Utmutato a Microsoft Windows XP Megerositesehez
Transcript of Utmutato a Microsoft Windows XP Megerositesehez
-
8/14/2019 Utmutato a Microsoft Windows XP Megerositesehez
1/33
MTA SZTAKI
Hlzatbiztonsgi osztly
tmutat a Microsoft Windows XP megerstshez
2005. jnius
-
8/14/2019 Utmutato a Microsoft Windows XP Megerositesehez
2/33
Tartalomjegyzk
1. Bevezets........................................................................................................................32. A Windows XP krnyezetei..............................................................................................4
2.1 Otthoni krnyezet illetve kisvllalkozsok szmtgpei (OKV)...............................4
2.2 A vllalati krnyezet.................................................................................................52.3 Fokozott biztonsg krnyezet ................................................................................52.4 Elavult krnyezet......................................................................................................6
3. Windows XP mintabelltsainak ttekintse...................................................................73.1 Azonostk s jelszavak belltsai..........................................................................73.2 Helyi hzirend ..........................................................................................................83.3 Esemnynaplzs..................................................................................................113.4 Kttt csoportok.....................................................................................................123.5 Rendszerszolgltatsok.........................................................................................123.6 Fjl jogosultsgok ..................................................................................................133.7 Rendszerler-adatbzis engedlyezse...............................................................13
3.7.1 Nyomkvetshez kapcsold rendszerler kulcsok...........................................143.7.2 Automatikus funkcik ..........................................................................................143.7.3 Hlzati munka ...................................................................................................153.8 Javaslatok sszefoglalsa .....................................................................................16
4. Biztonsgi mintabelltsok ...........................................................................................184.1 Fikhzirend ..........................................................................................................184.2 Helyi hzirend ........................................................................................................194.3 Esemnynapl hzirend ........................................................................................274.4 Kttt csoportok.....................................................................................................274.5 Rendszerszolgltatsok.........................................................................................274.6 Fjl engedlyek belltsa .....................................................................................284.7 Rendszerler-adatbzis belltsai.......................................................................29
5. A Windows XP biztonsgi belltsainl alkalmazott eszkzk .....................................326. A Windows XP rendszerben hasznlt portok.................................................................33
2
-
8/14/2019 Utmutato a Microsoft Windows XP Megerositesehez
3/33
1. Bevezets
A dokumentum clja, hogy a rendszergazdknak a Windows XP munkalloms belltshoz segtsgetnyjtson.
Az albbi tanulmny a National Institute of Standards and Technology (NIST) 800-68 szm speciliskiadvnya alapjn kszlt. Az eredeti dokumentum cme: Guidance for Securing Microsoft Windows XPSystems for IT Professionals: A NIST Security Configuration Checklist. Azonban ez az anyag tbbvonatkozsban is eltr az eredeti tanulmnytl: rszben lnyeges fejezetek nem kerltek ide, mint pldul ateleptssel, frisstssel foglalkoz rsz, valamint az alkalmazsokat elemz fejezet. A hangsly itt a Win-dows XP lehetsges belltsaira kerlt. Ugyanakkor bvebb is ez az anyag, mert bizonyos belltsokhozmagyarzatokat fztek, s kiegsztettk a magyar Windows XP-ben alkalmazott elnevezsekkel.
Az anyag csupn az els vltozat, az MTA SZTAKI-ban mkd Hlzatbiztonsgi csoport tovbbi kiegsz-tsek elksztst tervezi.
A dokumentumban lv informcikat klnbz krnyezetben elhelyezked Windows XP munkallom-
sok, mobil szmtgpek s telekommunikcis rendszerek megvdsre hasznlhatk. A lehetsgeskrnyezeteket a kvetkez rsz ismerteti.
A mellklet az egyes krnyezetekhez tartoz biztonsgi mintabelltsokat tartalmazza. A sablonok aNational Security Agency (NSA), a Defense Information Systems Agency (DISA) s a Microsoft ltal kifej-lesztett mintabelltsokon alapulnak. A sablonok a Center for Internet Security (CIS), DISA, NSA, Microsofts a NIST biztonsgi szakembereivel trtn egyeztets alapjn kszltek.
A Windows XP szmos lehetsget nyjt a sablonok teleptshez. A Security Configuration and AnalysisMicrosoft Management Console (MMC) snap-in funkcija kivlan megfelel arra, hogy egy loklis gpenteleptse a sablont. Windows XP tartomny (domain) krnyezetben a Csoport hzirend szerkeszt (GroupPolicy Editor) az erre alkalmas eszkz. A Microsoft a GPMC-t ajnlja a tbbszrs tartomnyban a csoportokbelltsainak kezelsre. A biztonsgi belltsoknl alkalmazott eszkzk listja a 7. fejezetben tallhat.
Az itt lertakat sokan s alaposan teszteltk, de minden rendszer s krnyezet egyedinek szmt, ezrt arendszeradminisztrtornak sajt magnak is tesztelnie kell azokat. A NIST Windows XP biztonsgi sablonokkifejlesztst az motivlta, hogy egy sokkal biztonsgosabb Windows XP munkalloms konfigurciszlessen. Azonban egyes belltsok a rendszer mkdkpessgt vagy hasznlhatsgt cskkenthetik,ezrt vatosan alkalmazza azokat. Tesztelsi mdszernek javasolhat, hogy a rendszeradminisztrtor egyfrissen teleptett rendszerbl induljon ki, fokozatosan ptse fel a kvnt rendszert.
3
-
8/14/2019 Utmutato a Microsoft Windows XP Megerositesehez
4/33
2. A Windows XP krnyezetei
Ez a rsz bemutatja azokat a krnyezeti tpusokat, amelyekbe a Windows XP gazdagp kerlhet: otthoniilletve kisvllalkozsi krnyezet (OKV), vllalati krnyezet vagy fokozott biztonsgot ignyl hely. Egy
negyedik krnyezeti tpus, az elavult krnyezet is ide sorolhat, amikor is a Windows XP specilis ignyekkielgtst vllalja fel, vagyis azt, hogy a korbbi szerverekhez s alkalmazsokhoz trtn, idbenvisszafel mutat kompatibilitsnak tegyen eleget.
Felttlenl meg kell emlteni, hogy minden krnyezetben szksges a biztonsgot rint dokumentumokelksztse is, ilyenek mint a Elfogadhat felhasznls irnyelvei (acceptable use policy), a biztonsgitudatossg nvelst clz dokumentumok, stb.
2.1 Otthoni krnyezet illetve kisvllalkozsok szmtgpei (OKV)
Az OKV kis, htkznapi, egyedlll szmtgpet jelent, amit zleti clra hasznlnak. Az OKV ugyanakkorsokfle krnyezetet jelenthet, kezdve a csak alkalomszeren munkra hasznlt otthoni gptl egy cgkisebb rszlegnl munka cljaira alkalmazott gpekig, amelyet technikai vagy zleti okokbl nem tvolrlkezelnek. Az albbi bra egy tipikus OKV krnyezetet mutat:
1. bra: Tipikus OKV hlzati architektra
ltalban az OKV krnyezet szokott a legkevsb biztonsgos lenni. Ugyanis az OKV rendszer adminisztr-cijval foglalkozk keveset tudnak, keveset foglalkoznak a biztonsggal, sokkal inkbb a mkd-kpessget tartjk szem eltt. Ilyen krnyezetben nem mindig alkalmaznak biztonsgi szoftvereket, pldulvruslt, szemlyes tzfalat. De a hlzatvdelemmel sem mindig trdnek, teht az OKV-s gpek kzvet-lenl ki van tve kls tmadsoknak. s ezrt sokszor tmadsi clpontokk is vlnak, nem a rajtuk lvinformci megszerzse miatt, hanem inkbb tovbbi tmadsok kiindulpontjul vlasztjk ezeket, vagyfrgek ltal okozott krok mellkszerepliv vlnak.
Az OKV krnyezetben az elsdleges fenyegetsek kvlrl vrhatk, ezrt kevsb szigor felhasznlihzirendet kell megfogalmazni, mint egy vllalati vagy fokozott biztonsg krnyezetben. A tmadsok flega hlzati szolgltatsok ellen irnyulnak, vagy rosszindulat programoknak (vrusok, frgek) aszmtgpekre val felvitele trtnik. A tmadsok tbbnyire a rendszer elrhetsgt bntjk (rendszer-sszeomls, hlzati svszlessg cskkense, mkdkpessg korltozsa), de rintheti a srtetlensget
is (adatfjlok megfertzse) s a bizalmassgot is (rzkeny adatok, elektronikus levelek tvolrl trtnelrse).
4
-
8/14/2019 Utmutato a Microsoft Windows XP Megerositesehez
5/33
Az OKV biztonsga a kicsi, olcs, hardver-alap tzfal tvonalvlasztk (routerek) elterjedsvel javulni fog,mivel azok bizonyos mrtkig a mgttk lv gpeket is vdik. Szemlyes tzfalak (BlackICE, ZoneAlarm,Internet Connection Firewall) szintn javtanak a helyzeten. Azonban az OKV megerstsben kulcsfontos-sg szerepet jtszik a sebezhetsgek megszntetse a megfelel javtsok teleptsvel, a feleslegesfunkcik kiiktatsval, a belltsok megvltoztatsval.
2.2 A vllalati krnyezet
A vllalati krnyezet tipikusan egy menedzselt krnyezet, ami a hardver s szoftver konfigurci szempont-jbl is strukturlt. ltalban egy kijellt csoport felels a biztonsgrt. A gyakorlott munkatrsak s a meg-tervezett krnyezet biztostk arra, hogy mind a teleptsnl, mind pedig a mkdtetsnl a biztonsgprioritst kap. A vllalati krnyezetre a tartomnyi modell a jellemz, mert abban hatkonyan vgezhetk ela belltsok s az erforrsok megosztsa (nyomtat, fjl szerver). A vllalatoknl csak a normlmkdshez szksges szolgltatsokat engedlyezik, az egyb, kockzatot jelent alkalmazsokat trlik.A jogosultsgot, a jelszavakat, a hzirendek meghatrozst kzpontilag vgzik, gy az egsz szervezetenbell azonos elvek rvnyeslnek.
