláshoz és aláíráshoz System crypthography: Use FIPS compliant algorithms for encryption, hashing and signing |
engedélyezve | nem definiált | |||
59. |
Rendszerobjektumok: A Rendszergazdák csoport tagjai által létrehozott objektumok alapértelmezett tulajdonosa System objects: Default owner for objects created by members of the Administrators group |
az objektum létrehozója | ||||
60. |
Rendszerobjektumok: A nem-Windows alrendszerek esetén a kis- és nagybetűk megkülönböztetésének megkövetelése System objects: Require case sensitivity for non-Windows subsystem |
engedélyezve | nem definiált | |||
61. |
Rendszerobjektumok: A belső rendszerobjektumok (pl. szimbolikus hivatkozások) alapértelmezett engedélyezésének megerősítése System objects: Strengthen default permissions of internal system objects (e.g. Symbolic Links) |
engedélyezve | nem definiált | |||
1 Windows 2000 előtti szerverekkel történő kommunikációt megakadályozza
2 Windows NT előtti szerverekkel történő kommunikációt megakadályozza
3 Bizonyos kliensekkel és kiszolgálókkal való kapcsolattartást megakadályozza
4 Emiatt az újrabootolás hosszabb ideig tarthat, különösen a több RAM-mal rendelkező
4.3 Eseménynaplóházirend
Házirend | Javasolt érték | |||||
Fokozott biztonság | Vállalat | OKV | Idejétmúlt | |||
1. |
Maximális alkalmazási napló fájlméret Maximum application log size |
16 MB | ||||
2. |
Maximális biztonsági napló fájlméret Maximum security log size |
80 MB | ||||
3. |
Maximális rendszernapló fájlméret Maximum system log size |
16 MB | ||||
4.4 Kötött csoportok
Kötött csoportok | Javasolt érték | |||||
Fokozott biztonság | Vállalat | OKV | Idejétmúlt | |||
1. |
Kiemelt felhasználók Power Users |
nincs beállítás | ||||
2. |
Távoli felhasználók Remote Desktop Users |
nincs beállítás |
4.5 Rendszerszolgáltatások
A szolgáltatás neve | Javasolt érték | |||||
Fokozott biztonság | Vállalat | OKV | Idejétmúlt | |||
1. |
Riasztás Alerter |
letiltva | ||||
2. |
Vágókönyv Clipbook |
letiltva | ||||
3. |
Számítógép tallózó Computer Browser |
letiltva | nem definiált | letiltva | nem definiált | |
4. |
Faxszolgáltatás Fax Service |
letiltva | nem definiált | |||
5. |
FTP publikációs szolgáltatás FTP Publishing Service |
letiltva | ||||
6. |
IIS rendszerszolgáltatás IIS Admin Service |
letiltva | ||||
7. |
Indexelő szolgáltatás Indexing Service |
letiltva | nem definiált | |||
8. |
Üzenetkezelő Messenger |
letiltva | ||||
9. |
Hálózati bejelentkezés Netlogon |
nem definiált | ||||
10. |
Netmeeting távoli asztalmegosztás Netmeeting Remote Desktop Sharing |
letiltva | ||||
11. |
Távoli asztal súgó-munkamenetkezelő Remote Desktop Help Session Manager |
letiltva | nem definiált | letiltva | ||
12. |
Távoli rendszerleíró adatbázis Remote Registry |
letiltva | nem definiált | letiltva | nem definiált | |
13. |
Útválasztás és távelérés Routing and Remote Access |
letiltva | ||||
14. |
Egyszerű levélátviteli protokoll (SMTP) Simple Mail Transfer Protocol (SMTP) |
letiltva | ||||
15. |
Egyszerű Hálózatkezelő protokoll (SNMP) szolgáltatás Simple Network Management Protocol (SNMP) Service |
letiltva | ||||
16. |
Egyszerű hálózatkezelő protokoll (SNMP) csapda Simple Network Management Protocol (SNMP) Trap |
letiltva | ||||
17. |
Feladatütemező Task Scheduler |
