Управление учетными записями служб и приложений
Службы — это исполняемые файлы, которые работают без вмешательства
пользователя и запускаются автоматически при загрузке операционной
системы. Поэтому службы и учетные записи служб часто не рассматриваются
как источники угрозы безопасности корпоративной сети. Даже когда такая
опасность принимается в расчет, управление учетными записями служб может
стать достаточно сложной проблемой, поскольку изменение одного пароля
может повлечь за собой необходимость смены нескольких других паролей во
избежание неполадок.
Хотя в операционной системе Windows Server 2003 используются службы и
учетные записи служб по умолчанию, которые защищены от угроз, многие
сторонние службы и даже дополнительные службы Microsoft требуют защиты,
поскольку для их правильной работы необходимы учетные записи служб. Это
требование особенно актуально для корпоративных средств управления,
например для сервера Microsoft Systems Management Server или программного
обеспечения IBM Tivoli, поскольку для их работы зачастую требуется учетная
запись, обладающая правами доступа ко всему домену и даже к другим доменам
с доверительными отношениями.
Кроме того, использование учетных записей домена для запуска служб все
еще является распространенным явлением, поскольку управлять службами через
домен проще, чем с отдельных серверов, несмотря на риски, связанные с
этим. Службы хранят сведения об используемой учетной записи пользователя и
пароле в реестре (как для локальных учетных записей, так и для учетных
записей домена). Таким образом, после проведения успешной атаки на один
компьютер эти данные можно использовать для повышения привилегий
злоумышленника, если эти службы используют учетные записи домена. Если
служба использует учетную запись администратора домена, такое развитие
событий представляет собой угрозу для всей сети.
Ситуации уязвимости учетной записи службы
Настройка служб на использование учетных записей домена для проверки
подлинности может представлять угрозу безопасности. Уровень риска зависит
от ряда факторов, включая перечисленные ниже.
• |
Количество серверов, службы которых используют учетные записи
служб. Уязвимость сети увеличивается с каждым новым сервером, на
котором запущены службы, использующие для проверки подлинности
учетные записи домена. Наличие каждого такого сервера увеличивает
вероятность того, что злоумышленник успешно атакует сервер и
использует его для повышения привилегий на другие ресурсы
сети. |
• |
Область действия привилегий любой учетной записи домена,
используемой службами. Чем большими привилегиями обладает
учетная запись службы, тем больше ресурсов может быть атаковано с ее
помощью. Особенно опасно использовать привилегии администратора
домена, поскольку областью уязвимости для таких учетных записей
являются все компьютеры сети, включая контроллеры домена. Поскольку
такие учетные записи обладают привилегиями администратора всех
рядовых серверов, успешная атака на такую учетную запись может
нанести значительный ущерб — опасности подвергнутся все имеющиеся в
домене компьютеры и данные. |
• |
Количество служб на сервере, использующих учетные записи
домена. У некоторых служб имеются свои уникальные уязвимости,
которые делают их более восприимчивыми к атакам. Злоумышленники
обычно пытаются сначала воспользоваться известными уязвимостями.
Использование уязвимой службой учетной записи домена создает
повышенную угрозу другим системам, тогда как в иной ситуации эта
угроза могла бы быть ограничена одним сервером. |
• |
Количество учетных записей домена, используемых для работы
служб в домене. При использовании учетных записей служб
наблюдение и управление безопасностью должно быть более тщательным,
чем в случае с обычными учетными записями пользователей, и каждая
дополнительная учетная запись домена, используемая службой,
усложняет администрирование этих учетных записей. Администраторы и
администраторы безопасности должны знать, где используется каждая
учетная запись службы, чтобы обнаружить подозрительную деятельность,
и это подчеркивает необходимость минимизации числа таких учетных
записей. |
Перечисленные факторы фигурируют в нескольких возможных ситуациях
уязвимости, каждая из которых представляет различный уровень потенциальной
угрозы безопасности. Эти ситуации изображены на схеме и таблице ниже.
Приведенные ниже примеры основаны на предположении, что учетные записи
служб являются учетными записями домена, и каждая учетная запись
используется для проверки подлинности хотя бы одной службой на каждом
сервере. Далее описываются учетные записи домена, изображенные на
следующем рисунке.