2. bra: Tipikus vllalati krnyezet architektra
A vllalati krnyezet sokkal inkbb korltoz, mint az OKV krnyezet. Tbbszint vdelmi rendszert szoktakkialaktani (tzfalak, vruslk, behatolsrzkel rendszerek). Vllalati krnyezetben ltalban nem merl
fel az elavult eszkzkkel, rendszerekkel val egyttm
kds krdse.Az ilyen rendszereket bels s kls tmads is fenyegeti. Bels tmadsra tipikus eset, amikor valaki amsik szmtgpt jogosulatlanul hasznlja. A kls tmads nemcsak a hlzaton kvlrl rkezhet, ha-nem bels felhasznltl is, amikor a szervezet hlzatn keresztl egy bels rendszert tmad (a strukturlt-sg miatt lehetsges). A leggyakoribb tmadsi md, amikor a kls fltl rosszindulat csomag (SPAM,kmszoftver, stb.) rkezik. A hlzati szolgltatsok elleni tmads ritkbb, de bels s kls fl is okozhat- ja. Mindkt mdszer a biztonsg hrom alapelvt: a rendelkezsrellst, a titkossgot s az adatoksrtetlensgt is rintheti.
2.3 Fokozott biztonsg krnyezet
A fokozott biztonsg krnyezet az a krnyezet, amikor a tmads vagy az adatok napvilgra kerlsnek
kockzata igen nagy. Az ilyen krnyezet lehet hlzatba ktve, de llhat nmagban is. Tipikusan olyanszmtgpek vannak itt, amelyek bizalmas informcit tartalmaznak (szemlyes adatok, orvosi vagypnzgyi rekordok, stb.) s ezeken valamilyen mveleteket vgeznek (szmlzs, forgalomirnyts, stb.)Elssorban kls tmads rheti, de a bels sem kizrt. Az ilyen krnyezet lehet egy vllalati vagy OKV kr-
5
-
8/14/2019 Utmutato a Microsoft Windows XP Megerositesehez
6/33
nyezet rsze is (pl. a pnzgyi osztly rendszere, vagy egy mozg munkatrs laptopja az otthoni hlzat-ban).
A fokozott biztonsg krnyezetnek ugyanazokkal a fenyegetsekkel kell szembe nznik, mint a vllalatok-nl. A kockzatok s az eredmnyes tmadsok kvetkezmnyei miatt azonban kevesebb funkcit szabadmegengedni, s a belltsoknl szigorbban kell eljrni. Itt mg inkbb szksg van tapasztalt biztonsgiszakemberekre, aki a korltozsok mgtti tartalmat is rti.
2.4 Elavult krnyezet
Az elavult krnyezetekben rgi rendszerek vagy alkalmazsok futnak, amelyek idejtmlt kommunikciseljrsokat hasznlnak. Emiatt aztn az ilyen krnyezetben mkd rendszerek biztonsgi szempontbl sokkal nyitottabbak, s egyttal vdtelenebbek is. Ilyen krnyezet akr vllalati, akr otthoni krnyezetbenelfordulhat, fokozott biztonsgot ignyl krnyezetben nem valszn.
6
-
8/14/2019 Utmutato a Microsoft Windows XP Megerositesehez
7/33
3. Windows XP mintabelltsainak ttekintse
A biztonsgi belltsok kerlnek felsorolsra ebben a fejezetben, melyek a NIST mintabelltsai kzttkaptak helyet. A belltsokat ht csoportba osztjuk: azonostk s jelszavak, helyi hzirend, esemny-naplzs, kttt csoportok, rendszerszolgltatsok, fjl jogosultsgok, rendszerler adatbzis.
Minden csoportnl az is megtallhat, hogy milyen eszkzkkel vgezzk el a belltst. A javasolt rtkek a4.fejezet tblzataiban vannak. Az eszkzk pedig az 5. fejezetben tallhatk.
A Windows XP magyar s angol vltozatban hasznlt kifejezseket dlt betvel jelljk. A / a lehetsgesvlasztst jelli.
3.1 Azonostk s jelszavak belltsai(Fikhzirend Account Policies)
3.1.1 Jelszavak (Jelszhzirend Password Policy)
A helyes jelszavak kivlasztsra s hasznlatra nemcsak a felhasznlkat kell megtantani, hanem azopercis rendszerben a jelszavakhoz kapcsold paramtereket gy ajnlatos belltani, hogy az az ers
jelszavak hasznlatt segtse el. gy a jelsz kitallsnak vagy feltrsnek valsznsge lnyegesencskkeni fog. A kvetkez paramterek belltsa kvnatos:
Jelsz maximlis lettartama - Maximum password age: ez a felhasznlt a rendszeres jelsz-cserre kszteti. Minl kisebb ez az rtk, annl valsznbb, hogy gyenge jelszt vlasztanak afelhasznlk, mert azt knnyebb megjegyezni. Minl nagyobb az rtk, annl inkbb veszlyeztetetta jelsz, vagyis nagyobb az eslye, hogy jogosulatlanok megismerjk.
Jelsz minimlis lettartama Minimum Password Age: ez a bellts arra vonatkozik, hogy afelhasznlnak hny napot vrnia kell, mieltt jra megvltoztathatja a jelszavt. Sokan a jelszmaximlis lettartamnak lejrta utn megvltoztatjk a jelszavukat, majd azonnal vissza isvltoztatjk a rgire. Ezt kszbli ki a jelsz minimlis lettartamnak belltsa. Htrnya, hogyazokat a felhasznlkat is korltozza, akiknek j jelszava napvilgra kerlt. Ilyenkor adminisztrtori
beavatkozs szksges.
Legrvidebb jelsz Minimlis Password Length: a jelsz minimlis hossza karakterekben meg-adva. Ennek htterben az a meggondols ll, hogy hosszabb jelszt nehezebb kitallni/feltrni.Htrnya viszont, hogy a hosszabb jelszt nehezebb megjegyezni.
A jelsznak meg kell felelnie a bonyolultsgi feltteleknek Password Must Meet ComplexityRequirements: a minimlis jelszhosszhoz hasonlan ez is a jelsz kitallst nehezti. A bonyolult-sg ellenrzse azt jelenti, hogy a jelsz nem tartalmazza a felhasznl azonostjt, s klnflekarakterek (kis- s nagybet, szm, specilis karakter) keverkbl ll ssze.
Elz jelszavak megrzse Enforce Password History: a korbban hasznlt jelszavak megriz-hetk a rendszerben, a megadott szm jelsz kerl trolsra. Elnye, hogy a felhasznl korbbi jelszavait nem alkalmazhatja. Htrnya, hogy a rgi jelszavak a trols miatt esetlegnyilvnossgra kerlnek.
A tartomny sszes felhasznlja jelszavnak trolsa visszafejthet titkostssal - Store PasswordUsing Reversible Encryption for All Users in the Domain: ha ezt a lehetsget belltjk, akkor ajelsz visszakdolhat formban kerl trolsra, ami veszlyes lehet. Csak akkor lltsk be ezt amdot, ha egy rgebbi autentiklsi protokoll tmogatsa (CHAP Challenge HandshakeAuthentication Protocol) szksges.
3.1.2 Azonostk (Fikzrolsi hzirend Account Lockout Policy Settings)
A tmadk gyakran a felhasznlk azonostjt hasznljk a jelszavak kitallshoz. A Windows XP-ben azazonost letilthat, ha tl sok sikertelen ksrlet trtnik egy megadott idn bell. A NIST mintban a kvet-kez paramtereket lltottk be:
7
-
8/14/2019 Utmutato a Microsoft Windows XP Megerositesehez
8/33
Fikzrols kszbe Account Lockout Threshold:a hibs ksrletek maximlis szmt mutatja ezaz rtk, ezutn az azonostt ideiglenes letiltjk.
Fikzrols idtartama Account Lockout Duration:az azonost ideiglenes letiltsnak idejt adjameg. Gyakran rvid, de azrt lnyeges idtartamra lltjk be (pl. 15 perc), kt okbl. A jogosfelhasznlnak, aki vletlenl zrta ki magt a hasznlatbl, csak 15 percet kelljen vrnia az jblibelpsre, ahelyett, hogy az adminisztrtort kellene megkrnie az azonost jbli megnyitsra.
Msodszor, azok, akik a jelszt kvnjk felderteni, ltalban tmegesen prbljk ki a jelszavakat,s gy k egyszerre csak viszonylag kevs jelszvak ksrletezhetnek, a folytatshoz pedig 15percet vrniuk kell. Ez a bellts cskkenti az n. brute force attack, azaz a nyers er hasznlatt.
Fikzrolsi szmll nullzsa - Reset Account Lockout Counter After: ezt a belltst a Fik-zrols kszbe-vel egytt alkalmazzk. Ha pldul a ksrletek szma 10, s ez a paramter 15perc, akkor 15 percen belli 10 hibs jelsz megadsa utn az azonostt letiltjk.
Az azonostk s jelszavak belltsnak nagy krdse, hogy hogyan lehet egyenslyt teremteni a bizton-sg, a mkdkpessg s a hasznlhatsg kztt. Pldul ha egy azonostt nhny hibs jelszmegadsa utn kizrunk, ez ugyan megnehezti a jogosulatlan belpst, de meglehetsen megnveli azazonostval foglalkoz adminisztrtor munkjt a vletlen eltsek miatti kizrsok visszalltsa miatt.Msrszt emiatt a felhasznlk paprra fogjk lerni a jelszavukat, illetve knnyen megjegyezhet jelszavakat
alkalmaznak. Ezrt alaposan vgig kell gondolni a belltsokat.
A bellts mdja:
Start -> Vezrlpult -> Felgyeleti eszkzk -> Helyi biztonsgi belltsok -> Fikhzirend -> Jelszhzi-rend illetve Fikzrolsi hzirend
Start > Control Panel -> Administrative Tools -> Local Security Policies -> Account Policies -> PasswordPolicy illetve Account Lockout Policy
3.2 Helyi hzirend
A helyi hzirend (local policy) hrom tmval foglalkozik: a naplzssal, a felhasznli jogok kezelsvelvalamint a biztonsgi belltsokkal.
3.2.1 A naplzs (Naplrend Audit Policy)
A Windows XP hatkony eszkzt biztost a rendszer megfigyelsre, ellenrzsre. A megfigyels mdszerea naplzs (log), a rendszeradminisztrtorok ezeket tnzve kiszrhetik a jogosulatlan tevkenysgeket. Anaplk az incidensek feldertsnl is hasznos eszkznek bizonyulhatnak. A naplk rgzthetik a be- jelentkezseket/kilpseket, az azonostk kezelst, a cmtr-hozzfrst, a hzirendek vltoztatst, arendszerjogok mdostst, a folyamatok nyomon kvetst, stb. amint az az albbi tblzatban lthat.Minden naplzsi fajtnl bellthat, hogy a sikeres, a sikertelen vagy mindkt tpus esemnyekbejegyzsre kerljenek, vagy semmi se kerljn bejegyzsre. A bejegyzseket az Esemnynapl (Eventviewer) segtsgvel nzhetjk meg.
Ellenrzs belltsa Lers (Bejegyzs kszlhet, ha...Bejelentkezs naplzsa -Audit account logon events
a felhasznl errl a munkallomsrl egy tvoli gpre be- vagy kilp.
Fikkezels naplzsa -Audit account management
felhasznli vagy csoport-azonostt hoznak ltre, mdostanak vagy t-rlnek; felhasznli azonostt tneveznek, letiltanak vagy visszallta-nak; jelszt lltanak be vagy mdostanak.
Cmtrszolgltats-hozzfrsnaplzsa -Audit directory service access
a cmtr egy olyan objektumhoz frnek hozz, amelynek sajt rend-szer-hozzfrsi listja (SACL) van.
Fikkezels naplzsa -Audit logon events
a felhasznl be- illetve kijelentkezik, vagy a loklis gppel hlzatikapcsolatot pt.
Objektum-hozzfrs naplzsa
Audit object access
a felhasznl sajt rendszer-hozzfrsi listval (SACL) rendelkezobjektumhoz (fjl, knyvtr, rendszerleradatbzis-kulcs vagy nyomtat)fr hozz. A sikertelen hozzfrsek is bizonyos helyzetben normlisaklehetnek. vatosan hasznlja!
8
-
8/14/2019 Utmutato a Microsoft Windows XP Megerositesehez
9/33
Hzirendvltozs naplzsa -Audit policy change
a felhasznli jogokat, naplzst vagy egyb hzirendet rint vltozta-ts trtnik.
Rendszerjogok hasznlatnaknaplzsa -Audit privilege use
a felhasznl a jogait gyakorolja. Nagyon sok bejegyzs kerlhet a nap-lba!
Folyamatok nyomon kvets-nek naplzsa -
Audit process tracking
egy program elindul, egy folyamat lell, duplum kezelskor vagy kzve-tett mdon frnek hozz egy objektumhoz.
Rendszeresemnyek naplzsaAudit system events
a felhasznl a szmtgpt indtja/lelltja vagy a rendszer biztonsgts a biztonsgi bejegyzseket rint esemny trtnik.
3.2.2 Felhasznli jogok kiosztsa User right Assignment
A felhasznli jogok kiosztsa meghatrozza, hogy melyik csoportnak (adminisztrtor, felhasznl stb.)milyen jogosultsga legyen. A cl itt az, hogy minden csoport csak annyi jogot kapjon, amennyi felttlenlszksges, a felhasznlk pedig abba a csoportba kerljenek, ahol csak a nekik ppen szksges jogokvannak. Ez legkevesebb jog elve. A jogok sokflk lehetnek: a helyi vagy tvoli rendszerekhez trtnhozzfrs, mentsek vgrehajtsa, a dtum/idpont megvltoztatsa, naplk kezelse, a rendszer le-lltsa.
A 4.2.2 tblzatban szerepl bejegyzsek tbbsge az elnevezs alapjn beazonosthat. Nmelyik szerepetaln els olvasatra nem egszen vilgos. Ezekhez egy rvid magyarzatot tall itt (a nv utn a 4.2.2tblzatban lv sorszm tallhat. A kivlaszts szempontja nkntes):
Az opercis rendszer rszeknt val mkds (2)
Egy process szmra lehetsges, hogy brmelyik felhasznl nevben azonosthassa magt, s gygyakorlatilag ugyanazokat az erforrsat rje el, amit a felhasznl.
Szlknyvtr-jogosultsg mellzse (7)
Ez a jog azt biztostja, hogy a felhasznl vgigmehet a knyvtrak fa szerkezetn, anlkl, hogy brmilyen
joga lenne a knyvtrakban. Teht nem listzhatja ki egy knyvtr tartalmt, csak tkelhet rajta.
Lapozfjl ltrehozsa (9)
Melyik felhasznl illetve csoport hozhatja ltre a lapozfjlt, illetve mdosthatja a mrett.
Token objektum ltrehozsa (10)
Egy hozzfrsi token ltrehozsra szolgl jog. Az Active Directory-ban a felhasznl hitelestse utn ahelyi biztonsgi rendszer ltrehoz a felhasznl szmra egy tokent, azaz egy olyan specilis csomagot,amely tartalmazza a felhasznl nevt, SID-jt, a felhasznlt tartalmaz globlis csoportok SID-jeit (tarto-mnyvezrltl szrmazik), a felhasznlt tartalmaz loklis csoportok SID-jeit (helyi gprl szrmazik),
rendszerszint
jogosultsgokat.Szmtgp- s felhasznli fikok megbzhatsgnak engedlyezse (19)
Ez a bellts lehetv teszi, hogy egy felhasznl egy msik felhasznlt vagy objektumot megbzhatnakminstsen, azaz a sajt jogait tovbbadhassa egy msik felhasznlnak, objektumnak. (Belltsa a Trustedfor Delegation opcit.) Pldul egy szmtgpen fut szerverprocessz esetn amit a kliens megbzhat-nak minstett a szerverprocessz a kliens szmtgpn lv erforrsokhoz a kliensre belltott jogokkalhozzfrhet.
Biztonsgi naplzs ltrehozsa (21)
Meghatrozza azokat a fikokat, amelyeket hasznl processzek kpesek a biztonsgi naplba bejegyzse-
ket tenni.Szmtgp eltvoltsa tokjbl (34)
9
-
8/14/2019 Utmutato a Microsoft Windows XP Megerositesehez
10/33
Meghatrozza, hogy egy felhasznl a laptopjt bejelentkezs nlkl kiszedheti-e a dokkol llomsrl.
Folyamat token lecserlse (35)
Ennek a jogosultsgnak a tulajdonosa kezdemnyezhet egy olyan processzt, amely kicserli egy msik futprocessz hozzfrsi tokenjt.
Knyvtrszolgltats-adatok szinkronizlsa (38)Meghatrozza, hogy melyik felhasznlnak illetve melyik csoportnak van joga a directory service adatainakszinkronizlsra. Ez Active Directory szinkronizls nven is ismert.
3.2.3 Biztonsgi belltsok Security Options
A helyi hzirend kialaktsnl a mr korbban emltettek mellett tovbbi belltsok is lehetsgesek,ezekkel az n. biztonsgi belltsokkal jobb biztonsgi krlmnyeket tudunk kialaktani, mint azalaprtelmezssel. A NIST minta tbb tucat ilyen belltst ismertet, pldul: az res jelsz hasznlatnakletiltsa, a rendszergazda s a vendg azonost tnevezse, a floppihoz s a CD-ROM eszkzhz tvolrlval hozzfrs korltozsa, egy tartomnyon bell a biztonsgos csatorna kdolsa, a bejelentkezsikperny biztonsgosabb ttele (az elz azonost elrejtse, figyelmeztet felirat megjelentse, a jelszlejrati ideje eltt a felhasznl figyelmeztetse), bizonyos tpus hlzati hozzfrs korltozsa, a
hitelests tpusnak meghatrozsa (pl. NTLMv2).A 4.2.3 tblzatban szerepl bejegyzsek tbbsge az elnevezs alapjn beazonosthat. Nmelyik szerepetaln els olvasatra nem egszen vilgos. Ezekhez egy rvid magyarzatot tall itt (a nv utn a 4.2.3tblzatban lv sorszm tallhat. A kivlaszts szempontja nkntes):
Eszkzk: Dokkols megszntethet bejelentkezs nlkl is (9)
Ez a biztonsgi bellts azt hatrozza meg, hogy egy hordozhat szmtgpet (laptopot) bejelentkezsnlkl is le lehet-e kapcsolni a dokkol llomsrl. Ha ez a bellts engedlyezve van, bejelentkezs nlklegy kls hardveres (kidob) gomb hatsra lekapcsolhat a gp. Ha tiltva van, akkor elszr afelhasznlnak be kell jelentkeznie, s a Szmtgp eltvoltsa tokjbl / Remove computer from dockingstation privilgiummal kell rendelkeznie, hogy lekapcsolhassa a gpt.
Interaktv bejelentkezs: A munkalloms zrolsnak feloldshoz tartomnyvezrli hitelestsrevan szksg (28)
A Windows XP trolhatja a felhasznlk bejelentkezsi informciit, azrt, hogy ha a tartomnyvezrlelrhetetlen, a felhasznl akkor is be tudjon jelentkezni. A fenti belltstl fggen a tartomnyvezrlkiesse esetn is sikeres lehet a bejelentkezs.
Interaktv bejelentkezs: Viselkeds intelligens krtya eltvoltsakor (31)
Ez a bellts meghatrozza, hogy mi trtnjen, ha egy bejelentkezett felhasznl az intelligens krtya-olvasbl eltvoltja a krtyt. Lehetsges vltozatok: nincs mvelet, munkalloms zrolsa, knyszertettkijelentkezs.