letiltva | nem definiált | |||
18. |
Telnet Telnet |
letiltva | ||||
19. |
Terminálszolgáltatások Teminal Services |
letiltva | nem definiált | |||
20. |
Univerzális Plug and Play eszközök Universal Plug and Play Device Host |
letiltva | nem definiált | |||
21. |
World Wide Web publikációs szolgáltatás World Wide Web Publishing Services |
letiltva |
4.6 Fájl engedélyek beállítása
A szolgáltatás neve | Javasolt érték | |||||
Fokozott biztonság | Vállalat | OKV | Idejétmúlt | |||
1. | %SystemRoot% \system32\at.exe | Adminisztrátorok: teljes; Rendszer: teljes | ||||
2. | %SystemRoot% \system32\attrib.exe | Adminisztrátorok: teljes; Rendszer: teljes | ||||
3. | %SystemRoot% \system32\cacls.exe | Adminisztrátorok: teljes; Rendszer: teljes | ||||
4. | %SystemRoot% \system32\debug.exe | Adminisztrátorok: teljes; Rendszer: teljes | ||||
5. | %SystemRoot% \system32\drwatson.exe | Adminisztrátorok: teljes; Rendszer: teljes | ||||
6. | %SystemRoot% \system32\drwtsn32.exe | Adminisztrátorok: teljes; Rendszer: teljes | ||||
7. | %SystemRoot% \system32\edlin.exe | Adminisztrátorok: teljes; Rendszer: teljes; interaktív*: olvas és végrehajt | ||||
8. | %SystemRoot% \system32\eventcreate.exe | Adminisztrátorok: teljes; Rendszer: teljes | ||||
9. | %SystemRoot% \system32\eventtriggers.exe | Adminisztrátorok: teljes; Rendszer: teljes | ||||
10. | %SystemRoot% \system32\ftp.exe | Adminisztrátorok: teljes; Rendszer: teljes; interaktív*: olvas és végrehajt | ||||
11. | %SystemRoot% \system32\net.exe | Adminisztrátorok: teljes; Rendszer: teljes; interaktív*: olvas és végrehajt | ||||
12. | %SystemRoot% \system32\net1.exe | Adminisztrátorok: teljes; Rendszer: teljes; interaktív*: olvas és végrehajt | ||||
13. | %SystemRoot% \system32\netsh.exe | Adminisztrátorok: teljes; Rendszer: teljes | ||||
14. | %SystemRoot% \system32\arcp.exe | Adminisztrátorok: teljes; Rendszer: teljes | ||||
15. | %SystemRoot% \system32\reg.exe | Adminisztrátorok: teljes; Rendszer: teljes | ** | |||
16. | %SystemRoot% \system32\regedit.exe | Adminisztrátorok: teljes; Rendszer: teljes | ** | |||
17. | %SystemRoot% \system32\regedt32.exe | Adminisztrátorok: teljes; Rendszer: teljes | ** | |||
18. | %SystemRoot% \system32\regsvr32.exe | Adminisztrátorok: teljes; Rendszer: teljes | ||||
19. | %SystemRoot% \system32\rexec.exe | Adminisztrátorok: teljes; Rendszer: teljes | ||||
20. | %SystemRoot% \system32\rsh.exe | Adminisztrátorok: teljes; Rendszer: teljes | ||||
21. | %SystemRoot% \system32\runas.exe | Adminisztrátorok: teljes; Rendszer: teljes; interaktív*: olvas és végrehajt | *** | |||
22. | %SystemRoot% \system32\sc.exe | Adminisztrátorok: teljes; Rendszer: teljes | ||||
23. | %SystemRoot% \system32\subst.exe | Adminisztrátorok: teljes; Rendszer: teljes | **** | |||
24. | %SystemRoot% \system32\telnet.exe | Adminisztrátorok: teljes; Rendszer: teljes; interaktív*: olvas és végrehajt | ||||
25. | %SystemRoot% \system32\tftp.exe | Adminisztrátorok: teljes; Rendszer: teljes; interaktív*: olvas és végrehajt | ||||
26. | %SystemRoot% \system32\tlntsvr.exe | Adminisztrátorok: teljes; Rendszer: teljes |
* Interaktív: bejelentkezett felhasználó
** Mivel a felhasználók ezeket az eszközöket már nem használhatják, a beállítások hátrányosan befolyásolhatják a műveleteket.