• |
Учетная запись A обладает привилегиями администратора нескольких
контроллеров домена. |
• |
Учетная запись B обладает привилегиями администратора всех
рядовых серверов. |
• |
Учетная запись C обладает привилегиями администратора серверов 2
и 3. |
• |
Учетная запись D обладает привилегиями администратора серверов 4
и 5. |
• |
Учетная запись E обладает привилегиями администратора только
одного рядового сервера.
|
В следующей таблице описываются ситуации, изображенные и описанные
выше, и оценивается их степень уязвимости.
Таблица 2. Оценка ситуаций уязвимости
1 |
Учетная запись A используется службой сервера 1. После атаки на
сервер 1, злоумышленник получает данные проверки подлинности учетной
записи A. После этого злоумышленник получает доступ к контроллеру
домена DC1, с которого доступны все ресурсы домена и все
содержащиеся в них данные.
Такая ситуация представляет собой высший уровень риска. Учетные
записи домена с привилегиями администратора домена или контроллера
домена ни в коме случае не должны использоваться для запуска служб
на рядовом сервере. |
критический |
2 |
Учетная запись B используется службой сервера 2. Учетная запись B
обладает правами доступа на сервер 1, на котором для работы службы
используется учетная запись A. После проведения атаки на учетную
запись B на сервере 2 злоумышленник получает такой же доступ, что и
в ситуации 1, а значит, контроллер домена и весь домен оказываются
под угрозой атаки.
Учетная запись C создает такой же уровень риска для сети,
поскольку ее можно использовать для атаки сервера 2 с сервера 3, что
может дать злоумышленнику контроль над учетной записью A, с помощью
которой будет получен доступ ко всему домену.
Это ситуации с высокой степенью риска, но их можно избежать, если
устранить потенциальные угрозы, описанные в ситуации 1. |
Высокий |
3 |
Учетная запись D используется службой сервера 4
и сервера 5. При успешной атаке на учетную запись D
злоумышленник получит доступ ко всем серверам, привилегиями на
которые обладает учетная запись D. Если службы этих серверов не
используют учетные записи с более высокими привилегиями или более
широкой областью действия привилегий, такая ситуация представляет
собой умеренный риск ввиду отсутствия переходящей уязвимости, как в
ситуации 2. |
Умеренно надежный |
4 |
Учетная запись E используется службой одного
сервера 5 и не обладает другими привилегиями или связями со
службами. Такая ситуация представляет собой низкий уровень
опасности, поскольку отсутствует возможность повышения привилегий за
пределы одного сервера. |
Низкий |
Уровни риска в описанных выше ситуациях лучше всего характеризуются
следующим образом.
• |
Критический уровень риска. Безопасность всей сети или
компании оказывается под прямой угрозой. |
• |
Высокий уровень риска. Возможна угроза безопасности всей
сети, но не такая непосредственная как в случае критического уровня
риска. |
• |
Умеренный уровень риска. Опасности могут подвергаться
несколько серверов, но важный сервер остается в безопасности. Такие
ситуации также важно устранять. |
• |
Низкий уровень риска. Может быть атакован отдельный
сервер, но важные серверы не подвергаются
опасности. |
Системные учетные записи
Службам нужны учетные записи для доступа к ресурсам и объектам,
управляемые операционной системой, под управлением которой они работают.
Если учетная запись, используемая службой, не обладает достаточными
привилегиями для входа в систему, оснастка «Службы» консоли управления
(MMC) автоматически предоставляет этой учетной записи необходимое
разрешение «Вход в качестве службы» на управляемом компьютере.
Windows Server 2003 содержит три следующих встроенных учетных записи,
которые используются как учетные записи для входа в систему для различных
системных служб.
• |
Локальная система. Учетная запись локального компьютера,
которая отображается как DOMAIN\$ в
сети и как NT AUTHORITY\System на локальном компьютере, является
встроенной локальной учетной записью, которая может запускать службы
и предоставлять им контекст безопасности. Данная учетная запись
обладает полным доступом к локальному компьютеру, включая службы
каталогов при использовании в контроллерах домена. Хотя некоторые
службы Windows Server 2003 по умолчанию используют эту учетную
запись, ее не следует использовать, поскольку она представляет
значительную угрозу, особенно в случае с контроллерами
домена. |
• |
Локальная служба. Учетная запись локальной службы (NT
AUTHORITY\LocalService) является встроенной учетной записью, которая
обладает ограниченными привилегиями, аналогичными учетной записи
локального пользователя. Такой ограниченный доступ является мерой
защиты на случай успешной атаки на службу или использующий ее
процесс. Службы, запускаемые с учетной записью локальной службы,
работают с сетевыми ресурсами, используя пустой сеанс (анонимные
учетные данные). |
• |
Сетевая служба. Учетная запись сетевой службы (NT
AUTHORITY\NetworkService) является встроенной учетной службой, также
обладающей ограниченными привилегиями, подобно учетной записи
локальной службы. Однако вместо анонимных учетных данных службы и
процессы, использующие эту учетную запись, работают с сетевыми
ресурсами через учетные данные учетной записи
компьютера. |
Примечание. Изменение стандартных параметров
службы может привести к неправильной работе важных служб. Следует с
осторожностью подходить к изменению параметров Тип запуска и
Вход в систему служб, которые по умолчанию запускаются
автоматически.