Hlzati hozzfrs: A nvtelen helyazonost-/nvfordts engedlyezse (39)
Ez a biztonsgi bellts megadja, hogy egy nvtelen felhasznl lekrdezheti-e egy msik felhasznlazonostjnak (biztonsgi azonostjnak - SID) attribtumait. Ha belltjk, akkor az a felhasznl. akiismeri az adminisztrtor SID-jt, a szmtgppel kommuniklhat s a SID segtsgvel az adminisztrtornevt lekrdezheti.
Hlzati hozzfrs: SAM fikok nvtelen felsorolsa nem engedlyezett (40)
Meghatrozza, hogy egy nvtelen felhasznl kilistzhatja-e a SAM fikokat. A Windows bizonyostevkenysgeket, mint pl. a tartomnyfikok neveinek listzst s a hlzaton trtn megosztst, mg a
nvtelen felhasznlknak is megengedheti. Erre pldul akkor lehet szksg, ha egy adminisztrtor egymsik megbzhat tartomnyban a felhasznlknak jogokat szeretne adni, s ez a tartomny nem tekintimegbzhatnak a msik tartomnyt.
10
-
8/14/2019 Utmutato a Microsoft Windows XP Megerositesehez
11/33
(SAM: Minden Windows szerveren vagy munkallomson van egy helyi SAM (Security Account Manager)adatbzis, amely a helyi felhasznlk fikjait illetve a csoportfikokat tartalmazza.)
Hlzati hozzfrs: A nvtelen felhasznlkra a Mindenki csoportra vonatkoz engedlyekvonatkoznak (43)
Meghatrozza, hogy milyen tovbbi jogosultsgokat biztostanak a szmtgphez csatlakoz nvtelen
felhasznlknak.
Hlzati hozzfrs: Nvtelenl elrhet Named Pipe-ok (44)
Meghatrozza, hogy melyik kommunikcis munkamenetnek (pipe) vannak olyan tulajdonsgai illetveengedlye amely lehetv teszi a nvtelen felhasznli hozzfrst.
Hlzati hozzfrs: Tvolrl elrhet rendszerler elrsi utak (45)
Ez a biztonsgi bellts meghatrozza, hogy a rendszerleradatbzis melyik gt lehet hlzaton keresztlelrni, fggetlenl attl, hogy a felhasznl vagy a csoport szerepel-e a winreg rendszerler kulcshozzfrsi listjn.
Hlzati hozzfrs: Nvtelenl elrhet megosztsok (46)
Ez a biztonsgi bellts megadja, hogy melyik megosztst rhetik el a nvtelen felhasznlk.
Hlzati hozzfrs: Megosztsi s biztonsgi modell helyi felhasznli fikok szmra (47)
Meghatrozza, hogy a helyi fikokat hasznl hlzati bejelentkezsek hogyan legyenek naplzva. Haklasszikus belltst hasznlnak, akkor a helyi fik hitelest adatait hasznl hlzati bejelentkezst ahitelest adatokkal naplzzk. Ha csak vendg belltst alkalmaznak, akkor a helyi fikot hasznlhlzati bejelentkezst a vendg fikhoz ktik. A klasszikus bellts az erforrsokhoz val hozzfrsfinom vezrlst teszi lehetv. A klasszikus modell hasznlatval ugyanahhoz az erforrshoz klnbzfelhasznlk szmra ms-ms tpus hozzfrst tud biztostani.
A bellts mdja:
Start -> Vezrlpult -> Felgyeleti eszkzk -> Helyi biztonsgi belltsok -> Helyi hzirend -> Naplrend /Felhasznli jogok kiosztsa / Biztonsgi belltsok
Start > Control Panel -> Administrative Tools -> Local Security Policy -> Local Policies -> Audit Policy /User right assignments / Security Options
3.3 Esemnynaplzs
A Windows XP a lnyeges esemnyekre vonatkoz informcikat hrom naplba jegyzi fel: az Alkalmazsnaplba, a Biztonsgi naplba s a Rendszernaplba. A napl hibazeneteket, naplzsi informcikat s a
rendszer tevkenysgvel kapcsolatos egyb bejegyzseket tartalmaz. A napl nemcsak a gyans vagyrosszindulat viselkeds beazonostsra s a biztonsgi incidensek kivizsglsra szolgl, hanem a rend-szerrel kapcsolatos hibaelhrtst s az alkalmazsok problminak megoldst is segti. Ezrt fontos, hogymindhrom naplt hasznljk. A NIST mintabellts mindhrom naplfajtt minden krnyezetben alkal-mazza, s a maximlis naplmretet is megadja. Ha ez utbbi rtk nagyon alacsony, akkor nem lesz elghely arra, hogy a rendszertevkenysggel kapcsolatos informci trolsra kerljn. Bizonyos szerveze-teknl elrhatjk a naplzsi hzirendet s kzponti naplzst, ekkor a mintabelltst ahhoz kell igaztani.
A bellts mdja:
Start -> Vezrlpult -> Felgyeleti eszkzk -> Esemnynapl -> Alkalmazs/Biztonsg/Rendszer (jobbkattints) -> Tulajdonsgok
Start > Control Panel -> Administrative Tools ->Event viewer -> Application/Security/System (rigth click) ->Properties
11
-
8/14/2019 Utmutato a Microsoft Windows XP Megerositesehez
12/33
3.4 Kttt csoportokRestricted users
Minden rendszerben s minden krnyezetben a tvoli felhasznlk (remote users) csoportjbl mindenfelhasznlt tvoltsunk el, kivve azokat, akiknek valban oda kell tartozniuk! gy cskkenthet annak avalsznsge, hogy valaki tvoli felhasznlknt jogosulatlanul a rendszerhez frjen. A kiemelt felhasznlk(power users)
csoportjban lv
ket is sz
rjk meg, mivel jogosultsguk majdnem megegyezik azrendszer-
gazdk (administrators) csoport jogosultsgaival. Ha egy felhasznlnak tovbbi de nem teljesadminisztrtori jogosultsgra van szksge, akkor ahelyett, hogy a kiemelt felhasznlk csoportjbabetennk, egyedi jogosultsgokat kell szmra biztostani. Alaprtelmezsben a NIST mintabelltsai akiemelt s a tvoli felhasznlk csoportjbl mindenkit eltvolt.
A bellts mdja:Start -> Vezrlpult -> Felgyeleti eszkzk -> Szmtgp kezelse -> Rendszereszkzk -> Helyi fikoks csoportok -> Csoportok -> Kiemelt felhasznlk / Tvoli felhasznlk
Start > Control Panel -> Administrative Tools -> Computer Management -> System Tools -> Local Usersand Groups -> Groups -> Power Users / Remote Desktop Users
3.5 Rendszerszolgltatsok
A Windows XP szmos szolgltatst nyjt, ezek tbbsge a rendszer indtsval egytt automatikusan el-indul. A szolgltatsok klnfle erforrsokat vesznek ignybe s a gyengesget, sebezhetsget is jelenthetnek a gazdagp szmra. Minden felesleges szolgltatst le kell lltani, hogy a rendszer ellenitmadsok szmt cskkenthessk. Menedzselt krnyezetben a Csoport Hzirend Objektumban kell a rend-szeren lv szolgltatsokat konfigurlni; egyb krnyezetben pedig minden rendszerben egyenknt kellbelltani a szolgltatsokat. Mindkt konfigurlsi eljrs esetn minden szolgltats indtsra hrom esetlehetsg kzl lehet vlasztani:
Automatikus Automatic: A szolgltats automatikusan elindul. Ez azt jelenti, hogy a rendszerfelllsa utn a szolgltats fut.
Kzi Manual: Csak akkor indul a szolgltats, ha szksges. A gyakorlatban ez nem azt jelenti, hogyha ignybe kvnjk venni a szolgltatst, akkor az automatikusan elindul, hanem kzzel el kellindtani.Megjegyzs: ha egy szolgltats egy msik szolgltatstl fgg, akkor az els helytelenl aztfelttelezi, hogy a msik szolgltats mr fut.
Letiltva Disabled: A szolgltatst nem lehet elindtani.
A NIST javaslata szerint az albbi szolgltatsok mindegyikt minden krnyezetben tiltsuk le, hacsakvalamilyen specilis ok nincs a futtatsukra.
Riaszts Vgknyv FTP publikcis szolgltats IIS rendszerszolgltats zenetkezel Netmeeting tvoli asztalmegoszts tvlaszts s tvelrs SMTP SNMP szolgltats SNMP csapda Telnet WWW publikcis szolgltats
A NIST mintabelltsok mindegyike letiltja ezeket a szolgltatsokat. Ezenkvl - bizonyos krnyezetekben -
mg tovbbi szolgltatsokat is letilt, mint a Szmtgp-tallz, Tvoli rendszerler adatbzis, Feladat-temez s Terminlszolgltats. Klnsen vllalati krnyezetben nagy kihvst jelent a szolgltatsokbiztonsgos belltsa.
12
-
8/14/2019 Utmutato a Microsoft Windows XP Megerositesehez
13/33
A szolgltatsok letiltsa:
Start -> Vezrlpult -> Felgyeleti eszkzk -> Szolgltatsok -> (Szolgltats nevre ktszer rkattintani) ->Indts tpusa: Automatikus / Kzi / Letiltva
Start > Control Panel -> Administrative Tools -> Services -> (Double click the service name) -> StartupType: Automatic / Manual /Disable
Az Universal Plug and Play eszkzk (Universal Plug and Play) letiltsnl mg kt szolgltats le kell tiltani:SSDP keresszolgltats (SSDP Discovery Services) s a Universal Plug and Play Device Host Services.
A tvolrl trtn hozzfrs lehetsgt mskppen tiltjk le. Br ez egy nagyon hathats tulajdonsga arendszernek, sajnos ekkor a szmtgp nagyon ki van tve a hlzati tmadsoknak.
Sajt gp (jobb klikk) -> Tulajdonsgok -> Tvoli hasznlat -> (pipa mellzse)A szmtgprl lehet tv-segtsget krni / Tvolrl is kapcsoldhatnak a felhasznlk ehhez a szmtgphez
My Computer (jobb klikk) -> Properties -> Remote (tab) -> (uncheck) Allow Remote Assistance invitation tobe sent from this computer / Allow users to connect remotely to this computer
3.6 Fjl jogosultsgok
Ebben a rszben a Windows XP fjlrendszerhez tartoz hozzfrsi szablyok (ACE access control ent-ries) s hozzfrs-szablyozsi listk (ACL access control lists) ltalnos belltsrl lesz sz. A NISTmintabelltsa csak 25 vgrehajthat, de jogosulatlan mdostsoktl s jogosulatlan felhasznlstl vdenikvnt fjlra korltozdik. Egy adott krnyezetben mkd Windows XP rendszerhez tovbbi belltsok isszksgesek lehetnek.
Egy adott erforrshoz (fjl, knyvtr) tartoz ACL lista mdostsa hrom flekpp trtnhet:
Az Intzben (Windows Explorer) vagy az asztalon,... - az erforrshoz tartoz Tulajdonsgok(Properties)elnevezs ablak megnyitsa utn a Biztonsg(Security) flre rkattintva lthat, hogyaz erforrshoz melyik felhasznlnak s melyik csoportnak milyen jogosultsga van. A Specilis
(Advanced) t megnyitva mg finomabb bellts vgezhet
, pldul az er
forrs tulajdonosnakbelltsa vagy a naplzs.Megjegyzs: Ha a Windows XP opercis rendszer nem tartozik tartomnyhoz, valamint NTFSfjlrendszere van, akkor a Biztonsg (Security) fl alaprtelmezsben nem lthat. Bekapcsolsa:Intz -> Eszkzk -> Mappa belltsai -> Nzet -> Egyszer fjlmegoszts hasznlata (ne legyenpipa)Windows Explorer -> Tools -> Folder Options -> View -> Use simple file sharing (ne legyen pipa)
a %SystemRoot%\system32 ben tallhat cacls.exe -vel. Ez a parancs mdban hasznlhatprogram a fjlok ACL-jeit lltja, de nem mdostja a Windows XP Security descriptor-ait.(Megjegyzs: az MFT (Master File Table)-ban minden fjlhoz tartozik egy rekord, s a rekordmindenfle attribtumot tartalmaz, tbbek kztt az n. security descriptor-t is, ami a fjlhoz tartozACL-eket trolja.)
az MMC segtsgvel egy biztonsgi mintasablon (security template) betltsvel.
A Windows XP a hozzfrsi szablyok rklsi modelljt alkalmazza, vagyis egy objektum ACL-je tartal-mazza a szl-objektumtl rklt ACE-t. Pldul az NTFS fjlrendszerben lv fjl az t tartalmazknyvtr ACE-jt rkli. Ugyanakkor a fjlrendszer egy objektumra vonatkoz kzvetlen ACE belltsmagasabb priorits az rklt ACE-nl.
3.7 Rendszerler-adatbzis engedlyezse
A Windows XP rendszerler-adatbzisnak mdostsa engedlyhez van ktve. A NIST mintabelltsai alegtbb rendszerler-kulcs s rtk belltst szablyozza, hogy megvdje azokat a jogosulatlanhozzfrsektl s mdostsoktl. Alaprtelmezsben a teljes rendszerler-adatbzissal val mveletek is
csak korltozottan vgezhetk el, de nagyon fontos annak ellenrzse, hogy ez valban gy is van:
Start -> Futtat ->Regedit -> HKLM\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg (jobbklikk) -> Permissions
13
-
8/14/2019 Utmutato a Microsoft Windows XP Megerositesehez
14/33
Start -> Run -> Regedit -> HKLM\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg (right click)-> Permissions
Gondoskodjon arrl, hogy csak a Rendszergazdk rendelkezzenek teljes joggal, a Backup opertor csoport-nak alig legyen valamifle joga (bizonyos rtkek lekrdezse, alkulcsok felsorolsa, rtests, olvass) s aHelyi szolgltats pedig csak olvassi joggal rendelkezzen.
A kvetkezkben nhny rendszerler-kulcs neve, elrsi tja, feladata kerl felsorolsra, valamint a java-solt bellts. Az alkalmazott rvidtsek:
HKLM = HKEY_LOCAL_MACHINEHKCU = HKEY_CURRENT_USERHKU = HKEY_USERS
3.7.1 Nyomkvetshez kapcsold rendszerler kulcsok
HKLM\Software\Microsoft\DrWatson\CreateCrashDump
rtkt 0-ra lltva a Dr. Watson nyomkvet program nem kszt a memria tartalmrl msolatot (dump).
A memria ugyanis rzkeny informcikat is tartalmazhat, mint pldul jelszavak.HKLM\Software\Microsoft\Windows NT\CurrentVersion\AEDebug\Auto
rtkt 0-ra lltva a Dr. Watson nyomkvet program nem mkdik.
3.7.2 Automatikus funkcik
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRunHKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRunHKU\.DEFAULT\ Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRu
Az autorun (automatikus induls) funkci megprblja a CD tartalmt azonnal lefuttatni, mihelyt a CD-t a
meghajtba teszik. Ha a CD tartalma ktes, akkor ez a bellts nem helyes. A kulcs rtkt 255-re lltva azautomatikus induls funkci egyik meghajtn sem fog mkdni.
HKLM\System\CurrentControlSet\Services\Cdrom\Autorun
rtkt nullra lltva a CD automatikus induls funkcija nem mkdik.
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\AutoAdminLogon
Ha ezt engedlyezik (azaz az rtke 1), akkor a rendszerler-adatbzisban trolt jelszval jelsz meg-adsa nlkl - be lehet jelentkezni a rendszerbe. Ez nagyon veszlyes, ugyanis a rendszerler-adatbzis-ban nylt szvegknt jelenik meg a jelsz, s a helyi felhasznlk is lthatjk azt. Msrszt brki, akifizikailag hozzfr a rendszerhez, ugyancsak jogosultsg ellenrzse nlkl belphet a rendszerbe.
Megjegyzs: A jelsz a DefaultPassword bejegyzsben tallhat. Ha akr a DeafultPassword, akr azAutoAdminLogon bejegyzs nincs meg az adatbzisban, akkor azok ltrehozhatak.
HKLM\System\CurrentControlSet\Control\CrashControl\AutoReboot
Az AutoReboot engedlyezse esetn egy hiba vagy fennakads esetn a rendszer automatikusan jra-indul. Egyesek szerint ez biztonsgi s mkdsi szempontbl nem kvnatos. Pldul, ha egy hiba trtniks a rendszer automatikusan jraindul, nem lehet tudni, hogy mkdsi hiba trtnt vagy a rendszert feltr-tk. Kikapcsolsa az rtk 0-ra lltsval megy.
14
-
8/14/2019 Utmutato a Microsoft Windows XP Megerositesehez
15/33
3.7.3 Hlzati munka
HKLM\System\CurrentControlSet\Services\LanManServer\Parameters\AutoShareWks
Ha a Microsoft hlzaton bell fjl- vagy nyomtatmegosztst hasznlnak, a Windows XP minden fix helyimeghajtt, mint rejtett adminisztratv erforrst (pl. C$, D$) megoszt. Hacsak nem okvetlenl szksges ez amegoszts, szntessk meg! Szksg lehet erre pldul olyan alkalmazsoknl, amelyek szmtanak az
ilyen megosztsokra; tovbb a tvolrl karbantartott rendszerek ignylik az ilyen megosztsokat. Amegosztst az rtk 0-ra lltsval szntetik meg.
HKLM\System\CurrentControlSet\Services\MrxSmb\Parameters\RefuseReset
Ezt a paramtert 1-re lltva elrhet, hogy a rendszer a ResetBrowser frame-t mellzi. Ez utbbit arra lehethasznlni, hogy a NetBIOS-t s az eddigi master browsert lelltsa, s egy msik szmtgpet nevezzen kimaster browsernek. A Windows korbbi vltozataiban ez biztonsgi lyuk volt.
(Megjegyzs: a Browse Service kln hlzati szolgltats, mely mg manapsg is alapvet fontossg ahlzati erforrsok megtallsban (Network Neighborhood). Ez az gynevezett Master Browser friss,illetve nagyobb hlzatok esetn a Backup Browserek esetleg elavult erforrslistjban val kattingatssalkrdezhet le. A Browser a lekrdezshez az UDP szolgltatst hasznlja.)
HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\DisableIPSourceRouting
Ezt a paramtert 2-re belltva lehetetlenn vlik a kld ltal belltott tvonalvlaszts, az n. sourcerouting. Tulajdonkppen nincs is r igazn szksg, de arra felhasznlhat, hogy egy tmad egy IPcsomagot egy kzbls hoszton tkldjn, s gy megnzze vagy mdostsa a hlzati kommunikcit.
(Megjegyzs: Source routing: A felad ltal megadott tvonalon, llomsok megadott listjn halad vgig acsomag. Kt vllfaja van, a szigor (strict) s a laza (loose). Az els esetben csak a listn felsoroltllomsokon haladhat vgig a csomag s ha kt szomszdosnak felsorolt lloms nem szomszdos, akkora csomag elvsz s egy Source routing failed" ICMP csomag klddik a feladhoz. A msodik esetben ha alistn kt szomszdosnak feltntetett lloms a valsgban nem szomszdos, akkor is tovbbmegy acsomag a lista kvetkez elemhez, de a routerek ltal kijellt tvonalon.)
HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\EnableDeadGWDetect
Ha ennek rtke 1, akkor a TCP szleli a nem mkd tjrt. A TCP krheti az IP-t, hogy lljon t a tarta-lk tjrra, ha adott szm kapcsolatnl problmt szlel. A tmad ezt a lehetsget arra tudja felhasznl-ni, hogy a rendszer egy rosszindulat tjr fel irnytsa a forgalmat, s gy megnzze, mdostsa az adato-kat vagy szolgltatsmegtagadst idzzen el. A helyes bellts: 0.
HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\EnableICMPRedirect
Ha ez a bellts rvnyben van, akkor a Windows XP a hlzati eszkzktl (pl. router) kapott ICMPRedirect zenet hatsra az tvonalvlaszt tbljt trja. A tmad ekkor egy hamistott ICMP redirect
zenettel elrheti, hogy az rendszerbe (vagy brhov mshova) irnytsk a csomagokat, s gy rzkenyinformcikat foghat el, betrhet a rendszerbe vagy szolgltatsmegtagadst idzhet el.
HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\EnablePMTUDiscovery
Ha ez a paramter be van lltva, akkor a TCP megprblja felderteni az MTU t (Maximal TransmissionUnit a legnagyobb fizikai csomag mrete bjtban, amit a hlzat mg t tud vinni). A NIST javaslataalapjn kapcsoljuk ki ezt a lehetsget, azaz lltsuk 0-ra az rtket, s gy minden kapcsolatban 576 bjtoscsomagot kld a loklis hlzaton kvli hosztokra.
HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\KeepAliveTime
Az itt belltott rtk azt mutatja meg, hogy a TCP milyen gyakran kldjn egy n. keep-alive csomagot egy
ppen nem forgalmaz kapcsolatra, hogy megnzze, hogy mg l-e a kapcsolat. l kapcsolat esetn atvoli hoszt nyugtt kld. Alaprtelmezsben ilyen csomagot nem kld a rendszer. A NIST javaslata 500000msec, azaz 5 perc.
15
-
8/14/2019 Utmutato a Microsoft Windows XP Megerositesehez
16/33
HKLM\System\CurrentControlSet\Services\Netbt\Parameters\NoNameReleaseOnDemand
Ez a paramter hatrozza meg, hogy a hlzatrl rkez krsre megadja-e a szmtgp a NetBIOS nevet.Ha 1-re lltottk, akkor nem adja meg a nevet, ez a rosszindulat, nvvel kapcsolatos tmadsoktl vdi arendszert. A NIST mintabelltsaiban ez nem tallhat meg.
HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\PerformRouterDiscovery
Ez a paramter ellenrzi, hogy a rendszer az RFC 1256 szerint keresi-e az tvlasztjt (routert). MindenNIST mintabelltsban 0 az rtke. (A RFC 1256 az ICMP zenet kibvtst tartalmazza, vagyis amikor arendszer egy multicast vagy broadcast hlzatban a szomszdos routerek IP cmt keresi meg.)
HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\SynAttackProtect
Az n. SYN elraszts (Synflood) ellen vd ez a paramter. Kt tovbbi paramter jtszik mg itt szerepet:az ugyanitt tallhat TcpMaxHalfOpen (ld. kvetkez) s a TcpMaxHalfOpenRetried (ld. innen a msodik)Ha a ksrletek szma elri e kt paramter rtknek brmelyikt, s a SynAttackProtect rtke 1 vagy 2,akkor a Syn elraszts ellen vdelem letbe lp. (A NIST a 2-es rtket javasolja, mert az erteljesebbvdelmet biztost.)
HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\TcpMaxHalfOpenEz a megengedett SYN-RCVD llapotban lv kapcsolatok szmt hatrozza meg (vagyis a flig felptettTCP kapcsolatok szmt), ha ezt az rtket elri a rendszer, akkor a SynAttackProtect letbe lp. A NISTalaprtelmezsben 100-t javasol.
HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\TcpMaxHalfOpenRetried
Ez azon SYN-RCVD llapotban lv kapcsolatok szmt hatrozza meg, amelyekre legalbb egy vlasz-csomag mr elment. A NIST ltal javasolt rtk 80. (rtheten ez kisebb rtk, mint az elz.)
HKLM\System\CurrentControlSet\Services\IPSEC\NoDefaultExempt
Alaprtelmezsknt a Windows XP-ben az IPsec a hzirendben el
rt sz
rsek all kivtelt kpezhet. (ld.http://support.microsoft.com/?id=810207) A paramter rtkt 1-re lltva ez a kivtelezs megsznik aKerberosra s a RSVP forgalomra.
HKLM\System\CurrentControlSet\Services\Lanmanserver\Parameters\Hidden
A paramter 1-re lltva megakadlyozhat, hogy a rendszer egy n. browser bejelentst tegyen, teht gya hlzaton lv Browserek ell rejtve marad. Ezltal cskken annak a valsznsge, hogy a Microsofthlzaton keresztl hozzfrjenek ehhez a gphez.
HKLM\System\CurrentControlSet\Control\Session Manager\SafeDIISearchMode
A Windows XP a knyvtrakat megadott sorrendben keresi vgig, amikor egy vgrehajtand fjlt keres.Alaprtelmezsben elszr a kurrens knyvtrban keres, majd a Windows s rendszerknyvtrakban. Haezt 1-re lltjuk, akkor a kurrens knyvtrban csak az elbbiek utn keres. Biztonsgi szempontbl ez jobbmegolds, mert a kurrens knyvtr kevsb vdett lehet. Pldul ha valaki egy trjait helyez el egymegosztott knyvtrban, az alaprtelmezsknt hasznlt keressi sorrendnl a trjait a megosztottknyvtrat elr felhasznl a nvazonossg miatt - vletlenl lefuttathatja, mg a msodik esetben eznem trtnik meg.
3.8 Javaslatok sszefoglalsa
Ksztsen jelsz-hzirendet, hogy a jelsz kitallsval vagy feltrsvel trtn jogosulatlan hozz-frst megakadlyozza! A hzirendnek a biztonsg, a mkdkpessg s a hasznlhatsg kztt
kell egyenslyoznia. Ksztsen napl-hzirendet, hogy bizonyos tpus tevkenysget rgzteni lehessen, gy a rendszer-
gazda megnzheti a naplt s szlelheti a jogosulatlan aktivitst! A legkevesebb jog elvnek figyelembevtelvel adjon a felhasznlknak jogokat!
16
-
8/14/2019 Utmutato a Microsoft Windows XP Megerositesehez
17/33
A nagyobb biztonsg elrsrt az alaprtelmezsek lltsa t, ahol szksges; pldul a jelsznlkli belps ne engedlyezzen, a Rendszergazda s a Vendg azonostt nevezze t, shatrozza meg, milyen tpus azonostst alkalmaz!
lltsa be az Alkalmazs, a Biztonsg s a Rendszer naplzst! Trlje ki a tvoli felhasznlk s a kiemelt felhasznlk csoportjbl az sszes olyan felhasznlt,
akinknek nem kell ott szerepelnik! Trljn minden felesleges szolgltatst!
Trljn minden Univerzlis plug and play eszkzt s Tvoli segtsget! Korltozza a hozzfrsi lista (ACL) belltsait s a rendszerler-adatbzis bejegyzseit!
17
-
8/14/2019 Utmutato a Microsoft Windows XP Megerositesehez
18/33
4. Biztonsgi mintabelltsok
Az albbi, a NIST ltal ksztett mintabelltsok a CIS, DISA, NIST, NSA s a Microsoft szakembereinek egyetrtsvel kfejezetben lert csoportostson alapulnak.
4.1 Fikhzirend4.1.1 Jelszhzirend
Javasolt rtkHzirendFokozott bizt. Vllalat O
1. Jelsz maximlis lettartamaMaximum password age
90 nap
2. Jelsz minimlis lettartamaMinimum password age
1 nap
3. Legrvidebb jelszMinimum password length
12 karakter 8 ka
4. A jelsznak meg kell felelnie a bonyolultsgi feltteleknek
Password must meet complexity requirements
engedlyezve
5. Elz jelszavak megrzseEnforce password history
24 jelsz megrz
6. A tartomny sszes felhasznlja jelszavnak trolsa visszafejthettitkostssalStore password using reversible encryption for all users in thedomain
letiltva
* Jelsz helyett inkbb jelmondatot hasznljanak!
4.1.2 Fikzrolsi hzirend
Javasolt rtkHzirendFokozott bizt. Vllalat O
1. Fikzrols kszbeAccount lockout threshold
10 ksrlet 50 k
2. Fikzrols idtartamaAccount lockout duration
15 perc
3. Fikzrolsi szmll nullzsaReset account lockout counter after
15 perc
-
8/14/2019 Utmutato a Microsoft Windows XP Megerositesehez
19/33
4.2 Helyi hzirend
4.2.1 Naplrend
Javasolt rtkHzirendFokozott bizt. Vllalat
1. Bejelentkezs naplzsa
Audit logon events
sikeres/sikertele
2. Fikkezels naplzsaAudit account management
sikeres/sikertele
3. Cmtrszolgltats-hozzfrs naplzsaAudit directory service access
nem definilt
4. Fikkezels naplzsaAudit account logon events
sikeres/sikertele
5. Objektum-hozzfrs naplzsaAudit object access
sikeres/sikertelen sik
6. Hzirendvltozs naplzsaAudit policy change
sikeres
7. Rendszerjogok hasznlatnak naplzsaAudit privilege use
sikertelen
8. Folyamatok nyomon kvetsnek naplzsaAudit process tracking
nem definilt
9. Rendszeresemnyek naplzsaAudit system events
sikeres
Nagy sok esemny kerlhet a naplba, csak ha felttlenl szksges, akkor hasznlja!
