Drogi administratorze, szanowny decydencie

Jeśli w sieci Waszej firmy wciąż są używane systemy Windows inne niż te z linii NT, męczcie się dalej. Ślęczcie po nocach i wydawajcie krocie na zabezpieczenia. Albo pójdźcie po rozum do głowy i pozbądźcie się ich raz na zawsze - co do jednego!

Jeśli w sieci Waszej firmy wciąż są używane systemy Windows inne niż te z linii NT, męczcie się dalej. Ślęczcie po nocach i wydawajcie krocie na zabezpieczenia. Albo pójdźcie po rozum do głowy i pozbądźcie się ich raz na zawsze - co do jednego!

Trzeba być doprawdy masochistą, by w dobie włamań i masowego zagrożenia infekcjami wirusowymi korzystać z czegoś, co nie zapewnia nawet elementarnego poziomu bezpieczeństwa. Niestety, niczego lepszego o systemach Windows 95/98 powiedzieć się nie da. Gdy już zrozumiecie, że system zwany popularnie "konsolą" (wciąż działają na nim najlepsze gry!) jest jedną wielką wyrwą w zabezpieczeniach sieci, nie zapomnijcie, aby to, co wdrożycie w zamian, nie nosiło nazwy Windows XP Home Edition.

Nie dajcie się także zwieść tęsknocie do rzekomo wydajnego systemu plików FAT32. Wyrzucenie starych komputerów jest w praktyce tańsze niż ich dalsze używanie, albowiem "NTFS najlepszym systemem plików jest, bo najlepszym systemem plików jest NTFS". Koniec, kropka. NTFS jest niezawodny, a przede wszystkim pozwala ustalić, kto i co może zrobić z przechowywanym w nim katalogiem czy plikiem. To zaś oznacza wprost, że NTFS może być użytecznym narzędziem do ograniczania skutków niepożądanych zjawisk, gdy do nich mimo wszystko (a nie na pewno, jak w przypadku starych "okienek") dojdzie.

Nie tylko zresztą NTFS. W edycjach systemów Windows NT4.0/2000/2003/XP istnieje wiele mechanizmów pozwalających zabezpieczyć sieć firmową przed przykrymi konsekwencjami ataków hakerskich i infekcji wirusowych. Trzeba tylko wiedzieć, gdzie je znaleźć, i umieć je właściwie skonfigurować. Myśl przewodnia niniejszego artykułu jest następująca: konto administracyjne służy TYLKO do administrowania.

Od czego jest administrator

Powtórzę to jeszcze raz: konto o nazwie administrator w systemach Windows służy TYLKO do administrowania. Nie czyni ono administratora tak wszechwładnym, jak w przypadku kont root w systemach Unix, ale, co nie dla wszystkich jest oczywiste, wirus działający na tym koncie zrobi z systemem dokładnie to, co chce. Do codziennej pracy należy wykorzystywać konta robocze, dla których zestaw uprawnień jest z definicji uboższy.

Że to problematyczne? Nie. Problematyczne jest tak naprawdę uparte korzystanie z kont administracyjnych. Zdecydowanie lepiej poświęcić chwilę na poprawne skonfigurowanie uciążliwego programu, niż co tydzień poddawać komputer żmudnej dezynfekcji. Smutna prawda jest jednak taka, że niektórym łatwiej jest narażać współpracowników na utratę danych i cyklicznie reinstalować system, wyklinając Microsoft, niż pójść po rozum do głowy.

Wracając do tematu konta administrator (i innych kont administracyjnych), wypada rozwiać mylne przekonanie, że do wykonania w systemie każdej poważniejszej czynności konieczne jest wylogowanie i ponowne zalogowanie jako administrator. Znacznie wygodniej jest skorzystać z funkcji RunAs (uruchom jako). Stworzono ją właśnie po to, aby umożliwić przeprowadzenie pewnych operacji z poziomu konta roboczego z przywilejami innego użytkownika. Narzędzie to ma jeszcze jedną ważną funkcję, ale o tym później.

Sposób na uparciuchów

Ten głupi program nie chce działać na koncie innym niż właśnie administrator. Wielu programistów, w tym np. zatrudnieni w firmie Prokom autorzy wspaniałego programu Płatnik, zdaje się nie pamiętać, iż program to nie dane, i odwrotnie. Według nich najlepiej jest tworzyć pliki gdzie popadnie, a jeśli się nie da, to użytkownika należy ukarać enigmatycznym komunikatem Error cośtam. "Sam żeś sobie użytkowniku winien", zdają się sugerować, "no bo jak można pracować na koncie innym niż administrator?!"