Стандартные параметры безопасности служб Windows Server 2003
До выхода Windows XP и Windows Server 2003 почти все службы, созданные
операционной системой, по умолчанию использовали учетную запись локального
компьютера. Это создавало явную угрозу безопасности, поскольку такие
службы обладали неограниченными правами на локальный компьютер. При
разработке Windows Server 2003 параметры по умолчанию были изменены для
улучшения внутренней безопасности операционной системы. В результате
многие службы теперь по умолчанию используют учетные записи локальной или
сетевой службы, которые представляют меньшую угрозу.
Некоторые службы, например автоматическое обновление, обозреватель
компьютеров, служба сообщений и установщик Windows, все же требуют
использования учетной записи локального компьютера. Службы, использующие
для проверки подлинности учетную запись локального компьютера, не следует
переводить на использование других учетных записей. Это может привести к
возникновению серьезных проблем, вплоть до неправильной работы служб.
В следующей таблице приводятся учетные записи служб, которые более не
используют учетную запись локального компьютера в Windows Server 2003, а
также тип учетной записи, используемый теперь:
Таблица 3. Новые параметры учетных записей служб в Windows Server
2003
Alerter |
Локальная служба. |
Служба шлюза уровня приложения |
Локальная служба. |
Служба удаленного реестра |
Локальная служба. |
Смарт-карта |
Локальная служба. |
Служба поддержки TCP/IP NetBIOS |
Локальная служба. |
Служба Telnet |
Локальная служба. |
Источник бесперебойного питания |
Локальная служба. |
WebClient |
Локальная служба. |
Служба загрузки изображений |
Локальная служба. |
Служба времени Windows |
Локальная служба. |
Служба авто-обнаружения веб-прокси
WinHTTP |
Локальная служба. |
Клиент DHCP |
Сетевая служба. |
Координатор распределенных транзакций |
Сетевая служба. |
DNS-клиент |
Сетевая служба. |
Учет лицензий |
Сетевая служба. |
Служба журналов производительности |
Сетевая служба. |
Локатор удаленного вызова процедур (RPC) |
Сетевая служба. |
Разработка
Для разработки плана по обеспечению безопасности административных и
важных учетных записей, важно понимать основные элементы, на которых
базируются все рекомендации. Все действия по обеспечению безопасности
учетных записей и основаны на одних и тех же базовых принципах, а эти
принципы в свою очередь являются частью всех рекомендуемых процедур и
процессов. В данном разделе приводится обзор этих принципов и основных
соображений.
Управление важными учетными записями и учетными записями
администраторов
Рекомендации по обеспечению безопасности учетных записей
администраторов в Windows Server 2003 основываются на применении принципа
предоставления наименьших привилегий и использовании подхода ограниченной
учетной записи. Первым шагом в этом процессе является достижение полного
понимания имеющейся среды. Следующие три основных принципа являются ключом
к разработке эффективного плана повышения безопасности важных учетных
записей и учетных записей администратора.
• |
Анализ и документирование среды. |
• |
Использование принципа предоставления наименьших
привилегий. |
• |
Использование принципа учетной записи с минимальными
полномочиями. |
Анализ и документирование среды
Будучи очевидным, этот первый и самый важный шаг к усилению
безопасности учетных записей с правами администратора иногда может быть
самым сложным. Если компания не ограничивала и не документировала
использование привилегий администратора, будет достаточно трудно
определить, какие учетные записи обладают привилегиями администратора,
особенно, когда речь идет о локальных учетных записях.
В случае учетных записей с правами администратора и других важных
учетных записей анализ и документирование сетевой среды предполагает
ответы на вопросы «Кто?», «Почему?», «Какие?» и «Где?». То есть,
кто имеет право на использование учетных записей администраторов,
почему эти пользователи имеют доступ к учетным записям
администраторов, какие задачи соответствуют использованию учетных
данных администратора и где можно безопасно использовать эти
учетные данные.
Важнейшим аспектом документирования этих сведений является организация
процессов и процедур, которые проверяют, где используются учетные записи
администраторов, зачем они используются, кто их использует, и что сделано
во время из использования. Лучше всего собирать эти данные заранее, в
рамках процессов подготовки к работе, управления изменениями и управления
инцидентами, требующих санкционирования и внесения в журнал всех действий
по выполнению задачи. Такие процессы позволяют скрупулезно проверять
использование привилегий администратора, что облегчает обнаружение
подозрительных действий.
Как будет показано далее, анализ и документирование сетевой среды
является наиболее важным этапом повышения безопасности важных учетных
записей. Организация рекомендуемых процессов и процедур использования и
выдачи важных учетных записей является основной частью такого процесса и
должна быть выполнена до реализации любых других рекомендаций,
содержащихся в данном документе.
Использование принципа предоставления наименьших привилегий
Использование принципа предоставления наименьших привилегий является,
пожалуй, самым значительным шагом, который может сделать компания для
повышения безопасности сетевой среды. Хотя предоставление привилегий
администратора чаще всего является наиболее простым и быстрым способом
разрешения сложных проблем, связанных с привилегиями и правами доступа, он
также и самый рискованный. И хотя системным администраторам легче
постоянно использовать учетную запись с привилегиями администратора, это
повышает уязвимость сети, за которую они ответственны.
Самая простая реализация такого принципа звучит следующим образом:
привилегии администратора должны использоваться только уполномоченным
персоналом и только если выполняемая задача требует наличия таких
привилегий. Реализация такой концепции может показаться обременительной,
однако компании, не использующие этот принцип, подвергаются слишком
большому риску, игнорировать который невозможно.
В то же время использование этого принципа снижает уровень риска,
связанный с большинством наиболее часто встречающихся уязвимостей. Ниже
приведено несколько примеров таких уязвимостей.
• |
Руткит, работающий в режиме ядра. |
• |
Клавиатурные шпионы системного уровня. |
• |
Попытки перехвата пароля. |
• |
Нарушения, связанные с программами-шпионами и программами для
показа рекламы. |
• |
Несанкционированный доступ к данным. |
• |
Установка троянских программ. |
• |
Манипуляции с журналом событий. |
При ограничении использования учетных записей администратора также
снижается и возможность использования повышенных привилегий этих учетных
записей для злонамеренных действий, а значит, повышается безопасность
сети. Кроме того, ликвидация возможности внесения серьезных изменений в
операционную систему ограничивает и возможность установки и запуска
вредоносных программ и программ-шпионов. В силу этих причин использование
принципа предоставления наименьших привилегий весьма сильно влияет на
безопасность сети.
Использование принципа учетной записи с минимальными полномочиями
Во многих компаниях пользователи обладают привилегиями администратора
на собственные компьютеры, особенно на портативные. И хотя на
предоставление таких всеобъемлющих привилегий могут быть веские причины,
это чревато большим риском для компании.
Использование принципа учетной записи с минимальными полномочиями
основано на рекомендациях, позволяющих компаниям использовать учетные
записи, не имеющие прав администраторов, для компьютеров, работающих под
управлением Windows XP. Результатом этих рекомендаций является
практическое применение принципа предоставления наименьших привилегий в
отношении клиентских устройств Windows XP.
Поскольку в данном документе подробно рассматриваются вопросы,
связанные с учетными записями администраторов, и уделяется много внимания
сетевым привилегиям, также важно рассмотреть разветвление локальных
учетных записей пользователей на рабочих станциях. Хотя подробное
рассмотрение этого выходит за рамки данного документа, дополнительные
сведения о принципе предоставления наименьших привилегий можно найти на
веб-узле корпорации Майкрософт. Дополнительные сведения см. в документе «Использование принципа предоставления наименьших привилегий
учетным записям пользователей в Windows XP» (эта ссылка может указывать
на содержимое полностью или частично на английском языке) или в статье «Использование учетной записи пользователя с минимальными
привилегиями» (эта
ссылка может указывать на содержимое полностью или частично на английском
языке).