*** Néhány szervezet inkább a felhasználóknak biztosítja a runas.exe futtatási jogát, mintsem az adminisztrátorok kapjanak teljes jogosultságot.
**** Alkalmazás-kompatibilitási kérdéseket vethet fel; például egy nem-privilegizált felhasználó egy login script-en keresztül behívhatja.
4.7 Rendszerleíró-adatbázis beállításai
A rendszerleíró-adatbázis kulcs | Javasolt érték | |||||
Fokozott biztonság | Vállalat | OKV | Idejétmúlt | |||
1. | HKLM\Software |
Rendszergazdák:teljes, Rendszer: teljes, Létrehozó tulaj: teljes, Felhasználó: olvasás |
nem meghatározott | |||
2. | HKLM\Software\Microsoft\Windows\CurrentVersion\Installer |
Rendszergazdák:teljes, Rendszer: teljes, Felhasználó: olvasás |
Rendszergazdák: teljes, Rendszer: teljes, Felhasználó: olvasás |
|||
3. | HKLM\Software\Microsoft\Windows\CurrentVersion\Policies |
Rendszergazdák:teljes, Rendszer: teljes, Jogosult felh.: olvasás |
Rendszergazdák: teljes, Rendszer: teljes, Jogosult felh.: olvasás |
|||
4. | HKLM\System |
Rendszergazdák:teljes, Rendszer: teljes, Létrehozó tulaj: teljes, Felhasználó: olvasás |
nem meghatározott | |||
5. | HKLM\System\CurrentControlSet\Enum |
Rendszergazdák:teljes, Rendszer: teljes, Jogosult felh.: olvasás |
Rendszergazdák: teljes, Rendszer: teljes, Jogosult felh.: olvasás |
|||
6. | HKLM\System\CurrentControlSet\Services\SNMP\Parameters\PermittedManagers |
Rendszergazdák:teljes, Rendszer: teljes, Létrehozó tulaj: teljes |
Rendszergazdák: teljes, Rendszer: teljes, Létrehozó tulaj: teljes |
|||
7. | HKLM\System\CurrentControlSet\Services\SNMP\Parameters\ValidCommunities |
Rendszergazdák:teljes, Rendszer: teljes, Létrehozó tulaj: teljes |
Rendszergazdák: teljes, Rendszer: teljes, Létrehozó tulaj: teljes |
|||
8. | HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Ratings |
Rendszergazdák:teljes, Felhasználó: olvasás |
nem meghatározott | |||
9. | HKLM\Software\Microsoft\MSDTC |
Rendszergazdák:teljes, Rendszer: teljes, Hálózati szolgáltatás: érték lekérdezés, - beállítás, alkulcs generálás, alkulcs felsorolás, értesítés. olvasás Felhasználó: olvasás |
nem meghatározott | |||
10. | HKU\.Default\Software\Microsoft\SystemCertificates\Root\ProtectedRoots |
Rendszergazdák:teljes, Rendszer: teljes, Felhasználó: olvasás |
Rendszergazdák: teljes, Rendszer: teljes, Felhasználó: olvasás |
|||
11. | HKLM\Software\Microsoft\Windows NT\CurrentVersion\SecEdit |
Rendszergazdák:teljes, Rendszer: teljes, Felhasználó: olvasás |
Rendszergazdák: teljes, Rendszer: teljes, Felhasználó: olvasás |
4.8 A rendszerleíró-adatbázis értékei
A rendszerleíró-adatbázis kulcs | Javasolt érték | |||||
Fokozott biztonság | Vállalat | OKV | Idejétmúlt | |||
1. | HKLM\Software\Microsoft\|DrWatson\CreateCrashDump | 0 | ||||
2. | HKLM\Software\Microsoft\Windows NT\CurrentVersion\AEDebug\Auto | 0 | ||||
3. | HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun | 255 | ||||
4. | HKU\.DEFAULT\ Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun | 255 | ||||
5. | HKLM\Software\Microsoft\Windows NT\CurrentVersion\WinLogon\AutoAdminLogon | 0 | ||||
6. | HKLM\System\CurrentControlSet\Control\CashControl\AutoReboot | 0 | ||||
