Организация на сигурността на услугите на Microsoft
Нискобюджетни сайтове.
Промоция на уебсайт.
Организация на сигурността на услугите на Microsoft
Деактивирайте ненужните услуги. Това е често срещан съвет, даван в почти всяка книга, технически документ или лекция за сигурността. Но тук обикновено приключват съветите, оставяйки системните администратори на тъмно за това какви са ненужните услуги и как най-добре да ги деактивирате. Разбира се, достатъчно е просто да отидете на „Административни инструменти“, след това на „Услуги“ и да видите списък с всички услуги. А също така просто щракнете двукратно върху услуга, която не използвате, и задайте „Тип на стартиране“ на деактивиран. Но има ли нещо друго освен това за организиране на сигурността на услугите?
Услугата е приложение, което работи във фонов режим, независимо от потребителските сесии. Тъй като услугите стартират автоматично при зареждане, те са много подходящи за сървърни приложения като уеб сървър. Но това има и недостатъци, тъй като потребителят може да не е наясно с изпълнението на услугата. Без намеса на потребителя по подразбиране могат да бъдат стартирани няколко услуги и потребителят няма да знае за потенциалните рискове за сигурността. Това стана очевидно наскоро, когато мрежови червеи като "Code Red" и "Nimda" се разпространиха в интернет, често атакувайки потребители, които дори не бяха наясно с работещите уеб услуги на техните работни станции. На свой ред тези заразени работни станции разпространяват вируси в хиляди други системи в Интернет.
Как се атакуват услуги?
Атаката използва услуги на Windows за изпълнение на команда или достъп до файловата система за четене или писане на защитен файл. Тъй като повечето услуги работят под СИСТЕМНИЯ акаунт, те обикновено имат достъп до повечето системни функции. Това ги прави особено интересни за хакерите. Умело използвайки услуга, нападателят може да прави каквото пожелае на компютър. Например Microsoft Security Bulletin MS02-006 съобщава за препълване на буфера в услугата SNMP, което може да позволи на хакер да изпълнява отдалечено команди с привилегии SYSTEM.
Хакерът трябва да получи достъп до услугата. За повечето интернет услуги това означава свързване към подходящия TCP порт. За други услуги трябва да имате достъп до локална конзола, за да извършите сериозна атака. За да защитите дадена услуга, трябва да сте наясно с тези подвизи и да сведете до минимум излагането им на тях.
Как да сведем до минимум опасността от услуги
Най-очевидният начин за минимизиране на риска е деактивирането на услугата. Разбира се, необходими са някои услуги; в този случай е важно редовно да актуализирате сервизни пакети и актуални корекции. Веднага щом стане известна сериозна заплаха, Microsoft обикновено пуска кръпка, която покрива уязвимостта. Повечето атаки използват известни уязвимости. Инсталирайки кръпка, вие значително намалявате податливостта си към атаки.
Друг начин за намаляване на експозицията на услугата е да не я стартирате от СИСТЕМНИЯ акаунт. Можете да създадете нов, непривилегирован акаунт за стартиране на услугата, като по този начин изключите всемогъщия достъп до СИСТЕМА. Но този подход има и недостатъци. Например, трябва да проведете проучване, за да определите минималните привилегии, които трябва да има нов акаунт. Очевидно е, че с около 100 услуги на Windows, създаването на уникален акаунт за всяка не е лесна задача. Windows XP и .Net Server решават този проблем, като въвеждат два нови акаунта за услуги: LocalService и NetworkService. Тези акаунти работят с по-малко привилегии, като по този начин ограничават авторитета на услугите. Потребителите на Windows 2000 могат да се ограничат до СИСТЕМНИЯ акаунт, освен ако сигурността е по-важна от времето, прекарано в проучване.