Обмеження можливості розширення повноважень при здійсненні локального доступу

Несанкціоноване підвищення повноважень користувачів до рівня адміністратора можливо в ОС Windows Server 2003 завдяки существова-нию вразливостей в реалізації деяких служб Основним способом атаки є запуск рядовим користувачем утиліти, що використовує ту чи іншу уразливість в реалізації ОС Так, відомі утиліти PipeUpAdmin, netddemsg, getadmin, що дозволяють пересічному користувачеві ОС Windows 2000 Server до-бавить свою обліковий запис до складу групи адміністраторів В даний час в реалізації ОС Windows Server 2003 ці уразливості закриті і на-кликані утиліти не функціонують Однак в звязку з неможливістю про-прогнозування виявлення нових вразливостей в ОС повинні бути вжиті заходи щодо захисту від впливу подібних утиліт Зауважимо, що передбачувана-травня в схемі захисту конфігурація передбачає єдино можливий вузол – сервер термінального доступу, в якому можуть використовуватися зовн-ня носії (дисководи, CD-ROM-приводи, USB-порти) Адміністратор системи, єдиний з усіх користувачів має право локальної ре-єстрації, перед приміщенням знімного носія в накопичувач повинен переконатися-

диться у відсутності на ньому небезпечних програм, що дозволяють атакувати сис-

тему

Необхідно використовувати заходи з організації для користувачів замкнутої програмного середовища, виключає запуск будь-яких додатків, крім додатків, що забезпечують роботу з захищеними даними:

– Видалення потенційно небезпечних виконуваних файлів

– Установка NTFS-дозволів, що забороняють користувачам терміналь-ного сервера запуск потенційно небезпечних додатків, необхідних для роботи адміністратора, які неможливо видалити

– Застосування списків програм, доступних для запуску користувачам термінального сервера

63 Налаштування сервера MSTS

Налаштування сервера MSTS включають в себе налаштування політики безпеки ОС Windows Server 2003 Основне завдання, яке вирішується даними на-будівництвами, полягає в дозволі можливості доступу до ресурсів терми- нального сервера тільки для облікових записів, зареєстрованих у створений-ної за замовчуванням групі «Remote Desktop Users» Крім того, застосовуються додаткові заходи по забороні термінального доступу для адміністратора і користувачів, що входять до складу групи Administrators Ці заходи требу-ються для захисту облікових записів адміністраторів від підбору: навіть при Через Вестн паролі адміністратора зареєструватися з цього облікового запи-сью буде неможливо

За замовчуванням параметр політики безпеки «Allow log on through Terminal Server» (розділ «Призначення прав користувача» оснастки «Локаль-ная політика безпеки») дозволяє термінальний доступ для групи

Administrators Необхідно виключити з переліку облікових записів, що мають дану привілей, всі групи за винятком «Remote Desktop Users» (рис 612)

Параметр політики безпеки «Deny log on through Terminal Server» (розділ «Призначення прав користувача» оснастки «Локальна політика без-ки») за замовчуванням не встановлений Необхідно встановити спеці-

ний заборона термінального доступу для групи Administrators, а також для ос-тальних облікових записів, що мають права адміністратора, додавши в пере-чень необхідні облікові записи (рис 613)

Усі облікові записи, які призначені для термінального досту-па, повинні бути включені до складу групи «Remote Desktop Users», участь цих облікових записів у складі інших груп повинно бути виключено (Рис

614)

Для сервера (властивості обєкта Мій компютер, розділ «Remote») не-необхідно встановити можливість термінального доступу (включити пара-метр «Enable Remote Desktop on this computer»)

Рис 612 Установка права термінального доступу

Рис 613 Установка спеціальної заборони термінального доступу для облікового запису Адміністратор

Рис 614 Додавання користувачів термінального доступу до групи «Remote Desktop Users»

Джерело: Андрончик А Н, Богданов В В, Домуховскій Н А, Коллеров А С, Синадський Н І, Хорьков Д А, Щербаков М Ю, Захист інформації в компютерних мережах Практичний курс

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*