7. | HKLM\System\CurrentControlSet\Services\Cdrom\Autorun | 0 | ||||
8. | HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\AutoShareWks | 0 | nem definiált | 0 | nem definiált | |
9. | HKLM\System\CurrentControlSet\Services\MrxSmb\Parameters\RefuseReset | 1 | ||||
10. | HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\DisableIPSourceRouting | 2 | ||||
11. | HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\EnableDeadGWDetect | 0 | ||||
12. | HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\EnableICMPRedirect | 0 | ||||
13. | HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\EnablePMTUDiscovery | 0 | ||||
14. | HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\KeepAliveTime | 300000 | ||||
15. | HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\PerformRouterDiscovery | 0 | ||||
16. | HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\ynAttackProtect | 2 | ||||
17. | HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\TcpMaxHalfOpen | 100 | ||||
18. | HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\TcpMaxHalfOpenRetired | 80 | ||||
19. | HKLM\System\CurrentControlSet\Services\IPSEC\NoDefaultExempt | 1 | ||||
20. | HKLM\System\CurrentControlSet\Services\Lanmanserver\Parameters\Hidden | 1 | ||||
21. | HKLM\System\CurrentControlSet\Control\Session Manager\SafeDIISearchMode | 1 |
5. A Windows XP biztonsági beállításainál alkalmazott eszközök
(konfigurálás, üzemeltetés, monitorozás)
Az eszköz neve | Feladata | Helye |
Automatikus frissítés Automatic Update |
Ellenőrzi, hogy van-e Microsoft szolgáltatógépen frissítés; letölti és telepíti. | Windows XP rendszerben |
Kódolás Cipher |
A diszkek üres területeiről véglege¬sen letörli az adatokat (/w opció) |
cipher.exe Windows XP rendszerben |
Eseménynapló Event Viewer |
Az alkalmazási, a biztonsági és a rendszernapló bejegyzéseit mutatja meg. |
eventvwr.exe Windows XP rendszerben |
Csoportházirendobjektum-kezelő konzol MMC modul Group Policy Management Console (GPMC) MMC snap-in |
Csoport házirend kezelése több¬szörös tartományban |
http://www.microsoft.com/ windowsserver2003/gpmc/default.mspx |
Csoportházirend modellező varázsló MMC modul Group Policy Modeling Wizard MMC snap-in |
Egy adott felhasználóra vagy számítógépre alkalmazott csoportházirend-kombináció hatását határozza meg. |
http://www.microsoft.com/ windowsserver2003/gpmc/default.mspx |
Csoportházirend objektum szerkesztő MMC modul Group Policy Object Editor MMC snap-in |
A biztonsági mintabeállításokat a csoportházirend objektumba importálja. |
Windows XP rendszerben |
HFNetChk.exe | A rendszerhez tartozó biztonsági javítások telepítését ellenőrzi. |
http://www.microsoft.com/ technet/security/tools/hfnetchk.mspx |
Helyi biztonsági házirend Local Security Policy |
A helyi biztonsági házirendet mutatja meg és a rendszergazda meg is változtathatja. |
Windows XP rendszerben (Vezérlőpult -> Felügyeleti eszközök) |
Microsoft Baseline Security Analyzer (MBSA) | Biztonsági szempontból végignézi a számítógépet. |
http://www.microsoft.com/ technet/security/tools/mbsahome.mspx |
