УТИЛИТЫ БЕЗОПАСНОСТИ в Windows 2000 Server Resource Kit

Обладатели Microsoft Windows 2000 Server Resource Kit обнаружат в наборе привычное разнообразие дополнительных утилит в сопровождении соответствующей документации. Особенно ценным приобретением Resource Kit окажется для администраторов, предъявляющих повышенные требования к системе безопасности. Я расскажу лишь о 10 из множества инструментов, чьи достоинства вполне оправдывают стоимость Resource Kit (300 долларов). Попутно будут отмечены и некоторые ошибки и недостатки, о которых следует знать. Не путайте Windows 2000 Server Resource Kit с набором Microsoft Windows 2000 Professional Resource Kit, который представляет собой лишь подмножество первого.

Утилита CLA для анализа журналов безопасности

Обнаружив в наборе Win-dows 2000 Server утилиту CyberSafe Log Analyst (CLA), я сначала не поверил своим глазам. CLA – подключаемый модуль консоли управления Microsoft Management Con-sole (MMC), с помощью которого можно анализировать журналы безопасности, разбросанные по машинам домена, как единое целое. CLA располагает одиннадцатью заранее подготовленными шаблонами отчетов о функционировании системы защиты, но администратор может составлять и собственные. Чтобы воспользоваться утилитой CLA, необходимо сначала запустить программу setup.exe из каталога appsloganalyst на компакт-диске с Resource Kit. Затем можно открыть CLA с помощью нового пункта в меню Administrative Tools.

Работа с CLA состоит из трех этапов. Во-первых, необходимо указать утилите журналы событий, которые следует анализировать. Чтобы проверить CLA, можно открыть текущий журнал событий локальной системы, щелкнув правой кнопкой мыши на Logs to be Analyzed и выбрав пункт Cut Live Local Event Log. Если нужно составить общие отчеты об операциях нескольких машин, то сначала следует сохранить журнал событий каждой машины в файле .evt с помощью программы Event Viewer. Или воспользоваться утилитой вывода журналов событий. [Подробнее об этих утилитах рассказано в статье «Инструменты для работы с журналами безопасности», Windows 2000 Maga-zine/RE, №6 (9) 2000 – прим. ред.] Сохранив журналы, их следует передать в CLA, выбрав пункт Add Event Log File из контекстного меню Logs to be Analyzed. Во-вторых, необходимо дать CLA команду проанализировать журналы, выбрав функцию Analyze из контекстного меню Logs to be Analyzed. В результате все выбранные журналы будут импортированы в собственный формат CLA, предназначенный для составления отчетов. В-третьих, нужно выбрать шаблон из папки Report Templates и генерировать отчет. На Экране 1 показаны имеющиеся в распоряжении администратора заранее подготовленные шаблоны отчетов.

Экран 1. Выбор отчетов CLA из папки Report Templates.

CLA восполняет пробел в функциях мониторинга безопасности Windows 2000. Программа не только генерирует сложные отчеты (например, о неудачных попытках регистрации), но и дает общую картину работы всей сети в масштабах предприятия – вместо того, чтобы каждый раз составлять отчет об операциях лишь для одной машины.

Утилита DSStore для работы с PKI

Directory Services Store (DSStore) – управляемая с помощью командной строки универсальная утилита для диагностики и обслуживания инфраструктуры открытых ключей public key infrastructure (PKI) Windows 2000, интегрированной с Active Directory (AD). Данный инструмент не пригодится вовсе, если не использовать для работы с PKI в Windows 2000 корневой центр сертификации предприятия, Enterprise Root Certificate Authority (CA). Но в противном случае значение этой утилиты трудно переоценить. DSStore – часть компонента Se-curity Tools из комплекта Resource Kit.

Большинство задач PKI можно решить из встраиваемого модуля MMC Active Directory Users and Computers и модуля MMC Certifi-cate Services, но некоторые операции из MMC выполнить нельзя. С помощью DSStore можно составлять списки, добавлять и удалять корневые центры сертификации предприятия и вести в AD списки аннулированных сертификатов certificate revocation list (CRL). Кроме того, DSStore позволяет добавлять центры сертификации Windows 2000 или автономные CA для поддержки инфраструктуры PKI, созданной в AD предприятия.

Windows 2000 автоматически заносит сертифицированных пользователей и компьютеры в список при первом выполнении ими операции, требующей сертификата. Однако в больших сетях эта процедура может оказаться очень длительной. Чтобы ускорить процесс, DSStore инициирует события автоматического зачисления в список, заранее внося туда пользователей с соответствующими сертификатами. Можно также проверить статус сертификатов контроллера домена (DC) и достоверность смарт-карт. Более подробная информация о DSStore содержится в документе Tools Help в Resource Kit.

Управление EFS с помощью EFSinfo

Файловая система с шифрованием Encrypting File System (EFS) – новая функция Windows 2000, которая позволяет защищать конфиденциальные файлы даже в том случае, если кто-то получит физический доступ к диску. В то же время вся процедура шифрования остается незаметной для пользователя.

