1. HUNCERT
  2. Windows 2000 biztonsági beállításai - finomhangolás

Windows 2000 biztonsági beállításai - finomhangolás

A Windows 2000 (Win2k) haladó biztonsági beállításai közül néhány gyorsan elvégezhetőt ismertetünk. Kiemelten fontos az alapbeállításokat elvégezni előbb, és azután belefogni ebbe a részbe.

Amennyiben nem történt meg az alapbeállítások elvégzése, úgy mindenképpen azzal kellene kezdeni, és csak azok után visszatérni ide! --> alapok. Az egyes beállításoknál nem mindenhol szerepeltetjük a magyar megfelelőt is, mert az eddigi anyagokból már ismert lehet, és a tapasztalat szerint a haladók maguk is megtalálják ezeket.

Következzen a teljesség igénye nélkül néhány olyan biztonsági beállítás, mely egyszerűen elvégezhető, és növeli a rendszer biztonságát, de fontos megjegyezni, hogy a laikusok óvatosan kezeljék ezeket az információkat, mert, aki nem igényes a biztonságra, vagy rosszul, hanyagul alkalmazza azt, sokszor nagyobb gondot okozhat magának, mintha nem tett volna semmit.

  1. syskey használata - a rendszer indítása
    Gépeljük be rendszergazdaként a parancssorba (pl. Start menüpont alatt a Run azaz Futtatás kiválasztása után) a syskey parancsot.
    A megjelenő ablakban az 'encryption enabled' (titkosítás engedélyezve) állapoton az 'Update'-re klikkelve jutunk el a beállításokhoz:
    Image
    A rendszer által generált jelszót is tarthatjuk floppy lemezen, de magunk is generálhatunk jelszót, amit a rendszer indulásakor megadhatunk. Természetesen floppy lemez esetén azt tároljuk védett helyen, és meghibásodás esetén legyen belőle egy másik helyen tartalék másolat.
     
  2. információkorlátozás - a rendszer használata
    Korlátozzuk a rendszerről szóló információk hozzáférhetőségét, amit a regedit meghívása után a HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA-ban tehetünk meg a 'RestrictAnonymous' változó 2-es értékre állításával (hexa!). Már az 1-es szint is növeli a biztonságot, és a 2-es a legnagyobb. Újraindítás után érvénybe lép a magasabb biztonsági szint. A gépükön szervert üzemeltető szakemberek olvassák el a beállítás hatásait is!
    Ebbe a kategóriába tartozik a megosztások (share) esetében alkalmazott megoldás, amikor a megosztás nevének végére a '$' karaktert tesszük, így az elérhető lesz ugyan, de nem lesz látható az avatatlanok számára.
    A számtalan profi technika (pl. amikor a szerver nyomtatónak tudja hazudni magát a hálózat felé...) között érdemes az egyszerűen megvalósíthatók közül kiemelni az azonosítók megváltoztatásával egyidőben (ld. alapelvek2, 3 pontok) elvégezendőt: olyan azonosító struktúra kialakítása, mely egy behatolás esetén is adhat némi segítséget. Ilyen struktúra lehet, amikor:
    • a 'Rendszergazda' azonosítónak nincs semmilyen joga, az 'Adminka' van helyette (ugye, mindegy, hogy mi az azonosító és a jelszó, mert borítékba zárva biztonságos helyen tároljuk), és csak ez alól lehet a rendszerparamétereket és telepítéseket elvégezni.
    • a saját azonosítónk, ami a mezei felhasználókkal megegyező, és bizonyos rendszerparaméterek, naplók olvasására alkalmas, hogy a napi munka során is felfigyelhessen az eseményekre, de cselekedni csak a rendszergazda jogosultsággal lehet
    • tartalék azonosító arra az esetre, ha a rendszergazdát is kitiltotta volna a sikeres támadó a belépésből, de a semmitmondó/megtévesztő 'gvest' azonosítóra (igen, nem u-val, hanem v-vel!) nem is figyel, pedig az abban különleges, hogy nem tagja egyetlen csoportnak sem, és a teljes fájlrendszer a saját tulajdona (owner), így az egyes hozzáférési jogokat is átállíthatja szükség esetén (ld. 'gvest' bejelentkezés után Explorer-ben jobb egér klikk a C:\ meghajtón állva, majd Properties / Security / Advanced / View/Edit ablak utolsó sora):
      Image
  3. információellenőrzés - a rendszer figyelése
    Nagyon hamar eljutunk oda, hogy az egyes finomhangoló beállítások illetve a rendszer különböző paraméterei meghatározzák de legalábbis befolyásolják a rendszer működését. Az esetek egyedivé válnak, és nem adható általános megoldás, ami mindenkinek megfelelő. Ezen a szinten jönnek képbe azok a diagnosztizáló alkalmazások, melyeket a szakembereknek vagy azzá válni akaróknak meg kell ismerni. Többféle forrásból is elérhetők ilyen alkalmazások, de óvatosan bánjunk az ismeretlen forrásból származó vagy az ellenőrizetlen alkalmazásokkal.
    Lehetőség szerint olyan megbízható helyről kell letölteni az ilyen érzékeny alkalmazásokat, hogy ellenőrizhessük is a mellékelt MD5 vagy más kódokat (hash, digitális aláírás, tanúsítvány).
    Szakmai körökben a legtöbbet ajánlott címek egyike a Sysinternals lapja, melyről a különböző operációs rendszerekhez tölthetünk le jelenleg többnyire ingyenes alkalmazásokat, és megfigyelhetjük rendszerünk működését.
    Az operációs rendszer saját eszköztárából a következőket használhatjuk:
    • netstat - milyen hálózati tevékenység folyik a gépen (ld. netstat /help)
    • ping - működik-e a megcélzott rendszer és milyen az adatelérés minősége
    • nslookup és tracert - adott IP cím vagy gépnév lekérdezése és a hozzá vezető útvonal lekérdezése; amennyiben létező cím, akkor ld. RIPE (Európa), ARIN (Amerika), APNIC (Ázsia), míg magyar címek esetén az ISZT Domain.hukeresőoldala ajánlható a tartományért felelős adatainak lekérdezésére (ld. nslookup majd help és exit a kilépés, illetve tracert -?)
    • ntsd - debugger, amikor ki kell deríteni például egy processzről (-p $PID) valami részletet (ld. ntsd -?)
    • a futó processzekről (feltéve, hogy nem a támadó nem manipulálta) a Task Manager ad információt (CTRL+ALT+DEL-re megjelenő ablakban a 'Task List...'-re kattintva). Az alkalmazás parancssorból a taskmgr paranccsal is meghívható (XP alatt a tasklist a parancssor ablakában jeleníti meg a választ is).
      Időzített processzek esetén a Unix-alapú rendszerekben megszokott at parancs ad segítséget (ld. at -?)
       
  4. vadászat - ha a támadók már a konyhában vannak...
    Minden megelőző intézkedés ellenére a támadók beférhetnek a rendszerbe. A laikus kikapcsolja a gépet, mert meg akarja előzni a nagyobb bajt, de tulajdonképpen nem tudja, mi az a nagyobb baj. A szakember megpróbál utánajárni, hogy kik a támadók, hogyan jöttek be, és mit akarhatnak. A szakembernek van mentése és a kényes adatokat kódolva tárolja, így nem sajnálja az éles rendszert, hogy megfigyelve a támadókat, a lehető legtöbbet tanuljon a betörésből. Ehhez van szüksége a diagnosztikai eszközökre, de legfőképpen a lehetőségre, hogy megtalálja a megfelelő információt. Amennyiben ez az adott rendszerben elrejtve szerepel (hidden processes, directories and files), mert a felfedéshez szükséges parancsok sem rendeltetésszerűen működnek, úgy a rendszeren kívül kell vizsgálódni. Ilyenkor kell lehetőség szerint egy másik operációs rendszer (nem más verzió, más típus!).
    A mai nagyméretű lemezek korában a partícionálás és a boot-menedzserek segítségével több különböző rendszer is telepíthető egy gépre, vagy akár több különböző lemezre is (pl. a kivehető rack-es merevlemez mentésnek is alkalmas). Amennyiben ez nem így történt, lehetőség van floppy-ról vagy CD-ről bootolni a rendszert és úgy vizsgálni a tartalmát. A vadászatban a naplók is segítségünkre lehetnek, ha nem módosították azokat.
     
  5. naplók - hasznos lehet, ha a valóságot mutatja
    Az amatőr behatolók szoktak nyomot hagyni maguk után, a profik nemhogy eltakarítják maguk után a nyomokat, de ráadásul ezt úgy teszik, hogy ne legyen szembetűnő (pl. hiányzik az utóbbi két hét minden bejegyzése...). Az biztos, hogy naplózás nélkül még azt sem vehetjük észre, hogy valaki módosította. Állítsuk be a naplózást, ha:
    • jól megfontoltuk, hogy mit szeretnénk naplózni, mert a személyes tűzfalak is beállíthatók akár minden esemény naplózására, de hamar nagyméretű szinte kezelhetetlen naplónk lesz, ami egy idő után több gondot okoz, mint hasznot (pl. szabad lemezterület elfoglalása)
    • időnként pillantást vetünk a naplókra, mert minek naplózni, ha nem figyeljük a naplóbejegyzéseket
  6. Nézzük meg, a beállításokat a Control Panel / Administrative tools / Local Security Policy (itt sokat elidőzhetnek a haladók...) / Local Policies / Audit Policy listában. Az események megtekintésében segítségünkre van az Event Viewer (ld. alapelvek 5. pont): Control Panel / Administrative Tools / Event Viewer (beállítások az Action menüpont alatt).
  7. Mit is mondhatunk mindezek után egy szakembernek? Add tovább mindazt, amit megtanultál (ne tilts, taníts!), és bővítsd a tudásodat, mert maholnap Neked kell tovább- vagy átírni ezeket az oldalakat!

Természetesen ezeken felül még nagyon sok olyan beállítás van, amit valamilyen indok miatt el kellene végezni, de nem szabad elriasztani sem azokat, akik elszánták magukat, hogy tesznek valamit a rendszerük biztonságáért. Aki ezek után is gyarapítani akarja tudását, az látogasson el az ajánlott irodalmakat felsoroló oldalakra.

Zárógondolatként egy kis elmélkednivaló...a guruk (az igazi profik, élettapasztalattal és bölcsességgel felvértezve) már arra is képesek, hogy mézesmadzag rendszereket telepítsenek fel a majdani behatoló munkájának megfigyelésére. A behatoló azt hiszi, hogy a rendszert feltörte, miközben megfigyelik minden tevékenységét, így tanulni is lehet tőle, de egyben a bizonyítékok is rendelkezésre állnak a későbbi jogi lépések esetére. A guruk arra is képesek, hogy feltörjenek egy rendszert, azon elhelyezzenek egy RootKit-nek nevezett álrendszert, mely nem mutat meg minden futó processzt, minden rendszerben létező felhasználót, fájlt és alkönyvtárt vagy éppen fizikai adatot (pl. lemez telítettségi adatok). Az informatikai biztonság legizgalmasabb mérkőzése két ilyen guru és rendszer találkozása...