Противодействие - Инвентаризация ресурсов.

Наиболее «удобным» для злоумышленника способом получения информации об удаленном ПК является использование нулевого сеанса по ТСР-порту 139.

Так как для установки нулевого соединения требуется доступ к TCP-порту 139, то вполне логичный путь предотвращения такой опасности будет состоять в фильтрации запросов по протоколу NetBIOS к портам TCP и UDP с номерами от 135 до 139. Также аналогичную информацию можно получить, используется порт SMB с номером 445.

В ОС Windows реализовать подобную защиту можно через консоль управления «Параметры безопасности» с элементом \Локальные политики \Параметры безопасности. При помощи графического интерфейса консоли управления можно выполнить настройку многих полезных с точки зрения безопасности параметров системного реестра, связанных с обеспечением защиты.  Для того чтобы ограничить доступ к данным NetBIOS неавторизованных пользователей на сервере с по­мощью элементов GroupPolicy/SecurityOptions, установите режим Noaccesswithoutexplicitanonymouspermissions для параметра Additionalrestrictionsforanonymousconnections. (Это ана­логично заданию значения 2 для параметра RestrictAnonymous системного реестра Windows, который находится по следующему адресу системного реестра:

 \HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA.)

Примечательно, что установка этого пара­метра на самом деле не блокирует самого ано­нимного соединения. Единственное, что она де­лает, — предотвращает утечку информации через такое соединение главным образом данных об учетных записях и совместно используемых ресурсах. В Windows 2000 и выше параметр RestrictAnonymous имеет значение 2. Оно позволяет ограничить доступ к ресурсам лишь посредством нулевых сеансов с явно заданными разрешениями.

Если Вы соблюли все рекомендации и сделали все для предотвращения доступа к службам NetBIOS, с Вашего ПК по-прежнему можно получить аналогичную информацию, если на нем запущен агент SNMP (SimpleNetworkManagementProtocol). Доступ к этому агенту можно получить с помощью строки доступа public, используемой по умолчанию.

Самый простой и эффективный способ блокирования такой деятельности потенциального взломщика состоит в удалении агента SNMP или в отключении службы SNMP с помощью аплета «Службы» панели управления. Ес­ли данный вариант вам не подходит, то как минимум, убедитесь в том, что доступ к данной службе правильно настроен и используется строка доступа private, а не установленная по умолчанию строка public. Также можно внести изменения в системный реестр, чтобы разре­шить только санкционированный доступ к службе SNMP и запретить передачу информации NetBIOS о системе. Для этого запустите программу regedt32 и найдите параметр HKLM\ SystemNCurrentControlSet\Services\SNMP\Paramaters\ValidCommunities. Вызовите свойства указанного раздела (правая кнопка мыши), выберите команду «Разрешения» и установите в открывшемся окне значение та­ким образом, чтобы разрешить доступ только авторизованым пользователям сис­темы. Затем перейдите к разделу HKLM\System\CurrentControlSet\Services\SNMP\ ParametersXExtensionAgents, удалите значение, содержащее строку LANManagerMIB2Agent, а затем переименуйте остальные параметры, чтобы восстановить правильную последователь­ность. Например, если вы удалили параметр с номером 1, переименуйте параметры 2, 3, 4 и т.д. в 1, 2, 3 и т.д.

Кроме того, если вы используете протокол SNMP для управления сетью, заблоки­руйте доступ к портам TCP и UDP с номерами 161 и 162 (SNMP GET/SET) по всему периметру граничных устройств управления доступом.

Противодействие - Инвентаризация учетных записей пользователей.

Получить информацию об учетных записях пользователей можно опять же через нулевую сессию по портам 135-39 и 445. Поэтому меры защиты от получения такой информации в принципе те же, что и описаны выше.

Блокировка запросов к таблице именNetBIOS с помощью таких утилит, как nbtstat и nbtscan, осуществляется запретом доступа к TCP- и UDP-портам с номерами 135-139 и 445.

Защита данных, которые можно получить путем открытия нулевого сеанса , обеспечивается установкой соответствующего значе­ния (типа REG_DWORD, 2 параметра RestrictAnonymous системного реестра. Его можно найти в поддереве HKLM\SYSTEM\CurrentControlSet\ Control\LSA.

Предотвратить попытки извлечения данных с помощью утилит sid2user/user2sid можно лишь одним способом, а именно запретив доступ к портам 139 и 445.

Противодействие - Инвентаризация сетевых приложений и идентификационных маркеров

Защита от получения информации о запущенных сетевых приложений требует от админист­ратора некоторой доли изобретательности.

Во-первых, проверьте все важные приложения и попытайтесь найти способ, с помо­щью которого можно было бы предотвратить предоставление информации о производи­теле и номере версии в идентификационных маркерах. Не лишним будет проводить регулярные проверки, сканируя порты и подключаясь с помощью утилиты netcat к выявленным активным портам, чтобы убедиться в том, что из сети не уходит даже незначительная часть ин­формации, которая может представлять интерес для потенциального взломщика.

Противодействие - Инвентаризация системного реестра

Убедитесь, что системный реестр заблокирован и к нему нельзя получить доступ с использованием удаленных соединений. Для этого необходимо проверить возмож­ность удаленного доступа к ключу HKLM\System\CurrentControlSet\SecurePipeServers \Winregи всем связанным с ним подключай. Если этот ключ присутствует, то по умолчанию удаленный доступ к реестру разрешен лишь администраторам. В дополнительных подключах задаются опреде­ленные пути системного реестра, разрешающие доступ независимо от политики обес­печения безопасности, принятой для ключа winreg.