Самоучитель системного администратора. 5-е издание

Безопасность 
451 
он вам не нужен, — следовательно, вы его на безопасную работу не настраивали,
и у него осталась конфигурация по умолчанию. Злоумышленник может использо-
вать ненастроенные службы для атаки на вашу систему. Более того, поскольку вы 
считаете, что на том или ином компьютере веб-сервера нет, вы даже не будете кон-
тролировать на нем эту службу. 
Именно поэтому все неиспользуемые службы нужно отключить. Включить их об-
ратно, как только они вам понадобятся, — не проблема. Какие именно службы от-
ключить, зависит от применения компьютера, поэтому привести универсальные 
рекомендации на этот счет в нашей книге не представляется возможным. 
Security Configuration Manager 
В составе Windows Server присутствует программа Security Configuration Manager
(SCM). Как видно из ее названия, SCM предназначена для настройки параметров 
безопасности сервера. Практически, программа предлагает применить к системе 
один из шаблонов безопасности, выбрав ту или иную роль вашего сервера. 
SCM привлекательна тем, что предлагает применить 
комплексно
все те рекоменда-
ции, которые содержатся в объемных руководствах по безопасности. Однако в ре-
альных системах редко можно найти серверы с «чистой» ролью — обычно присут-
ствуют те или иные их модификации, заставляющие администратора тщательно 
проверять предлагаемые к назначению настройки. Поэтому SCM следует рассмат-
ривать только как первый шаг настройки сервера. 
Security Compliance Manager 
Microsoft разработала специальное средство для анализа и разворачивания на пред-
приятии групповых политик безопасности — Microsoft Security Compliance Mana-
ger. Утилита доступна к бесплатной загрузке со страницы: 
http://go.microsoft.com/ 
fwlink/?LinkId=182512
. Установить ее можно на системы под управлением 
Windows 7/8/10 и Windows Server 2008/2012/2016. При этом продукт требует серве-
ра базы данных (бесплатная его версия может быть загружена и настроена в про-
цессе установки утилиты). 
С
ОВЕТ
При установке продукта необходимо наличие подключения к Интернету — возможно, 
придется загрузить SQL Server Express. Кроме того, после установки продукт загружа-
ет с сайта Microsoft последние версии рекомендуемых параметров безопасности. 
Microsoft подготовила и рекомендуемые параметры настроек безопасности для сис-
тем, предназначенных для эксплуатации в типовых условиях, в условиях предпри-
ятия и для организаций с повышенным уровнем безопасности. Эти рекомендации 
представляют собой наборы рекомендуемых параметров групповой политики для 
рабочих станций (Windows 7/8/10) и серверов (Windows Server 2008/2012/2016). 
Обычно в конкретных условиях применить все рекомендации невозможно — на-
пример, какие-то компоненты, рекомендуемые для отключения, у вас предполага-
ется использовать. Утилита Security Compliance Manager и предназначена для того, 

