Niezależni dostawcy łatają dziury w systemie ochrony NT.

Powszechnie wiadomo, że nadszarpnięta reputacja może być bardzo trudna do poprawienia i Microsoft nieraz już tego doświadczył. Raporty o lukach w systemie bezpieczeństwa Windows NT 4.0 były zmorą jego wczesnych dni. Według obliczeń tygodnika "Network World" w samym tylko 1997 r. zasygnalizowano 10 poważnych luk w systemie ochrony NT 4.0.

Jednak po prawie trzech latach istnienia NT 4.0 Microsoft zdołał w znacznym stopniu uporządkować działania związane z uszczelnianiem systemu zabezpieczeń NT. W maju 1997 r. firma wydała Service Pack 3 dla NT 4.0, rozwiązujący wiele z tych problemów. SP3 zawierał między innymi uaktualnioną wersje protokołu uwierzytelniania SMB, wspierającego obustronne uwierzytelnianie; filtr haseł pozwalający na wprowadzenie bardziej restrykcyjnej polityki doboru haseł (hasło musi składać się z co najmniej 6 znaków, nie może zawierać w sobie nazwy użytkownika i musi być alfanumeryczne) oraz ograniczenie dostępu anonimowych użytkowników. Ponadto utworzono całodobowy serwis Security Problem Response Team, współpracujący ściśle z podobnymi zespołami - CERT z Carnegie Mellon University i CIAC z Departamentu Energetyki rządu USA.

Niezależnie od wysiłków firmy użytkownicy jak zwykle mogą liczyć na niezależnych dostawców, którzy również zajęli się problemem łatania dziur w systemie ochrony NT.

Sprawy związane z ochroną NT są przedmiotem częstych narzekań ze strony administratorów i tematem spotkań dotyczących strategii ochrony na najwyższym poziomie zarządzania systemami informatycznymi, ale w zasadzie problem ten dotyka każdego użytkownika sieci NT.

Klienci opierający się przy rozwiązywaniu problemów ochrony NT na niezależnych dostawcach mogą znaleźć na rynku produkty należące zazwyczaj do jednej z trzech kategorii:

• narzędzia do ustawiania parametrów ochrony

• oprogramowanie do utrzymywania właściwych protokołów ochrony wśród użytkowników wewnętrznych

• kinarzędzia do zapobiegawczego monitorowania prób wtargnięć do sieci NT.

Kłopoty z konfigurowaniem zabezpieczeń

Do zapewnienia właściwej ochrony sieciom NT niezbędna jest gruntowna wiedza na temat właściwego konfigurowania takich sieci. Zbudowanie bezpiecznej sieci NT jest możliwe, ale w opinii znawców zagadnienia większość takich sieci w praktyce nie jest jednak bezpieczna, ponieważ Microsoft pozostawił w gestii administratorów zbyt wiele detali związanych z konfigurowaniem zabezpieczeń. Są to tysiące parametrów modyfikowalnych na każdym serwerze sieci NT. Błędne skonfigurowanie jakiegokolwiek z nich często pozostawia sieć otwartą na potencjalny atak. Ponadto stopień zagrożeń bezpieczeństwa może być łatwo zwielokrotniony, jeżeli któryś z administratorów rozpropaguje niepoprawnie dobrane parametry konfiguracyjne na inne serwery.

W obronie Microsoftu trzeba przyznać, że firma poświęciła sporo uwagi tym problemom, udostępniając na swoim ośrodku webowym odpowiednie przykłady konfigurowania sieci NT. Niemniej jednak praktycy utrzymują, że żaden administrator ochrony NT nie powinien porywać się na konfigurowanie większej liczby serwerów NT bez automatycznych narzędzi wspomagających konfigurowanie zabezpieczeń systemu. Takie narzędzia to m.in. Enterprise Security Manager firmy Axent Technologies i Enterprise Management System z firmy Bindview.

W niedawno wydanym Service Pack 4 Microsoft zaczął dostarczać swoje własne narzędzia konfigurowania ochrony o nazwie Security Configuration Editor. Zawierają one szablony upraszczające proces ustanawiania ochrony i pozwalają administratorom na zunifikowanie sterowania ochroną we wszystkich domenach sieci NT.

Skuteczna ochrona przed intruzami

Jednym ze sposobów obrony przed włamaniem do serwera NT jest ustanowienie zwartej polityki ochronnej w ramach korporacji, zapobiegającej powstawaniu wewnętrznych luk w systemie ochrony. Opublikowany przez firmę konsultingową Burton Group raport na temat ochrony NT utrzymuje, że zadanie to zawsze było trudne do właściwego wykonania z powodu braku w systemie NT rasowych usług katalogowych. Z uwagi na sposób zarządzania domenami NT 4.0 delegowanie zadań administrowania na indywidualnych użytkowników implikuje konieczność przyznania im pełnych uprawnień administratora, a to niesie ze sobą ryzyko stworzenia sytuacji "rozmytej odpowiedzialności" i tym samym poważnego zagrożenia bezpieczeństwa sieci.

W celu wspomożenia administratorów w obsłudze zmian haseł i kont na dużej liczbie serwerów można zastosować oprogramowanie Enterprise Administrator firmy Mission Critical Software. Pozwala ono na rozładowanie zadań administratora bez utraty wpływu na ochronę.

Z innym doświadczeń wynika z kolei, że wbudowane w NT możliwości audytu niewiele wspomagają administratora w zadaniach śledzenia aktywności serwerów NT w sieciach zawierających setki takich serwerów. Tutaj z kolei można podpierać się narzędziem o nazwie AppManager z firmy NetIQ, monitorującym logi ochrony w aplikacjach BackOffice Microsoftu. Narzędzie to pozwala na wykrywanie zmian uprawnień lub niewłaściwie zmodyfikowanych grup administracyjnych.

Na rynku pojawiła się także dynamicznie rozwijająca się grupa narzędzi wykrywania wtargnięć do systemów. Narzędzia te utrzymują bazy danych zawierające informacje o znanych lukach w systemie ochrony NT i na bieżąco monitorują wszystkie maszyny NT w sieci. Niektóre z tych narzędzi mogą podejmować pewne kroki zmierzające do odcięcia dostępu nie autoryzowanym użytkownikom. Do tej klasy należy zaliczyć Internet Scanner i RealSecure firmy ISS, Kane Security Analyst firmy Intrusion Detection i Event-Management Orchestrator firmy Network Assotiates.

Na bardziej dogodne możliwości administrowania, zgodnie z obietnicami Microsoftu, można liczyć jednak dopiero w momencie pojawienia się NT 5.0 z usługami katalogowymi Active Directory.