[vasketsov]

Поехали.
>Привет, перец.

Я не перец.

>Сразу предупреждаю - данная статья относится к людям у которых компьютер подключен к Интернету по телефонной и по выделенной линии

Как ясно из статьи, она полезна только если установлен удаленный доступ, в случае локальной сети своя кухня, в случае RAS - своя. Посему данное предупреждение можно отнести исключительно на совесть автора.

>Наша сейчас первая задача защитить учетную запись Администратор, чем мы и займемся. Переименуем во что-нибудь другое, ну например в твое имя и фамилию, что я к примеру делаю постоянно.

Такой ЛОЛ, что просто без комментариев, не админ так Вася Пупкин. Учетную запись админа можно просто запретить, см. ниже.

> , смело переименовывай Гостя в Администратора (надеюсь ты догадываешься к чему я веду ).

Нифига не догадываюсь. Если у нас гость задисэйблен, доступ у админа по сети обрезан - смысл в этом отсутствует начисто, как и в переименовании админа, перестрах#йство одним словом. Еще предлагается включить логгирование всего этого безобразия и просматривать журнал, видимо, для того, чтоб понять, что можно было это не делать.

> никто не сможет получить доступ к твоему компьютеру удалено, то есть этому уроду нужно будет иметь физически доступ к Клаве и мыши твоего компа )

Настоящим_программистам_пробел_не_нужен, если перефразировать - при чем тут клава и мышь, кому вообще нужна эта консоль?

>Лезь там же в раздел "Параметры безопасности" и настраивай следующие параметры:

После этих строк до конца абзаца советую вообще пропускать, все там написанное либо бессмысленно, либо половинчато, кроме "Дополнительные ограничения для анонимных подключений".

>"Служба поддержки NETBIOS поверх TCP/IP" (данная служба отвечает за работу NETBIOS, а как ты сам знаешь что в Windows слабые порты 135 и 139 . Вот как раз на этих портах то и пашет NETBIOS. В принципе тут есть один минус ты не сможешь не кого видеть в сетевом окружении и тебя не кто не сможет видеть тоже.

Во-первых, 135 к нетбиосу никакого отношения не имеет, во вторых, не вижу 137, 138 и 445, в-третьих, "я кого-то вижу" и "меня кто-то видит" с точки зрения сети - две большие разницы, даже номера портов разные.

>Дальше даешь там команду "net config server /hidden" - это так, мера предосторожности .

А зачем тогда вообще запускать службу сервера? Отрубить ее и все. Более чем странное решение скрыть сервер в сетевом окружении, можно подумать что хакеры им пользуются. Там же про IIS - фиксы же мы вроде ставим по решению автора, он же якоы даже не берется за задачу без SP2 (а теперь уже и SP3+PreSP4) - там это уже вполне рабочий сервер, к тому же его можно настроить, а не сносить.

>SynAttackProtect

Этот параметр требует настройки еще двух.

>Мы с тобой будем настраивать фильтрацию протокола TCP/IP .

Далее обрубаются фильтром порты нетбиоса, а потом отрубается NetBt. После этого ставится файрвол. Круче только примерно такой анекдот: чувака случайно замочили, чтоб замести следы - решили с крыши скинуть, скинули с 12-го этажа на тачку под колеса, водила испугался, отъехал назад к телу, решил утопить с моста, отвез и скинул, труп выловили рыбаки,... ну и так далее еще десяток итераций, в результате тело таки попадает на стол к медработнику, после чего декларируется диагноз "случай тяжелый, но жить будет". Да, не очень уместно вышло. Короче, если устанавливается файрвол, сетевая фильрация нафиг не нужна.

А теперь про запрет учетной записи админа, ссылка сверху поста. После 3-х попыток захода под админом уч. зап. его блокируется, однако по ней всегда можно локально войти. Вуаля, а к статье, как и ко всему журналу, рекомендую относиться соответствующе, они на моей памяти не первый раз пишут о сложнейших вещах так, как будто это все очень просто и понятно. Весь смысл статьи заключен в последнем абзаце, вот он:

>Напоследок я тебе дам еще несколько рекомендаций. Первое: создай обычного пользователя (с правами пользователя) под которым ты будешь работать и лазить в нете, поверь мне - это тебе поможет избавится от многих проблем в будущем, заведи себе привычку: учетную запись с правами администратора лучше юзать только для установки ПО и изменения настроек системы. Второе: поставь себе на конец антивирус и файрвол.

Кроме выделенного фрагмента подпишусь под этим абзацем неглядя, разве что отмечу, сама по себе настройка файрвола - дело очень нетривиальное и зависит от ряда факторов, что за сеть и какие программы используются, в том числе локально, более того, Windows 2000, о которой идет прежде всего речь в статье, использует стек протоколов даже в отсутствие сетевых карт и модемов, об этом автор очень лаконично умолчал, а не стоило бы так скромничать.