Благодаря EFS пользователь любого файла или целого каталога может объявить их зашифрованными. Чтобы зашифровать каталог, достаточно открыть меню Properties, щелкнуть на кнопке Advanced, а затем отметить флажок Encrypt contents to secure data. После шифрования каталога файлами можно пользоваться как обычно. Когда прикладная программа записывает или читает данные, Windows 2000 автоматически шифрует и расшифровывает их в памяти.

Windows 2000 также обеспечивает работу агентов восстановления, с помощью которых можно получить доступ к данным, зашифрованным пользователем. Назначить агентов восстановления для компьютеров можно с помощью групповых политик. Если файл зашифрован пользователем с применением EFS, то доступ к файлу будут иметь только агенты восстановления данных, указанные в Group Policy. Поэтому администраторы серверов вполне могут обнаружить файлы, которые невозможно прочитать.

Как быть, если администратору сервера нужно восстановить данные, но он не может определить, кем был зашифрован файл? Это проблему поможет решить утилита командной строки EFSinfo, устанавливаемая вместе с компонентом Security Tools из Resource Kit. EFSinfo отображает информацию о шифровании определенного каталога или файла. Если путь не указан, то EFSinfo покажет информацию о шифровании каждого файла в текущем каталоге.

Если ввести команду EFSinfo /u можно узнать, зашифрован ли файл и кто может расшифровать его (т. е. кем он был зашифрован). Чтобы показать уполномоченных агентов восстановления файла, следует использовать ключ /r. В приведенном ниже примере файл secret formula.txt был зашифрован администратором, который одновременно играет роль агента восстановления данных для данной системы.

D:confidential>efsinfo /r «secret formula.txt» D:confidential secret formula.txt: Encrypted Recovery Agents: MTGAdministrator (OU=EFS File Encryption Certificate, L=EFS, CN=Administrator)

Управление групповой политикой с помощью GPresult

Групповые политики Win-dows 2000 позволяют централизованно управлять конфигурацией системы и пользовательскими профилями. Однако иногда бывает трудно выяснить, как именно Windows 2000 применяет групповую политику к данной машине или пользователю. Конфигурация машины может быть сформирована в результате действия многих объектов групповой политики Group Policy Object (GPO), определенных на уровне локальной машины, сайта, домена и организационной единицы (or-ganizational unit, OU).

Решить эту проблему поможет утилита командной строки GPresult, устанавливаемая как часть компонента Network Management Tools набора Resource Kit. Отчеты GPresult слишком длинны, чтобы привести их в данной статье, – программа выдает подробную диагностическую информацию о том, как Windows 2000 применяет групповую политику к текущему компьютеру или пользователю. GPresult сообщает номер версии Windows 2000 (например, Windows 2000 Professional, Windows 2000 Server), имена членов группы, полномочия, дату и время последнего применения групповой политики, каким контроллером домена (DC) предоставлены объекты GPO, и самое главное – какие GPO были взяты Windows 2000 из AD.

Поиск слабых мест с использованием System Scanner

Я был очень удивлен, обнаружив в Resource Kit утилиту System Scanner 1.1 производства компании Internet Security Systems (ISS). ISS – одна из ведущих фирм, выпускающих анализаторы безопасности. System Scanner представляет собой инструмент для поиска уязвимых мест компьютера, используемый также в качестве средства оценки правил. Хотя версия 1.1, несомненно, на несколько ступеней ниже текущей версии 4.0, утилита прекрасно справляется с обнаружением известных пробелов в защите рабочих станций и серверов при доступе из Internet. Еще важнее, что в System Scanner предусмотрено несколько вариантов проверки по правилам и проверки базовой конфигурации, первоначально предназначенных для Windows NT, но с равным успехом применяемых и для Windows 2000.

Программа System Scanner проверяет уязвимые места браузера, гарантирует корректность конфигурации антивирусной защиты и отслеживает подозрительные настройки в Microsoft Office. Обследуя Web-серверы, Sys-tem Scanner проверяет известные прорехи в Microsoft IIS, такие, как имена файлов формата 8.3, серверные встраиваемые модули и индексированные страницы ASP. Кроме того, System Scanner сообщает о возможной опасности. Например, запустив утилиту на тестовой машине, я получил предупреждение: «Microsoft Office установлен на Web-сервере». Далее в сообщении говорилось: «Не следует устанавливать Office на специализированном рабочем Web-сервере. Office содержит множество уязвимых объектов DCOM, которые могут быть использованы в сценариях и позволят взломщикам вывести Web-сервер из строя». System Scanner находит такие мало известные уязвимые места NT, как слишком широкие полномочия на доступ раздела реестра Winlogon и Run; позволяет оценить правильность установки таких элементов политик, как пароль, блокировка учетной записи и аудит.

Основная, на мой взгляд, функция System Scanner – возможность проверки базовой конфигурации, позволяющая обнаруживать изменения в системе. System Scanner делает «снимок» (определяет базовую конфигурацию) системы. Во время последующих проверок инструмент сравнивает текущую системную конфигурацию с базовой и сообщает о любых изменениях. Базовую конфигурацию можно изменить в любое время, узаконив тем самым корректные изменения.