452 
Глава 9 
чтобы сравнить текущие параметры групповой политики с рекомендациями, отре-
дактировать их и применить на предприятии эту групповую политику. 
Исключение уязвимостей программного обеспечения 
Ошибки наличествуют во всех программных продуктах, они свойственны как са-
мим операционным системам, так и прикладному программному обеспечению. 
Уязвимость в программном обеспечении потенциально позволяет злоумышленнику 
получить доступ к данным в обход защиты. Поэтому установка обновлений являет-
ся одним из наиболее критических элементов системы безопасности, причем адми-
нистратору необходимо следить не только за обнаружением уязвимостей в опера-
ционной системе, но и быть в курсе обновлений 
всего установленного
программно-
го обеспечения. 
П
РИМЕЧАНИЕ
Исторически существуют различные названия обновлений: 
«заплатки»
(Hot fix), кото-
рые обычно выпускаются после обнаружения новой уязвимости, 
сервис-паки
(service 
pack), в которые включаются не только большинство реализованных ко времени вы-
пуска сервис-пака «заплаток», но и некоторые усовершенствования и дополнения ос-
новных программ, и т. п. В рассматриваемом контексте для нас не актуальны эти раз-
личия. 
Уязвимости и эксплойты 
Каждый день в том или ином программном обеспечении обнаруживаются какие-
нибудь уязвимости. А вот «заплатки», позволяющие закрыть «дыры» в информаци-
онной безопасности выпускаются не так регулярно, как этого бы хотелось. 
Другими словами, с момента обнаружения уязвимости и до установки «заплатки» 
(заметьте, не до выхода, а до установки — «заплатка» уже вышла, а администратор 
ничего о ней и не подозревает) может пройти внушительное время. За это время 
кто-либо может воспользоваться уязвимостью и взломать вашу систему. 
Чтобы воспользоваться уязвимостью, не нужно быть «крутым хакером» — доста-
точно подобрать 
эксплойт
(специальную программу, которая реализует эту уязви-
мость) и применить его к вашей системе. Найти эксплойт довольно просто — надо 
лишь уметь пользоваться поисковыми системами. В результате обычный пользова-
тель получает инструмент, позволяющий ему, например, повысить свои права до 
уровня администратора или «свалить» сервер предприятия. Можно рассуждать
о причинах такого поведения, но авторам неоднократно приходилось сталкиваться 
с наличием подобного пользовательского интереса. На сайте 
http://www. 
metasploit.com/
доступен бесплатный сканер уязвимостей, который можно исполь-
зовать как для тестирования «дыр», так и для выбора метода атаки системы. 
Информация о найденных уязвимостях разработчиками ПО тщательно скрывается 
до момента выпуска исправлений программного кода. Однако этот факт не гаран-
тирует отсутствие «прорех» в защите систем, которые уже начали эксплуатиро-
ваться злоумышленниками. 

Безопасность 
453 
Поэтому своевременная установка «заплаток» является необходимым, но не доста-
точным средством обеспечения безопасности данных. 
Как узнать об обновлениях? 
Информация об уязвимостях публикуется на специальных сайтах. Вот некоторые 
из них: 
SecurityFocus: 
http://www.securityfocus.com
; 
CERT vulnerability notes: 
http://www.kb.cert.org/vuls/
; 
Common Vulnerabilities and Exposures (MITRE CVE): 
http://cve.mitre.org
; 
SecurityLab: 
http://www.securitylab.ru/vulnerability/
; 
IBM Internet Security Systems: 
http://xforce.iss.net
. 
Эти сайты нужно регулярно просматривать или же подписаться на существующие 
у них рассылки. 
Проверка системы на наличие уязвимостей 
При желании можно самостоятельно произвести проверку системы на наличие уяз-
вимостей. Программ для такой проверки предостаточно: RkHunter, OpenVAS, 
SATAN, XSpider, Jackal, Strobe, NSS — как платных, так и бесплатных. Информа-
цию об этих сканерах вы без проблем найдете в Интернете. Например, следующие 
статьи объясняют, как использовать RkHunter и OpenVAS соответственно: 
http://habrahabr.ru/company/first/blog/242865/
; 
http://habrahabr.ru/post/203766/
. 
Администратор может воспользоваться и любой программой, предназначенной для 
анализа безопасности компьютерных систем. Сегодня на рынке подобных продук-
тов представлено множество. Как правило, программы сканирования уязвимостей 
выполняют типовые операции: проверяют наличие уязвимостей по имеющейся
у них базе, сканируют IP-порты, проверяют ответы на типовые HTTP-запросы 
и т. д. По итогам таких операций формируется отчет, предоставляемый админист-
раторам, и приводятся рекомендации по устранению уязвимостей. 
Если необходимо сертифицированное решение, то можно использовать программу 
XSpider, которая имеет сертификат ФСТЭК России. Окно этой программы предос-
тавлено на рис. 9.6. 
П
РИМЕЧАНИЕ
При тестировании информационной системы с помощью подобных программ следует 
проявлять особую осторожность. Во-первых, при тестировании резко повышается на-
грузка на сеть. Во-вторых, отдельные тесты могут привести к аварийному завершению 
работы компьютеров. 

454 

Download 19,93 Mb.

Do'stlaringiz bilan baham: