Противодействие - Инвентаризация ресурсов. Наиболее «удобным» для злоумышленника способом получения информации об удаленном ПК является использование нулевого сеанса по ТСР-порту 139. Так как для установки нулевого соединения требуется доступ к TCP-порту 139, то вполне логичный путь предотвращения такой опасности будет состоять в фильтрации запросов по протоколу NetBIOS к портам TCP и UDP с номерами от 135 до 139. Также аналогичную информацию можно получить, используется порт SMB с номером 445. В ОС Windows реализовать подобную защиту можно через консоль управления «Параметры безопасности» с элементом \Локальные политики \Параметры безопасности. При помощи графического интерфейса консоли управления можно выполнить настройку многих полезных с точки зрения безопасности параметров системного реестра, связанных с обеспечением защиты. Для того чтобы ограничить доступ к данным NetBIOS неавторизованных пользователей на сервере с помощью элементов GroupPolicy/SecurityOptions, установите режим Noaccesswithoutexplicitanonymouspermissions для параметра Additionalrestrictionsforanonymousconnections. (Это аналогично заданию значения 2 для параметра RestrictAnonymous системного реестра Windows, который находится по следующему адресу системного реестра: \HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA.) Примечательно, что установка этого параметра на самом деле не блокирует самого анонимного соединения. Единственное, что она делает, — предотвращает утечку информации через такое соединение главным образом данных об учетных записях и совместно используемых ресурсах. В Windows 2000 и выше параметр RestrictAnonymous имеет значение 2. Оно позволяет ограничить доступ к ресурсам лишь посредством нулевых сеансов с явно заданными разрешениями. Если Вы соблюли все рекомендации и сделали все для предотвращения доступа к службам NetBIOS, с Вашего ПК по-прежнему можно получить аналогичную информацию, если на нем запущен агент SNMP (SimpleNetworkManagementProtocol). Доступ к этому агенту можно получить с помощью строки доступа public, используемой по умолчанию. Самый простой и эффективный способ блокирования такой деятельности потенциального взломщика состоит в удалении агента SNMP или в отключении службы SNMP с помощью аплета «Службы» панели управления. Если данный вариант вам не подходит, то как минимум, убедитесь в том, что доступ к данной службе правильно настроен и используется строка доступа private, а не установленная по умолчанию строка public. Также можно внести изменения в системный реестр, чтобы разрешить только санкционированный доступ к службе SNMP и запретить передачу информации NetBIOS о системе. Для этого запустите программу regedt32 и найдите параметр HKLM\ SystemNCurrentControlSet\Services\SNMP\Paramaters\ValidCommunities. Вызовите свойства указанного раздела (правая кнопка мыши), выберите команду «Разрешения» и установите в открывшемся окне значение таким образом, чтобы разрешить доступ только авторизованым пользователям системы. Затем перейдите к разделу HKLM\System\CurrentControlSet\Services\SNMP\ ParametersXExtensionAgents, удалите значение, содержащее строку LANManagerMIB2Agent, а затем переименуйте остальные параметры, чтобы восстановить правильную последовательность. Например, если вы удалили параметр с номером 1, переименуйте параметры 2, 3, 4 и т.д. в 1, 2, 3 и т.д. Кроме того, если вы используете протокол SNMP для управления сетью, заблокируйте доступ к портам TCP и UDP с номерами 161 и 162 (SNMP GET/SET) по всему периметру граничных устройств управления доступом. Противодействие - Инвентаризация учетных записей пользователей. Получить информацию об учетных записях пользователей можно опять же через нулевую сессию по портам 135-39 и 445. Поэтому меры защиты от получения такой информации в принципе те же, что и описаны выше. Блокировка запросов к таблице именNetBIOS с помощью таких утилит, как nbtstat и nbtscan, осуществляется запретом доступа к TCP- и UDP-портам с номерами 135-139 и 445. Защита данных, которые можно получить путем открытия нулевого сеанса , обеспечивается установкой соответствующего значения (типа REG_DWORD, 2 параметра RestrictAnonymous системного реестра. Его можно найти в поддереве HKLM\SYSTEM\CurrentControlSet\ Control\LSA. Предотвратить попытки извлечения данных с помощью утилит sid2user/user2sid можно лишь одним способом, а именно запретив доступ к портам 139 и 445. Противодействие - Инвентаризация сетевых приложений и идентификационных маркеров Защита от получения информации о запущенных сетевых приложений требует от администратора некоторой доли изобретательности. Во-первых, проверьте все важные приложения и попытайтесь найти способ, с помощью которого можно было бы предотвратить предоставление информации о производителе и номере версии в идентификационных маркерах. Не лишним будет проводить регулярные проверки, сканируя порты и подключаясь с помощью утилиты netcat к выявленным активным портам, чтобы убедиться в том, что из сети не уходит даже незначительная часть информации, которая может представлять интерес для потенциального взломщика. Противодействие - Инвентаризация системного реестра Убедитесь, что системный реестр заблокирован и к нему нельзя получить доступ с использованием удаленных соединений. Для этого необходимо проверить возможность удаленного доступа к ключу HKLM\System\CurrentControlSet\SecurePipeServers \Winregи всем связанным с ним подключай. Если этот ключ присутствует, то по умолчанию удаленный доступ к реестру разрешен лишь администраторам. В дополнительных подключах задаются определенные пути системного реестра, разрешающие доступ независимо от политики обеспечения безопасности, принятой для ключа winreg. Также решить проблему удаленного доступа к сетевому реестру может остановка службы «Удаленный реестр».
|