4.2.2 Felhasznli jogok kiosztsa
Javasolt rtkHzirendFokozott bizt. Vllalat O
1. A szmtgp elrse a hlzatrl
Access this computer from the network
Rendszergazdk
2. Az opercis rendszer rszeknt val mkdsAct as part of the operating system
nincs bellts
3. Munkalloms felvtele a tartomnybaAdd workstation to domain
nem definilt (nem alkalm
4. Memriakvtk belltsa folyamat szmraAdjust memory quotas for a process
nem definilt
-
8/14/2019 Utmutato a Microsoft Windows XP Megerositesehez
20/33
5. Be lehessen jelentkezni terminlszolgltatsok hasznlatvalAllow logon through Terminal Services
nincs bellts Rendsz
6. Biztonsgi msolat ksztse fjlokrl s knyvtrakrlBack up files and directories
Rendszergazdk
7. Szlknyvtr-jogosultsg mellzseBypass traverse checking
felhasznl
8. Rendszerid megvltoztatsa
Change the system time
Rendszergazdk
9. Lapozfjl ltrehozsaCreate a pagefile
Rendszergazdk
10. Token objektum ltrehozsaCreate a token object
nincs bellts
11. Globlis objektumok ltrehozsaCreate global objects
Rendszergazdk
12. lland megosztott objektumok ltrehozsaCreate permanent shared objects
nincs bellts
13. Programok hibakeresseDebug programs
egyik sem Rendszergazdk
14. A szmtgp hlzati elrsnek megtagadsaDeny access to this computer from the network
vendg
15. Ktegelt munka bejelentkezsnek megtagadsaDeny logon a a batch job
nem definilt
16. Szolgltatsknt bejelentkezs megtagadsaDeny logon as service
nem definilt
17. Helyi bejelentkezs megtagadsaDeny logon locally
nem definilt
18. Ne lehessen bejelentkezni terminlszolgltatsok hasznlatvalDeny logon through Terminal Services
nem definilt
19. Szmtgp- s felhasznli fikok megbzhatsgnakengedlyezseEnable computer and user accounts to be trusted for delegation
nem definilt (nem alkalm
20. Tvirnytott rendszerlelltsForce shutdown from a remote system
Rendszergazdk
21. Biztonsgi naplzs ltrehozsaGenerate security audits
Helyi szolgltats, Hlzati
22. gyfl megszemlyestse hitelests utnImpersonate a client after authentication
nem definilt
23. temezsi priorits nvelseIncrease scheduling priority
Rendszergazdk
-
8/14/2019 Utmutato a Microsoft Windows XP Megerositesehez
21/33
24. Szolgltatk betltse s eltvoltsaLoad and unload device drivers
Rendszergazdk
25. Memrialapok zrolsa a memribanLock pages in memory
nincs bellts
26. Bejelentkezs ktegfjlfolyamatkntLog on as a batch job
nem definilt
27. Bejelentkezs szolgltatsknt
Log on as a service
nem definilt
28. Helyi bejelentkezsLog on locally
felhasznl, Rendszer
29. Naplzs felgyeleteManage auditing and security log
Rendszergazdk
30. Begetett programok krnyezeti rtkeinek megvltoztatsaModify firmware environment values
Rendszergazdk
31. Ktetkarbantartsi feladatok vgrehajtsaPerform volume maintenance tasks
Rendszergazdk
32. Folyamatok teljestmnyadatainak figyelseProfile single process
Rendszergazdk
33. A rendszer teljestmnyadatainak figyelseProfile system performance
Rendszergazdk
34. Szmtgp eltvoltsa tokjblRemove computer from docking station
felhasznl, Rendszer
35. Folyamat token lecserlseReplace a process level token
Helyi szolgltats, hlzati
35. Fjlok s knyvtrak helyrelltsaRestore files and directories
Rendszergazdk
37. A rendszer lelltsaShut down the system
felhasznl, Rendszer
38. Knyvtrszolgltats-adatok szinkronizlsaSynchronize directory service data
nem definilt (nem alkalm
39. Fjlok s egyb objektumok sajt tulajdonba vteleTake ownership of files or other objects
Rendszergazdk
4.2.3 Biztonsgi belltsok
Javasolt rtkHzirendFokozott bizt. Vllalat O
1. Fikok: A Rendszergazdk fikok llapotaAccounts: Administrator account status
nem definilt
-
8/14/2019 Utmutato a Microsoft Windows XP Megerositesehez
22/33
2. Fikok: A vendg fik llapotaAccounts: Guest account status
letiltva
3. Fikok: Az res jelsz hasznlatnak konzolbejelentkezsekrekorltozsa a helyi fikoknlAccounts: Limit local account use of blank passwords to consolelogon
engedlyezve
4. Fikok: A rendszergazdai fik tnevezse
Accounts: Rename administrator account
nem definilt
5. Fikok: a vendgfik tnevezseAccounts: Rename guest account
nem definilt
6. Naplzs: Globlis rendszerobjektumokhoz val hozzfrsnaplzsaAudit: Audit the access of global systems object
nem definilt
7. Naplzs: A biztonsgi ments s helyrellts jognak naplzsaAudit: Audit the use of Backup and Restore privilege
nem definilt
8. Naplzs: A rendszer azonnali lelltsa, ha nem lehet naplzni abiztonsgi esemnyeketAudit: Shut down system immediately if unable to log security audit
engedlyezve nem
9. Eszkzk: Dokkols megszntethet bejelentkezs nlkl isDevices: Allow undock without having to log on
tiltva nem
10. Eszkzk: Cserlhet adathordoz formzsa s kiadsa akvetkez csoportok tagjainak engedlyezveDevices: Allowed to format and eject removable media
Rendszergazdk Rendszergazdk,
11. Eszkzk: A felhasznlk nem telepthetnek nyomtatkatDevices: Prevent users from installing printer drivers
engedlyezve nem
12. Eszkzk: A CD-ROM hasznlathoz ktelez bejelentkezni a helyiszmtgpreDevices: Restrict CD-ROM access to locally logged-on user only
engedlyezve nem
13. Eszkzk: A hajlkonylemez hasznlathoz ktelez bejelentkezni ahelyi szmtgpreDevices: Restrict floppy access to locally logged-on user only
engedlyezve nem
14. Eszkzk: Viselkeds nem alrt illesztprogram teleptsekorDevices: Unsigned driver installation behavior
rtests utn enged
15. Tartomnyvezrl: A kiszolglfelelsk temezhetnek feladatokatDomain controller: Allow server operator to schedule tasks
nem definilt (nem alkalm
16. Tartomnyvezrl: LDAP-kiszolgl alrsi kvetelmnyeiDomain controller: LDAP server signing requirements
nem definilt (nem alkalm
17. Tartomnyvezrl: Szmtgpfik jelszmdostsnakvisszautastsaDomain controller: Refuse machine account password changes
nem definilt (nem alkalm
-
8/14/2019 Utmutato a Microsoft Windows XP Megerositesehez
23/33
18. Tartomnyi tag: A biztonsgos csatornk adatainak digitlistitkostsa vagy alrsa (mindig)Domain member: Digitally encrypt or sign secure channel data(always)
engedlyezve
19. Tartomnyi tag: az adatok digitlis titkostsa (ha lehet)Domain member: Digitally encrypt secure channel data (whenpossible)
engedlyezve
20. Tartomnyi tag: az adatok digitlis alrsa (ha lehet)Domain member: Digitally sing secure channel data (when possible) engedlyezve
21. Tartomnyi tag: Szmtgpfik jelszmdostsainak tiltsaDomain member: Disable machine account password changes
tiltva
22. Tartomnyi tag: Szmtgpfik jelszavnak maximlis lettartamaDomain member: Maximum machine account password age
30 nap
23. Tartomnyi tag: ers (Windows 2000 vagy frissebb rendszer)munkamenetkulcs megkvetelseDomain member: Require strong (Windows 2000 or later)session key
engedlyezve
24. Interaktv bejelentkezs: Ne jelenjen meg a legutbb bejelentkezettfelhasznl neveInteractive logon: Do not display last user name
engedlyezve
25. Interaktv bejelentkezs: Nincs szksg CTRL+ALT+DEL
billentykombinciraInteractive logon: Do not require CTRL+ALT+DEL
letiltva
26. Interaktv bejelentkezs: Bejelentkezsi zenet a felhasznlnakInteractive logon: Message text for users attempting to log on
-
8/14/2019 Utmutato a Microsoft Windows XP Megerositesehez
24/33
33. Microsoft hlzati gyfl: Kommunikci digitlis alrsa (ha akiszolgl egyetrt)Microsoft network client: Digitally sign communications (if serveragrees)
engedlyezve
34. Microsoft hlzati gyfl:Titkostatlan jelszavak kldse egyb SMBkiszolglknakMicrosoft network client: Send unencrypted password to third-party
SMB servers
letiltva
35. Microsoft hlzati gyfl: gyfelek levlasztsa a nyilvntartsi idvgnMicrosoft network server: Amount of idle time required beforesuspending session
15 perc
36. Microsoft hlzati kiszolgl: Kommunikci digitlis alrsa(mindig)Microsoft network server: Digitally sign communications (always)
engedlyezve
37. Microsoft hlzati kiszolgl: Kommunikci digitlis alrsa (ha azgyfl egyetrt)Microsoft network server: Digitally sign communications (if clientagrees)
engedlyezve
38. Microsoft hlzati kiszolgl: gyfelek levlasztsa a nyilvntartsi
id vgnMicrosoft network server: Disconnect clients when logon hoursexpired
engedlyezve le
39. Hlzati hozzfrs: A nvtelen helyazonost-/nvfordtsengedlyezseNetwork access: Allow anonymous SID/Name translation
letiltva
40. Hlzati hozzfrs: SAM fikok nvtelen felsorolsa nemengedlyezettNetwork access: Do not allow anonymous enumeration of SAMaccounts
engedlyezve
41. Hlzati hozzfrs: SAM fikok s megosztsa nvtelenfelsorolsa nem engedlyezettNetwork access: Do not allow anonymous enumeration of SAM
accounts and shares
engedlyezve
