Ограничение возможности расширения полномочий при осуществлении локального доступа

Несанкционированное повышение полномочий пользователей до уровня администратора возможно в ОС Windows Server 2003 благодаря существова- нию уязвимостей в реализации некоторых служб. Основным способом атаки является запуск рядовым пользователем утилиты, использующей ту или иную уязвимость в реализации ОС. Так, известны утилиты PipeUpAdmin, netddemsg, getadmin, позволяющие рядовому пользователю ОС Windows 2000 Server до- бавить свою учетную запись в состав группы администраторов. В настоящее время в реализации ОС Windows Server 2003 эти уязвимости закрыты и на- званные утилиты не функционируют. Однако в связи с невозможностью про- гнозирования выявления новых уязвимостей в ОС должны быть предприняты меры по защите от воздействия подобных утилит. Заметим, что предполагае- мая в схеме защиты конфигурация предусматривает единственно возможный узел — сервер терминального доступа, в котором могут использоваться внеш- ние  носители (дисководы, CD-ROM-приводы, USB-порты). Администратор системы, единственный из всех пользователей имеющий право локальной ре- гистрации, перед помещением съемного носителя в накопитель должен убе-

диться в отсутствии на нем опасных программ, позволяющих атаковать сис-

тему.

Необходимо  использовать  меры  по  организации  для  пользователей замкнутой  программной  среды,  исключающей  запуск  любых  приложений, кроме приложений, обеспечивающих работу с защищаемыми данными:

?    удаление потенциально опасных исполняемых файлов;

?    установка NTFS-разрешений, запрещающих пользователям терминаль- ного сервера запуск потенциально опасных приложений, необходимых для работы администратора, которые невозможно удалить;

?    применение списков программ, доступных для запуска пользователям терминального сервера.

6.3. Настройки сервера MSTS

Настройки сервера MSTS включают в себя настройки политики безо- пасности ОС Windows Server 2003. Основная задача, решаемая данными на- стройками, состоит в разрешении возможности доступа к ресурсам терми- нального сервера только для учетных записей, зарегистрированных в создан- ной по умолчанию группе «Remote Desktop Users». Кроме того, применяются дополнительные меры по запрету терминального доступа для администратора и  пользователей, входящих в состав группы Administrators. Эти меры требу- ются для защиты учетных записей администраторов от подбора: даже при из- вестном пароле администратора зарегистрироваться с данной учетной запи- сью будет невозможно.

По умолчанию параметр политики безопасности «Allow log on through Terminal Server» (раздел «Назначение прав пользователя» оснастки «Локаль- ная  политика безопасности») разрешает терминальный доступ для  группы

Administrators. Необходимо исключить из перечня учетных записей, имеющих данную привилегию, все  группы  за  исключением «Remote Desktop Users» (рис. 6.12).

Параметр политики безопасности «Deny log on through Terminal Server» (раздел «Назначение прав пользователя» оснастки «Локальная политика безо- пасности») по умолчанию не установлен. Необходимо установить специаль-

ный запрет терминального доступа для группы Administrators, а также для ос- тальных учетных записей, имеющих права администратора, добавив в пере- чень требуемые учетные записи (рис. 6.13).

Все учетные записи, которые предназначены для терминального досту- па, должны быть включены в состав группы «Remote Desktop Users», участие этих учетных записей в составе иных групп должно быть исключено (рис.

6.14).

Для сервера (свойства объекта «Мой компьютер», раздел «Remote») не- обходимо установить возможность терминального доступа (включить пара- метр «Enable Remote Desktop on this computer»).

Рис. 6.12.  Установка права терминального доступа

Рис. 6.13.  Установка специального запрета терминального доступа для учетной записи Администратор

Рис. 6.14.  Добавление пользователей терминального доступа в группу «Remote Desktop Users»

Источник: Андрончик А. Н., Богданов В. В., Домуховский Н. А., Коллеров А. С., Синадский Н. И., Хорьков Д. А., Щербаков М. Ю., Защита информации в компьютерных сетях. Практический курс

Похожие посты:

Вы можете оставить комментарий, или ссылку на Ваш сайт.

Оставить комментарий