Системный планировщик как еще одна потенциальная угроза безопасности

Редактирование реестра

Использование оснастки ММС Local Security Policy

Ограничение анонимного доступа к компьютеру

Компьютер Windows Server можно сконфигурировать таким образом, чтобы предотвратить доступ анонимно регистрирующихся пользователей ко всем ресурсам, за исключением тех, доступ к которым был предоставлен таким пользователям явным образом. Это можно сделать как с помощью оснастки ММС Local Security Policy, так и с помощью редактирования реестра.

1. Выполните команды Programs | Administrative Tools | Local Security Policy меню Start.

2. Выберите опции Security Settings \ Local Policies \ Security Options.

В правой части окна выполните двойной щелчок мышью на опции Additional restrictions for anonymous connections и в раскрывшемся окне установите опцию No access without explicit anonymous permissions under Local policy setting (рис. 9.7)

Вызовите редактор реестра Regedt32.exe, найдите ключ HKEY_LOCAL_ MACHlNE\SYSTEM\CurrentControlSet\Control\LSA, и создайте параметр RestrictAnonymous с типом данных REG_DWORD. Установите для этого па­раметра значение 0x2 (Hex).

Если параметр RestrictAnonymous имеет такое значение, то маркер доступа (access token) для неаутентифицированных пользователей не включает в свой состав группу Everyone, и доступ к ресурсам, по умолчанию предостав­ляемым группе Everyone, будет отклонен.

Примечание

Microsoft официально рекомендует тщательно проанализировать преимущества, предоставляемые этой настройкой с точки зрения безопасности по сравнению с возможными проблемами, которые могут быть вызваны такт ограничением прав анонимного пользователя. Причина заключается в том что некоторые сервисы Windows Server и прикладные программы зависят с возможностей анонимного пользователя. В частности, не рекомендуете устанавливать это значение в смешанных сетевых средах, включающих только компьютеры Windows Server, Устанавливать значек 0x2 для параметра RestrictAnonymous рекомендуется только в сетях Windows Server и только после тщательного тестирования, которое не выявит нарушений в работе сервисов и прикладных программ.

Стандартный шаблон безопасности High Secure включает это ограничение, поэтому его применение может также вызвать нежелательные проблемы

Системный планировщик (Task Scheduler), который имеется на каж компьютере Windows NT/2000, можно использовать для запуска некото] средств ММС или других программ на компьютере пользователя в кони сте учетной записи SYSTEM. Эта учетная запись имеется во всех систе Windows NT/2000, но ее наличие не афишируется (по крайней мере, вь увидите ее ни в утилитах User Manager и User Manager for Domains, yn ляюших созданием учетных записей пользователей Windows NT, ни в оси ках ММС, выполняющих ту же задачу в Windows Server). Это позволяет ai нистратору дать обычному пользователю однократную возможность вы нить некоторые задачи по администрированию его клиентского компьк без предоставления ему прав выполнения других административных зад:

Например, чтобы дать пользователю возможность запустить оснастку Disk Management, можно дать следующую команду at <\\machine_name> 1:00pm /interactive %SystemRoot%\system32\diskmgmt.msc где <\\machine_name> — ИМЯ компьютера.

Тем не менее, эта возможность представляет потенциальную угрозу для безопасности системы, поскольку системный планировщик по умолчанию использует права учетной записи SYSTEM, и поэтому любая программа, запущенная таким образом, будет иметь полный набор системных приви­легий, включая доступ к базе данных SAM.

Чтобы защититься от данной опасности, можно или заблокировать сервис Task Scheduler (но это не всегда возможно, поскольку этот сервис может быть нужен для запуска других заданий), или сконфигурировать его таким образом, чтобы сервис работал от имени учетной записи пользователя.

Дата добавления: 2014-10-23; Просмотров: 378; Нарушение авторских прав?; Мы поможем в написании вашей работы!