Pierwsze, co należy zrobić w takiej sytuacji, to rozważyć w duchu, czy felerny program aby na pewno jest w firmie niezbędny lub czy nie ma dla niego w miarę taniego zamiennika napisanego zgodnie z regułami sztuki. Ładne ikony czy przyzwyczajenia użytkowników to jeszcze nie powód, by bezpieczeństwo sieci firmowej stawiać na głowie.

Niektóre programy są mniej zepsute niż inne. Być może program uda się jednak przekonfigurować, by poddał się regułom wyznawanym przez cywilizowaną część świata? Niezastąpione są tu dwa narzędzia FileMon i RegMon, które można bezpłatnie pobrać z nieocenionej witryny Sysinternals (http://www.sysinternals.com ). W skrócie, przy ich użyciu należy szukać tych miejsc w systemie plików lub w rejestrze, do których program próbuje pisać, ale nie może, ponieważ system odmawia mu praw dostępu. W takim przypadku programowi należy nadać minimum praw potrzebnych do tego, by w niezmienionej postaci program dał się uruchomić i działał poprawnie.

Pisać nie każdy może

W systemach z serii NT zarówno rejestr, jak i system plików można podzielić na część systemową i część przeznaczoną dla użytkowników. Od Windows 2000 wzwyż wszystkie dane użytkownika powinny być trzymane w %userprofile%, dane aplikacji natomiast w %appdata%. Innymi słowy, dane użytkowników powinny być przechowywane w katalogu Documents and Settings - najlepiej, by użytkownicy mieli prawo do zapisu tylko i wyłącznie właśnie tam. I nigdzie indziej. Użytkownik niemający praw administracyjnych w żadnym razie nie powinien mieć praw zapisu czegokolwiek w katalogach %programfiles% oraz %systemroot%, czyli popularnych katalogach Program Files i Windows lub Winnt.

Jeśli chodzi o rejestr, to część dostępna dla użytkownika znajduje się w gałęzi HKCU, gałęzią systemową jest natomiast HKLM. Tu podobnie - procesy uruchamiane z przywilejami zwykłego użytkownika nie powinny mieć możliwości modyfikacji żadnego klucza z gałęzi HKLM. W praktyce nie jest to takie proste do osiągnięcia, należy jednak konsekwentnie do tego dążyć. W szczególności należy zadbać o to, by użytkownicy nie mogli pisać do kluczy:

  • HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Userinit

  • HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell

  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce
  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
  • HKLM\Software\Policies\Microsoft\Windows\System\Scripts

  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

    Większość tych kluczy służy do uruchamiania programów po starcie systemu lub po zalogowaniu się użytkownika. Ze względu na to, że są one umieszczone w gałęzi HKLM, są wspólne dla wszystkich użytkowników. W gestii użytkownika pozostają klucze:

  • HKCU\Software\Microsoft\Windows\CurrentVersion\Run
  • HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices
  • HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
  • HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run

  • HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load

  • HKCU\Software\Policies\Microsoft\Windows\System\Scripts

  • HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
  • HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
  • HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnceEx

    Wirusy bardzo lubią wykorzystywać klucze typu Run do zapewnienia sobie uruchomienia przy kolejnych startach systemu. Jeśli użytkownik nie będzie mógł pisać do klucza Run znajdującego się w gałęzi HKLM, wówczas wirus albo "zgłupieje", albo po prostu się nie uruchomi po restarcie. To samo dotyczy także większości programów typu spyware - one także lubią startować razem z systemem. Bardzo ciekawym narzędziem, które pozwala przeglądać listę automatycznie uruchamianych aplikacji, jest narzędzie Autoruns, dostępne, a jakże, na witrynie Sysinternals.

    Group Policy - użyteczne narzędzie

    W Windows NT dokonanie wielu zmian w zabezpieczeniach systemu wiązało się z ręczną edycją rejestru. Od Windows 2000 większość ustawień jest dostępna poprzez Group Policy. Mechanizm ten pełnię swoich możliwości prezentuje dopiero w domenie, ale każdy komputer ma co najmniej jeden lokalny obiekt GPO. W szczególności interesujące są ustawienia z kategorii Security.

    Group Policy umożliwia m.in. konfigurację:

    • Zasad inspekcji zdarzeń

    • Anonimowego dostępu do komputera

    • Zabezpieczeń dla udostępniania plików

    • Wymagań odnośnie do złożoności haseł

    W internecie

  • Sysinternals -http://www.sysinternals.com

  • Instrukcja wyłączenia interfejsu DCOM -http://support.microsoft.com/default.aspx?scid=825750

  • Instrukcja wyłączenia automatycznego tworzenia udziałów administracyjnych -http://support.microsoft.com/default.aspx?scid=288164

  • Ograniczenie dostępu anonimowego do komputera - http://support.microsoft.com/default.aspx?scid=246261


  • TOP 200