|
|
| ┌vodnφ informace |
Windows NT/2000/XP obecn∞ platφ za pom∞rn∞ bezpeΦenΘ operaΦnφ systΘmy, nebo¥ byly jako takovΘ navrhovßny. Pravdou ale z∙stßvß fakt, ₧e dφky jejich rozÜφ°enosti a takΘ u₧ivatelskΘ p°φv∞tivosti nenφ u₧ivatel nucen se starat o jejich optimßlnφ nastavenφ, instalaci bezpeΦnostnφch zßplat, atd. Proto se v sekci Windows NT budeme sna₧it upozor≥ovat na ·skalφ, kterß mohou sprßvce tohoto operaΦnφho systΘmu potkat, a takΘ na chyby, kterΘ se Φas od Φasu objevφ snad v ka₧dΘm programu. Ani Windows NT/2000/XP nejsou vyjφmkou.
Zde se pokusφm shrnout jen n∞kterΘ chyby, kterΘ Φasto u₧ivatelΘ, Φi sprßvci t∞chto operaΦnφch systΘm∙ d∞lajφ.
1. Politika hesel: I sebelΘpe nastaven² a zabezpeΦen² server je d∞rav² jak °eÜeto, pokud majφ u₧ivatelΘ hesla, kterß se dajφ lehce uhßdnout. Z vlastnφ zkuÜenosti vφm, ₧e nejsou vyjφmkou ani ·Φty s administrßtorsk²mi privilegii, kterΘ majφ stejnΘ heslo jako u₧ivatelskΘ jmΘno. Pokud je takov² server hacknut, dob°e sprßvci tak. Nic jinΘho si toti₧ nezaslou₧φ.
2. Instalace pouze service pack∙: Mßte nainstalovan² nov² Service pack a jste dφky tomu nedotknutelnφ? Chyba. Chyb je mnoho a stßle se objevujφ novΘ. Je proto nutnΘ b²t stßle v obraze a instalovat i bezpeΦnostnφ zßplaty, vydßvanΘ spoleΦnostφ Microsoft.
3. Malß kontrola nad b∞₧φcφmi procesy: Z vlastnφ zkuÜenosti vφm, ₧e se najdou i tacφ administrßto°i, kte°φ "z vysoka kaÜlou" na obΦasnou kontrolu b∞₧φcφch proces∙. Potom se ale nemohou divit, kdy₧ se jim zaΦnou ztrßcet data, nebo unikat informace. Mnoho hacker∙ si toti₧ nechßvß v napadenΘm poΦφtaΦi trojskΘho kon∞, nebo jinß zadnφ vrßtka. N∞kdy si mohou v systΘmu lebedit i celΘ roky a nikomu to nevadφ. Proto je dobrΘ mφt p°ehled o b∞₧φcφch procesech, nebo tuto starost p°enechat n∞jakΘmu software. Ono to p°eci nebolφ. StaΦφ ukonΦit a smazat.
4. Nastavenφ logovßnφ. Window NT a jejich nßsledovnφci majφ jednu krßsnou vlastnost. Umo₧≥ujφ nastavit ulo₧enφ zßznamu o prakticky ka₧dΘ udßlosti v systΘmu, a¥ ji₧ se jednß o p°ihlßÜenφ, nepovedenΘ p°ihlßÜenφ, odhlßÜenφ, atd. ProΦ toho nevyu₧φt? MnohΘ to m∙₧e ulehΦit, nebo ujasnit. Pokud se n∞kdo p°ihlßsil na n∞jak² ·Φet o p∙l druhΘ rßno, tak by mi to vrtalo hlavou.
5. Zabrßn∞nφ inventarizace: Mnoho sprßvc∙ nechßvß sv∙j systΘm otev°en², jako knihu. Pro ·toΦnφka je potom p°φmo po₧itkem zφskßvßnφ i takov²ch informacφ, jako t°eba nßzvy sdφlen²ch disk∙, seznam u₧ivatel∙, Φi t°eba kdy se jak² u₧ivatel p°ihlßsil. V²Φet dostupn²ch informaci m∙₧e b²t i mnohem v∞tÜφ. Na sv∞domφ to mß v∞tÜinou mo₧nost vytvo°enφ tzv. prßzdnΘ relace, to znamenß p°ipojenφ se k poΦφtaΦi bez znalosti jakΘhokoliv u₧ivatelskΘho jmΘna, Φi hesla.
Ono p°ipojenφ m∙₧e vypadat t°eba takto:
net use \\111.222.333.444\IPC$ "" /user:""
ZajφvavΘ na tom vÜem je, ₧e dnes existuje mnoho program∙, kterΘ se takto p°ipojφ a jsou schopny zφskat veÜkerΘ dostupnΘ informace prakticky bez zßsahu u₧ivatele. Pokud tedy nechcete nechat svß Windows otev°enß sv∞tu, doporuΦuji blokovat porty 135-139 a samoz°ejm∞ 445. NejlΘpe toho dosßhneme instalovßnφm firewallu. TakΘ nenφ ÜpatnΘ nastavit polo₧ku RestrictAnonymous pod klφΦem
HKLM\SYSTEM\CurrentControlSet\Control\LSA na hodnotu 1 (U Windows NT), nebo 2 (u Windows 2000), p°iΦem₧ prvnφ mo₧nost zφskßvßnφ informaci pomocφ prßzdnΘ relace velmi zkomplikuje a druhß tomu zamezφ ·pln∞.
Nynφ u₧ asi vφte, o Φem bude sekce Windows NT. Krom∞ nßvod∙ a upozorn∞nφ, jako ta v²Üe, zde najdete i software na prov∞°enφ p°ijat²ch opat°enφ. Je v₧dy lepÜφ, kdy₧ odhalφ₧e chyby sami, ne₧ s tφm Φekat na n∞jakΘho nezvanΘho hosta. M∙₧e to b²t toti₧ dosti bolestivß zkuÜenost, nejen pro sprßvce.
V p°φpad∞ jak²chkoliv dotaz∙ nevßhejte a piÜte na adresu admin@forbidden.cz.
VᚠAccess Forbidden.
Admin
|
|
|
| Novinka |
| Startuje nßÜ vlastnφ projekt na vydßvßnφ elektronick²ch certifikßt∙. |
| Reklama |
| Reklama na Access Forbidden - Info |
|
