Снижение степени уязвимости Windows 98 и Windows NT 4.0

Содержание Снижение степени уязвимости в сетях Windows NT Снижение степени уязвимости компьютеров под управлением Windows NT Снижение степени уязвимости для клиентов под управлением Windows 98 Миграция из устаревших операционных систем

Обеспечение безопасности сетей Windows NT: На что обратить внимание? Защита операционной системы от атак: Устаревшие операционные системы не имеют элементов безопасности, разработанных для новых версий Windows Повышение уровня безопасности с сохранением совместимости: Повышение уровня безопасности может повлечь за собой нарушение работоспособности устаревших приложений, что серьезно отразится на бизнесе и качестве услуг Управляемость настольных систем: Устаревшие операционные системы менее управляемы и для них сложнее обеспечить требуемый уровень безопасности Вопросы стоимости: Сложно оценить потери от неприменения адекватных мер по обеспечению безопасности до факта ее нарушения

Защита доменов Windows NT Для защиты домена Windows NT необходимы: Проведение глубокого анализа рисков Улучшение механизма аутентификации Применение сегментирования сети Применение защиты сетевого уровня Проведение регулярного аудита и мониторинга Проведение глубокого анализа рисков Улучшение механизма аутентификации Применение сегментирования сети Применение защиты сетевого уровня Проведение регулярного аудита и мониторинга

Улучшение методов аутентификации 0 (Send LM & NTLM responses) 1 (Send LM & NTLM–use NTLMv2 session security if negotiated) 2 (Send NTLM response only) 3 (Send NTLMv2 response only) 4 (Send NTLMv2 response only\refuse LM) 5 (Send NTLMv2 response only\refuse LM & NTLM) 0 (Send LM & NTLM responses) 1 (Send LM & NTLM–use NTLMv2 session security if negotiated) 2 (Send NTLM response only) 3 (Send NTLMv2 response only) 4 (Send NTLMv2 response only\refuse LM) 5 (Send NTLMv2 response only\refuse LM & NTLM) HKLM\SYSTEM\CurrentControlSet\Control\LSA\LMCompatibilityLevel Один из механизмов влияния на уровень безопас- ности процесса аутентификации – ключ реестра:

Сегментирование сети Изоляция участка сети: Снижает риск того, что нарушение безопасности устаревших систем окажет влияние на всю сеть Контроль над сетевым трафиком: Позволяет применить глубокую фильтрацию и блокирование трафика в направлении к устаревшим системам и от них Помещение устаревших систем в отдельный сегмент дает следующие преимущества:

Защита сетевого интерфейса Безопасность TCP/IP предоставляет фильтрацию на уровне портов TCP and User Datagram Protocol (UDP), а также других протоколов семейства IP

Повышение безопасности работы сетевого протокола С помощью настройки параметров реестра можно обезопасить сетевое соединение, используя: SYN flooding protection Source routing Dead gateway detection ICMP redirects SYN flooding protection Source routing Dead gateway detection ICMP redirects Для дополнительной информации по настройке параметров реестра следуйте по ссылке:

Безопасность сетей Windows NT: дополнительные шаги Будьте информированными обо всех событиях, касающихся вопросов безопасности Применяйте персональные межсетевые экраны Никогда не помещайте компьютер под управлением устаревшей операционной системы в сеть периметра Регулярно используйте средства резервного копирования/восстановления информации Проведите миграцию как можно скорее

Обеспечение безопасности Windows NT: На что обратить внимание? Ограниченная поддержка продукта: С 1 Января 2005 года, виды поддержки «Pay-per-incident» и «Premier» больше не доступны для организаций, использующих Windows NT Уязвимости, которые не могут быть устранены: Бюллетень MS описывает уязвимость для DoS-атак, исправления которой не существует для Windows NT Недостаток средств обеспечения безопасности: В Windows NT отсутствует множество средств обеспечения безопасности, необходимых для защиты от современных атак