Экран 3. Специальная политика поиска для обнаружения изменений информационного наполнения и полномочий.

Для проверки значений реестра, параметров аудита разделов реестра, прав собственности и полномочий можно создать базовые конфигурации реестра. Для отслеживания изменений в данных, хранящихся в файлах, и проверки параметров, атрибутов, прав собственности и полномочий можно создать базовые конфигурации файловой системы. На Экране 3 показана специальная политика для поиска изменений информационного наполнения и полномочий. Распознать новые, несанкционированные службы и подозрительные процессы можно с помощью базовых конфигураций служб и процессов. Базовые конфигурации процессов также позволяют узнать, какие программы и команды выполняются при запуске машины и в процессе регистрации. С помощью базовых конфигураций можно отслеживать принадлежность пользователя к группам, параметры регистрации пользователя, его настройки для службы удаленного доступа RAS и назначение прав. Можно даже создать общие базовые конфигурации для обнаружения новых совместно используемых каталогов или изменений в правилах предоставления доступа к ресурсам.

Экран 4. System Scanner составляет список слабых мест.

Чтобы воспользоваться утилитой System Scanner, следует запустить программу setup.exe из каталога appssystemscanner на компакт-диске с resource kit, затем открыть System Scanner и выбрать пункт FileScan Now. Подобрав подходящие политики, щелкните OK. Политиками определяется, какие из вышеупомянутых проверок нужно выполнять в зависимости от типа системы. System Scanner составляет список обнаруженных уязвимых мест, как показано на Экране 4. После завершения операции все данные сохраняются в базе данных истории проверок, на основе которой можно составлять отчеты, анализируя результаты, полученные в разное время. В простом отчете Vulnerability Report перечислены все слабые места, обнаруженные System Scanner в ходе одной проверки. Каждый отчет Vulnerability Report содержит рекомендации по устранению проблем. Можно составить отчет Service Report, в котором перечислены хорошо известные службы Internet, запущенные в системе во время проверки. Количественно оценить прогресс в обеспечении защиты системы поможет отчет Trends Report, в котором сравниваются уязвимые места, обнаруженные утилитой System Scanner во время двух или нескольких избранных проверок. В отчете Differential Report сравниваются итоги двух проверок и отображаются слабые места, обнаруженные в ходе первой проверки, в ходе второй проверки или общие для двух прогонов теста.

System Scanner – мощное средство тестирования систем Windows 2000 и NT. Однако версия 1.1 явно не предназначалась специально для Windows 2000, поэтому работа программы имеет некоторые недостатки. Так, System Scanner не отыскивает все открытые порты TCP/IP, обычно используемые в Windows 2000 контроллерами домена, например порты для Common Internet File System (CIFS). Приходится создавать специальную политику для проверки дополнительных портов. Кроме того, System Scan-ner 1.1 не распознает все базовые службы (например, Kerberos, DFS), обычно устанавливаемые на системах Windows 2000, а некоторые службы NT получили в Windows 2000 новые имена. Поэтому вошедшая в состав Resource Kit версия System Scanner генерирует больше сообщений о «неизвестных службах», чем следовало бы. Тем не менее я полагаю, что бесплатная версия из Resource Kit вполне устроит тех пользователей, которым кажется слишком высокой цена System Scanner 4.0.

Защита IIS Web Server с использованием Security Templates

В наборе Resource Kit появились два новых шаблона безопасности для защиты Web-серверов intranet и Internet с помощью Security Configuration and Analysis Tool. Этот инструмент позволяет определить почти любой аспект конфигурации защиты Windows 2000 в файле шаблона с расширением .inf. С помощью встраиваемого модуля консоли управления можно создавать различные шаблоны для каждого типа машины, от рабочей станции до сервера. Затем шаблон можно применить к системе, защитив ее в один прием. В результате также достигается единообразие мер защиты многочисленных Web-серверов.

Вместе с Windows 2000 поставляются заранее подготовленные шаблоны, рассчитанные на различные типы рабочих станций, одиночные серверы и контроллеры домена плюс варианты каждого типа для разных уровней защиты. Однако разработчики Microsoft не предложили ни одного шаблона специально для Web-серверов.

В Resource Kit появились файлы secureintranetwebserver.inf и secure-internetwebserver.inf для обоих типов Web-серверов. Первоначально я обрадовался, обнаружив эти шаблоны, однако мой энтузиазм пошел на убыль, когда выяснилось, какие именно политики указаны в каждом из них. К сожалению, возможности шаблонов в основном сводятся к заданию произвольного пароля и правил аудита. Они всего лишь защищают кое-какие файлы в каталоге system32 и меняют некоторые права. С помощью этих шаблонов трудно, если вообще возможно, укрепить защиту или установить блокировки, специфические для Web-серверов (например, отключить службы, ограничить доступ пользователей браузеров к серверным службам). В документации говорится, что Microsoft позиционирует эти шаблоны в качестве отправной точки для самостоятельного построения защиты IIS.