Felügyeleti konzol Microsoft Management Console (MMC) |
Modulok tárolóhelye |
mmc.exe Windows XP rendszerben |
Port Reporter | A TCP és UDP portok használatát naplózza |
http://www.microsoft.com/downloads/ details.aspx?displaylang=en&FamilyID= 69BA779B-BAE9-4243-B9D6-63E62B4BCD2E |
Rendszerleíró-adatbázis szerkesztő Registry Editor |
A rendszerleíró-adatbázis bejegyzéseit a rendszergazda megnézheti és módosíthatja. |
regedit.exe és regedt32.exe Windows XP rendszerben |
Távoli telepítés Remote Installation Services |
A Windows XP automatikus telepítése távoli rendszerből. | Windows 2000 és Windows 2003 rendszerekben |
Biztonsági konfiguráció és elemzés MMC modul Security Configuration and Analysis MMC snap-in |
Összehasonlítja a rendszer jelenlegi biztonsági beállításait a mintabeállításokkal. | Windows XP rendszerben |
Biztonsági mintabeállítás MMC modul Security Template MMC snap-in |
A biztonsági mintabeállítások megtekintését, megváltoztatását és alkalmazását teszi lehetővé a rendszergazdák számára. | Windows XP rendszerben |
Rendszerelőkészítő-eszköz Sysprep |
Az XP képet más rendszerekre klónozza. |
sysprep.exe Windows XP rendszerben |
Windows Update | Megnézi, hogy van-e frissítés, lehozza és telepíti azt. | http://windowsupdate.microsoft.com |
Windows Firewall | Tűzfal | Windows XP rendszerben |
Microsoft AntiSpyware | Kémszoftverek elleni védelem |
6. A Windows XP rendszerben használt portok
Port | Protokoll | Szolgáltatás | Leírás |
21 | TCP | FTP | File Transfer Protocol service |
23 | TCP | Telnet | Telnet service |
68 | UDP | DHCP | Dynamic Host Configuration Protocol client |
80 | TCP | HTTP | HyperText Transfer Protocol service |
123 | UDP | NTP | Network Time Protocol client (Windows Time) |
135 | TCP | epmap | DCE Endpoint Resolution (remote procedure call) |
137 | UDP | NetBIOS-ns | NetBIOS Name Service |
138 | UDP | NetBIOS-dgm | NetBIOS Datagram Service |
139 | TCP | NetBIOS-ssn | NetBIOS Session Service |
161 | UDP | SNMP | Simple Network Management Protocol |
213 | UDP | IPX over IP | Client Service for Netware Service |
443 | TCP | HTTPS | HTTP over SSL server |
445 | TCP/UDP | microsoft-ds (SMB) | Microsoft Common Internet File System (CIFS) |
500 | UDP | IKE | Internet Key Exchange (gyakran az IPSec-kel együtt alkalmazzák) |
515 | TCP | LPR | Print Spooler service |
522 | TCP | NetMeeting client | |
1503 | TCP | NetMeeting client | |
1701 | UDP | L2TP | Layer 2 Tunneling Protocol client |
1720 | TCP | NetMeeting client | |
1723 | TCP/UDP | PPTP | Point-to-Point Tunneling Protocol client |
1731 | TCP | NetMeeting client | |
1900 | UDP | SSDP | Simple Service Discovery Protocol |
2001 - 2120 | UDP | Windows Messenger voice calls | |
2869 | TCP | UpnP | Universal Plug and Play |
3002 | TCP | Internet Connection Firewall/Sharing | |
3003 | TCP | Internet Connection Firewall/Sharing | |
3389 | TCP | RDP | Remote Protocol Desktop service |
5000 | TCP | UpnP | Universal Plug and Play |
6801 | UDP | Windows Messenger voice calls | |
6891-6900 | TCP | Windows Messenger file transfers | |
6901 | TCP/UDP |
Windows Messenger voice calls |