Защита компьютеров под управлением Windows NT Защита компьютеров под управлением Windows NT состоит из следующих задач: Установка обновлений Анализ безопасности текущей конфигурации Применение системных политик Снижение количества потенциальных целей для возможных атак Защита служб работы с Интернет (IIS) Защита данных Установка обновлений Анализ безопасности текущей конфигурации Применение системных политик Снижение количества потенциальных целей для возможных атак Защита служб работы с Интернет (IIS) Защита данных

Установка обновлений Компьютеры под управление Windows NT должны иметь следующие обновления: Service Pack 6a (SP6a) for Windows NT 4.0 The Post-Windows NT 4.0 Service Pack 6a Security Rollup Package (SRP) Последние обновления по безопасности Обновленная версия Internet Explorer Service Pack 6a (SP6a) for Windows NT 4.0 The Post-Windows NT 4.0 Service Pack 6a Security Rollup Package (SRP) Последние обновления по безопасности Обновленная версия Internet Explorer

Анализ безопасности конфигурации Инструменты, которые могут помочь проанализи- ровать безопасность конфигурации: Microsoft Baseline Security Analyzer (MBSA) MBSA mode HFnetChk mode Microsoft Systems Management Server version 2.0/2003 Office Update Inventory Tool Microsoft Baseline Security Analyzer (MBSA) MBSA mode HFnetChk mode Microsoft Systems Management Server version 2.0/2003 Office Update Inventory Tool

Применение системных политик Используйте System Policy Editor для: Формирования предупреждения о применяемой политике Отключения отображения имени предыдущего пользователя в диалоге регистрации в системе Ограничить доступ к элементам рабочего стола: обои, иконки, цветовые схемы, доступные команды в главном меню Ограничить доступ к сетевым ресурсам: доступные буквенные идентификаторы дисков и возможность их привязки в Windows Explorer Ограничить возможность запуска редактора реестра и консоли командной строки Формирования предупреждения о применяемой политике Отключения отображения имени предыдущего пользователя в диалоге регистрации в системе Ограничить доступ к элементам рабочего стола: обои, иконки, цветовые схемы, доступные команды в главном меню Ограничить доступ к сетевым ресурсам: доступные буквенные идентификаторы дисков и возможность их привязки в Windows Explorer Ограничить возможность запуска редактора реестра и консоли командной строки Поименуйте файл как NTConfig.pol и сохраните его в каталоге общего доступа NETLOGON

Снижение количества потенциальных целей для возможных атак Для снижения количества потенциальных уязвимос- тей серверов под управлением Windows NT: Используйте Security Configuration Manager Защитите учетные записи и службы Отключите поддержку подсистем OS/2 и POSIX Отключите уведомления для клиентов Novell Используйте Security Configuration Manager Защитите учетные записи и службы Отключите поддержку подсистем OS/2 и POSIX Отключите уведомления для клиентов Novell

Защита служб работы с Интернет: Internet Information Services 4.0 Меры по защите сервера IIS 4.0 включают в себя: Анализ текущего состояния операционной системы Защиту операционной системы Реализацию требований и рекомендаций Microsoft Internet Information Server 4.0 Security Checklist Применение IIS Lockdown Wizard для повышения степени защищенности IIS 4.0 Анализ текущего состояния операционной системы Защиту операционной системы Реализацию требований и рекомендаций Microsoft Internet Information Server 4.0 Security Checklist Применение IIS Lockdown Wizard для повышения степени защищенности IIS 4.0

Защита данных в Windows NT Используйте следующую команду для преобразования файловой системы FAT в NTFS: CONVERT [driveletter]:/FS:NTFS

Защита компьютеров под управлением Windows NT : Дополнительные шаги Защитить процесс загрузки Установить Active Directory Client Extension Не допускать хранение хешированных паролей Использовать утилиту Syskey для шифрования базы SAM Установить эффективное антивирусное программное обеспечение