[J Fox]

vasketsov
молодец!!! Раздолбал статью в пух и прах!!!

[Raistlin]

Да, всё лихо, но подскажите, пожалуйста, где искать информацию, по прочтении которой можно будет грамотно настроить права для пользователей и залатать все возможные и невозможные дырки? Меня, как начинающего сисадмина, тема безопасности очень волнует, но, кроме установки всех возможных заплаток и максимального обрубания прав пользователям через политику (в т. ч. запрещён доступ ко всем компонентам Панели управления, разрешено выполнять только приложения из списка), ничего не сделано. Какую оценку мне как сисадмину можно после этого поставить? И как исправить допущенные ошибки?

[asd_w]

Barmaley, такой линуксовый флопик уменя есть, работает 100%, проверял на NT4.0, W2k, XP.

[Barmaley]

Цитата:

такой линуксовый флопик уменя есть, работает 100%, проверял на NT4.0, W2k, XP

Дак от этого есть зашита-то какая-нибудь?

[vasketsov]

Raistlin

Цитата:

установки всех возможных заплаток

, это большая половина дела.

Цитата:

запрещён доступ ко всем компонентам Панели управления

останавливает только неопытных пользователей.

Цитата:

разрешено выполнять только приложения из списка

распространяется только на оболочку.

Надо правильно порулить правами на NTFS и в реестре, для этого советую посмотреть посредством regmon и filemon что куда лезет из левого софта. Кроме того, необходимо просмотреть весь софт, что установлен, и найти по нему данные по дырам или специфическим настройкам, например, файрвол читает данные из реестра - туда должен быть доступ на запись только у группы администраторов (система туда тоже получит доступ автоматом после этого).

Barmaley

Цитата:

Дак от этого есть зашита-то какая-нибудь?

Никакой защиты не может быть, если есть физический доступ к информации. Любые политики и права на NTFS ничего не решают, есть можно загрузиться в другой системе и подмонтировать носитель.

[Raistlin]

vasketsov

Цитата:

Надо правильно порулить правами на NTFS и в реестре, для этого советую посмотреть посредством regmon и filemon что куда лезет из левого софта.

Права NTFS и права пользователей максимально ужесточены. Только вот не знаю, что такое regmon и filemon.

Цитата:

останавливает только неопытных пользователей

??? Если у пользователя нет доступа к иной оболочке, кроме Проводника, в котором у него, в свою очередь, обрублен доступ к C:\, то как он доберётся до компонентов Панели управления?

[vasketsov]

Raistlin
Аплеты панели управления просто выполняют определенные функции, ничто не мешает другой программе их выполнять. Тот же запрет доступа к реестру распространяется только на regedit и regedt32, а все остальные редакторы реестра на это кладут. То есть, надо забирать у пользователя не интерфейс для определенных действий, а саму возможность что-либо делать.

Добраться до аплетов панели управления можно через RunDll32.exe

[Lanwolf]

Классная тема....
Добавить я могу только одно.
Необходимо физически ограничивать доступ к серверам и основным узлам сети.
Если  в сети есть серверы терминалов, то даже админы должны заходить через терминал, причем доступ должен быть с ограниченного подконтрольного числа машин, необходимо включить аудит на:
Вход-выход
доступ к обьектам и т.д.

Лично я перекрыл доступ в проводнике на D: (система) для всех подразделений AD в WIN2000 Server, и собрал систему так что все файловые операции возможны только на соседних дисках и только в пределах "шаг влево - шаг вправо"

[Raistlin]

vasketsov

Цитата:

То есть, надо забирать у пользователя не интерфейс для определенных действий, а саму возможность что-либо делать.

А как это сделать? Как запретить доступ к реестру? И, кстати, если с помощью системных политик отобрать все интерфейсы -- разве не эффективный способ защиты?

vasketsov

Цитата:

Добраться до аплетов панели управления можно через RunDll32.exe

А как пользователь до этого самого Rundll32.exe доберётся? В папку C:\Winnt из Проводника не пробраться. IE к запуску не разрешён, FAR и CMD.EXE тоже. Не знаю, я вот вхожу в систему с правами рядового негра с плантации и ничего не могу сделать! Может, просто знаний не хватает?

Добавлено:

Lanwolf

Цитата:

Если *в сети есть серверы терминалов, то даже админы должны заходить через терминал

Само собой, не буду же я к серверу каждый раз бегать . Хотя с правами администратора особой разницы нет -- что терминал, что консоль. Такого можно натворить...

Цитата:

доступ должен быть с ограниченного подконтрольного числа машин

Это как? По-моему, доступ можно только пользователям обрезать, а не машинам. Или просто клиента не ставить?

Цитата:

Лично я перекрыл доступ в проводнике на D:

У меня пользователи вообще всего в 3 папки писать могут. И ещё из парочки -- читать.


[s]Исправлено: Raistlin, 0:40 17-12-2002[/s]