Защита компьютеров под управлением Windows 98: На что обратить внимание? Система Windows 98 не может быть эффективно защищена!!! Нет поддержки защищенной файловой системы NTFS По умолчанию, поддерживает только аутентификацию LAN Manager Нет поддержки Active Directory – основы Групповых политик Нет реализации таких компонентов, как IPSec или EFS Нет базовой поддержки операционной системы Нет поддержки защищенной файловой системы NTFS По умолчанию, поддерживает только аутентификацию LAN Manager Нет поддержки Active Directory – основы Групповых политик Нет реализации таких компонентов, как IPSec или EFS Нет базовой поддержки операционной системы

Защита процесса аутентификации пользователя Для улучшения механизма аутентификации пользователя Windows 98 : Установите Active Directory Client Extension Настройте NTLM Authentication Level Установите Active Directory Client Extension Настройте NTLM Authentication Level

Применение системных политик Системные политики Windows 98 позволяют: Запретить пользователям запуск утилит редактиро- вания реестра Запретить пользователям предоставлять в общее пользование файлы и принтеры, а также организо- вывать удаленный доступ Установить политику паролей с целью сокрытия символов во время набора и принуждения использовать длинные пароли Потребовать принятия мер безопасности при входе и уведомить о применении политики безопасности Защитить приложения, такие как Microsoft Office Запретить пользователям запуск утилит редактиро- вания реестра Запретить пользователям предоставлять в общее пользование файлы и принтеры, а также организо- вывать удаленный доступ Установить политику паролей с целью сокрытия символов во время набора и принуждения использовать длинные пароли Потребовать принятия мер безопасности при входе и уведомить о применении политики безопасности Защитить приложения, такие как Microsoft Office

Безопасность работы в сети Для включения SMB signing в Windows 98: Отредактируйте раздел реестра: HKLM\SYSTEM\CurrentControlSet\Services\VxD\ VNetsup 1 1 Измените следующие параметры типа DWORD: EnableSecuritySignature (0,1) RequireSecuritySignature(0,1) 2 2 Безопасность работы Windows 98 в сети может быть повышена: Применением процедуры подписи коммуника- ций по протоколу Server Message Block (SMB) Установкой межсетевого экрана Internet firewall Применением процедуры подписи коммуника- ций по протоколу Server Message Block (SMB) Установкой межсетевого экрана Internet firewall

Управление обновлениями для клиентов под управлением Windows 98 Управление рабочими станциями под управлением Windows 98 должно включать: Применение всех критичных обновлений Обновление Internet Explorer до версии 6.0 SP2 Снижение количества потенциальных целей для возможных атак Применение всех критичных обновлений Обновление Internet Explorer до версии 6.0 SP2 Снижение количества потенциальных целей для возможных атак

Защита клиентов под управлением Windows 98: Дополнительные шаги Запретить общий доступ к файлам и принтерам Снизить строгость политик для администрато- ров сети Защитить процесс загрузки Запретить доступ к сменным носителям в качестве загрузочных устройств Установить эффективное антивирусное ПО Не хранить важные данные на рабочей станции под управлением Windows 98 Ограничить физический доступ

Технологии обеспечения безопасности Миграция Upgrade (Установка поверх) Терминальный сервер Консолидация серверов Сегментация сети

Миграция из устаревших систем: На что обратить внимание? Преимущества проведения миграции: Аппаратная и программная совместимость Совместимость приложений Работа в домене и возможность апгрейда Аппаратная и программная совместимость Совместимость приложений Работа в домене и возможность апгрейда

Почему миграция является лучшим решением с точки зрения безопасности? Неполный список преимуществ в обеспечении безопасности при переходе с Windows NT 4.0 на Windows Server 2003 включает: Active Directory Kerberos version 5 Групповые политики Интегрированная поддержка PKI IIS 6.0 Encrypting File System Active Directory Kerberos version 5 Групповые политики Интегрированная поддержка PKI IIS 6.0 Encrypting File System

Миграция из доменов Windows NT в Active Directory Вспомогательные бесплатные ресурсы для проведения миграции: Windows Server 2003 Upgrade Assistance Center Active Directory Migration Tool (ADMT) 2.0 Solution Accelerator for Domain Server Consolidation and Migration: Windows NT 4.0 to Windows Server 2003 Migrating from Windows NT Server 4.0 to Windows Server 2003 Windows Server 2003 Upgrade Assistance Center Active Directory Migration Tool (ADMT) 2.0 Solution Accelerator for Domain Server Consolidation and Migration: Windows NT 4.0 to Windows Server 2003 Migrating from Windows NT Server 4.0 to Windows Server 2003

Миграция из устаревших клиентских систем в Windows XP Основные шаги по миграции из Windows 98 в Windows XP включают: Проверка на соответствие требованиям системы Уточнение возможности апгрейда устаревшей системы на новую Проверка программного и аппаратного обеспечения на совместимость Получение дополнительной информации Применение утилиты File and Settings Transfer Wizard Проверка на соответствие требованиям системы Уточнение возможности апгрейда устаревшей системы на новую Проверка программного и аппаратного обеспечения на совместимость Получение дополнительной информации Применение утилиты File and Settings Transfer Wizard

Upgrade серверов под управлением Windows NT до Windows Server 2003 Вспомогательные онлайн ресурсы по апгрейду Windows NT до Windows Server 2003: Upgrading from Windows NT Server 4.0 to Windows Server 2003 Tools and Documentation for Upgrading to Windows Server 2003 Microsoft File Server Migration Toolkit Upgrading from Windows NT Server 4.0 to Windows Server 2003 Tools and Documentation for Upgrading to Windows Server 2003 Microsoft File Server Migration Toolkit Рекомендуется проводить миграцию всех служб и данных на новую аппаратную платформу, вместо выполнения апгрейда устаревших систем

Семейство Microsoft Virtual Microsoft Virtual PC 2004 Запускается из под Windows XP Microsoft Virtual Server 2005 Standard Edition До 4-х процессоров Microsoft Virtual Server 2005 Enterprise Edition До 32-х процессоров

Консолидация серверов с использованием Virtual Server Преимущества: Экономия на аппаратной платформе и ее поддержке Легкость решения Быстрое восстановление системы Дополнительные возможности по защите Удобство удаленного администрирования Экономия на аппаратной платформе и ее поддержке Легкость решения Быстрое восстановление системы Дополнительные возможности по защите Удобство удаленного администрирования

Консолидация серверов с использованием Virtual Server Готовые решения Microsoft : Безопасная аутентификация доступа администратора и пользователей Интеграция с Active Directory Microsoft Operations Manager 2005 Management Pack for Virtual Server Systems Management Server 2003 SP1 Automated Deployment Services Virtual Server 2005 Migration Toolkit Безопасная аутентификация доступа администратора и пользователей Интеграция с Active Directory Microsoft Operations Manager 2005 Management Pack for Virtual Server Systems Management Server 2003 SP1 Automated Deployment Services Virtual Server 2005 Migration Toolkit

Варианты усиления безопасности. Итоги. Технология Ситуация МиграцияUpgradeVirtual Server Terminal Server Сегмента ция сети Рабочие станции Да Сервера Да НетДа Устаревшее ПО Нет ДаНетДа Устаревшие аппаратные ресурсы Нет Да

Следующие шаги Получение дополнительной информации по апгрейду устаревших клиентских систем Ознакомление с руководством « The Microsoft Windows NT 4.0 and Windows 98 Threat Mitigation Guide» Подписка на рассылку бюллетеня по безопасности Использование ресурсов для онлайн обучения

Вопросы и ответы