42. Hlzati hozzfrs: Nem lehet hitelest adatokat vagy .NETpassportot trolni hlzati hitelestshezNetwork access: Do not allow storage of credentials or .NETPassports for network authentication
engedlyezve
-
8/14/2019 Utmutato a Microsoft Windows XP Megerositesehez
25/33
-
8/14/2019 Utmutato a Microsoft Windows XP Megerositesehez
26/33
57. Lellts: Virtulis memria lapozfjljainak trlseShutdown: Clear virtual memory pagefile
engedlyezve
58. Rendszerkriptogrfia: FIPS szabvnynak megfelel algoritmushasznlata titkostshoz, kivonatolshoz s alrshozSystem crypthography: Use FIPS compliant algorithms forencryption, hashing and signing
engedlyezve nem
59. Rendszerobjektumok: A Rendszergazdk csoport tagjai ltal
ltrehozott objektumok alaprtelmezett tulajdonosaSystem objects: Default owner for objects created by members of theAdministrators group
az objektum ltreho
60. Rendszerobjektumok: A nem-Windows alrendszerek esetn a kis- snagybetk megklnbztetsnek megkvetelseSystem objects: Require case sensitivity for non-Windowssubsystem
engedlyezve nem
61. Rendszerobjektumok: A bels rendszerobjektumok (pl. szimbolikushivatkozsok) alaprtelmezett engedlyezsnek megerstseSystem objects: Strengthen default permissions of internal systemobjects (e.g. Symbolic Links)
engedlyezve
1 Windows 2000 eltti szerverekkel trtn kommunikcit megakadlyozza
2 Windows NT eltti szerverekkel trtn kommunikcit megakadlyozza3 Bizonyos kliensekkel s kiszolglkkal val kapcsolattartst megakadlyozza4 Emiatt az jrabootols hosszabb ideig tarthat, klnsen a tbb RAM-mal rendelkez rendszereknl
-
8/14/2019 Utmutato a Microsoft Windows XP Megerositesehez
27/33
4.3 Esemnynapl hzirend
Javasolt rtkHzirendFokozott bizt. Vllalat O
1. Maximlis alkalmazsi napl fjlmretMaximum application log size
16 MB
2. Maximlis biztonsgi napl fjlmret
Maximum security log size
80 MB
3. Maximlis rendszernapl fjlmretMaximum system log size 16 MB
4.4 Kttt csoportok
Javasolt rtkKttt csoportokFokozott bizt. Vllalat O
1. Kiemelt felhasznlkPower Users
nincs bellts
2. Tvoli felhasznlkRemote Desktop Users
nincs bellts
4.5 Rendszerszolgltatsok
Javasolt rtkA szolgltats neveFokozott bizt. Vllalat O
1. RiasztsAlerter
letiltva
2. VgknyvClipbook
letiltva
3. Szmtgp tallzComputer Browser
letiltva nem definilt let
4. Faxszolgltats
Fax Service
letiltva nem
5. FTP publikcis szolgltatsFTP Publishing Service
letiltva
6. IIS rendszerszolgltatsIIS Admin Service
letiltva
7. Indexel szolgltatsIndexing Service
letiltva nem
-
8/14/2019 Utmutato a Microsoft Windows XP Megerositesehez
28/33
8. zenetkezelMessenger
letiltva
9. Hlzati bejelentkezsNetlogon
nem definilt
10. Netmeeting tvoli asztalmegosztsNetmeeting Remote Desktop Sharing
letiltva
11. Tvoli asztal sg-munkamenetkezel
Remote Desktop Help Session Manager
letiltva nem definilt
12. Tvoli rendszerler adatbzisRemote Registry
letiltva nem definilt let
13. tvlaszts s tvelrsRouting and Remote Access
letiltva
14. Egyszer levltviteli protokoll (SMTP)Simple Mail Transfer Protocol (SMTP)
letiltva
15. Egyszer Hlzatkezel protokoll (SNMP) szolgltatsSimple Network Management Protocol (SNMP) Service
letiltva
16. Egyszer hlzatkezel protokoll (SNMP) csapdaSimple Network Management Protocol (SNMP) Trap
letiltva
17. FeladattemezTask Scheduler
letiltva nem
18. TelnetTelnet
letiltva
19. TerminlszolgltatsokTeminal Services
letiltva nem
20. Univerzlis Plug and Play eszkzkUniversal Plug and Play Device Host
letiltva
21. World Wide Web publikcis szolgltatsWorld Wide Web Publishing Services
letiltva
4.6 Fjl engedlyek belltsa
Javasolt rtkFjlnvFokozott bizt. Vllalat O
1. %SystemRoot% \system32\at.exe Adminisztrtorok: teljes; Ren2. %SystemRoot% \system32\attrib.exe Adminisztrtorok: teljes; Ren3. %SystemRoot% \system32\cacls.exe Adminisztrtorok: teljes; Ren4. %SystemRoot% \system32\debug.exe Adminisztrtorok: teljes; Ren5. %SystemRoot% \system32\drwatson.exe Adminisztrtorok: teljes; Ren6. %SystemRoot% \system32\drwtsn32.exe Adminisztrtorok: teljes; Ren
-
8/14/2019 Utmutato a Microsoft Windows XP Megerositesehez
29/33
-
8/14/2019 Utmutato a Microsoft Windows XP Megerositesehez
30/33
4. HKLM\System Rendszergazdk:teljes,Rendszer: teljes,Ltrehoz tulaj: teljes,Felhasznl: olvass
5. HKLM\System\CurrentControlSet\Enum Rendszergazdk:teljes,Rendszer: teljes,Jogosult felh.: olvass
6. HKLM\System\CurrentControlSet\Services\SNMP\Parameters\PermittedManagers Rendszergazdk:teljes,Rendszer: teljes,Ltrehoz tulaj: teljes
7. HKLM\System\CurrentControlSet\Services\SNMP\Parameters\ValidCommunities Rendszergazdk:teljes,Rendszer: teljes,Ltrehoz tulaj: teljes
8. HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Ratings Rendszergazdk:teljes,Felhasznl: olvass
9. HKLM\Software\Microsoft\MSDTC Rendszergazdk:teljes,Rendszer: teljes,Hlzati szolgltats:rtk lekrdezs, -bellts, alkulcs
generls, alkulcsfelsorols, rtests.olvassFelhasznl: olvass
10. HKU\.Default\Software\Microsoft\SystemCertificates\Root\ProtectedRoots Rendszergazdk:teljes,Rendszer: teljes,Felhasznl: olvass
11. HKLM\Software\Microsoft\Windows NT\CurrentVersion\SecEdit Rendszergazdk:teljes,Rendszer: teljes,Felhasznl: olvass
2.7 Rendszerler-adatbzis rtkei
2.7 A rendszerler-adatbzis kulcsFokozott bizt. V
1. HKLM\Software\Microsoft\|DrWatson\CreateCrashDump2. HKLM\Software\Microsoft\Windows NT\CurrentVersion\AEDebug\Auto3. HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun
-
8/14/2019 Utmutato a Microsoft Windows XP Megerositesehez
31/33
4. HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun
5. HKLM\Software\Microsoft\Windows NT\CurrentVersion\WinLogon\AutoAdminLogon6. HKLM\System\CurrentControlSet\Control\CashControl\AutoReboot7. HKLM\System\CurrentControlSet\Services\Cdrom\Autorun8. HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\AutoShareWks 0 nem d9. HKLM\System\CurrentControlSet\Services\MrxSmb\Parameters\RefuseReset
10. HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\DisableIPSourceRouting11. HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\EnableDeadGWDetect12. HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\EnableICMPRedirect13. HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\EnablePMTUDiscovery14. HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\KeepAliveTime15. HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\PerformRouterDiscovery16. HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\ynAttackProtect17. HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\TcpMaxHalfOpen18. HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\TcpMaxHalfOpenRetired19. HKLM\System\CurrentControlSet\Services\IPSEC\NoDefaultExempt20. HKLM\System\CurrentControlSet\Services\Lanmanserver\Parameters\Hidden21. HKLM\System\CurrentControlSet\Control\Session Manager\SafeDIISearchMode
-
8/14/2019 Utmutato a Microsoft Windows XP Megerositesehez
32/33
5. A Windows XP biztonsgi belltsainl alkalmazott eszkzk
(konfigurls, zemeltets, monitorozs)
Az eszkz neve Feladata HelyeAutomatikus frissts
Automatic Update
Ellenrzi, hogy van-e Microsoft
szolgltatgpen frissts; letlti stelepti.
Windows XP rendszerben
KdolsCipher
A diszkek res terleteirl vglege-sen letrli az adatokat (/w opci)
cipher.exeWindows XP rendszerben
EsemnynaplEvent Viewer
Az alkalmazsi, a biztonsgi s arendszernapl bejegyzseit mutatjameg.
eventvwr.exeWindows XP rendszerben
Csoporthzirendobjektum-kezel konzol MMC modulGroup Policy ManagementConsole (GPMC) MMCsnap-in
Csoport hzirend kezelse tbb-szrs tartomnyban
http://www.microsoft.com/windowsserver2003/gpmc/default.mspx
Csoporthzirend modelle-
z varzsl MMC modulGroup Policy ModelingWizard MMC snap-in
Egy adott felhasznlra vagy szm-
tgpre alkalmazottcsoporthzirend-kombinci hatsthatrozza meg.
http://www.microsoft.com/
windowsserver2003/gpmc/default.mspx
Csoporthzirend objektumszerkeszt MMC modulGroup Policy Object EditorMMC snap-in
A biztonsgi mintabelltsokat acsoporthzirend objektumba impor-tlja.
Windows XP rendszerben
HFNetChk.exe A rendszerhez tartoz biztonsgijavtsok teleptst ellenrzi.
http://www.microsoft.com/technet/security/tools/hfnetchk.mspx
Helyi biztonsgi hzirendLocal Security Policy
A helyi biztonsgi hzirendet mutatjameg s a rendszergazda meg isvltoztathatja.
Windows XP rendszerben (Vezrlpult-> Felgyeleti eszkzk)
Microsoft BaselineSecurity Analyzer (MBSA)
Biztonsgi szempontbl vgignzi aszmtgpet.
http://www.microsoft.com/technet/security/tools/mbsahome.mspx
Felgyeleti konzolMicrosoft ManagementConsole (MMC)
Modulok trolhelye mmc.exeWindows XP rendszerben
Port Reporter A TCP s UDP portok hasznlattnaplzza
http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=69BA779B-BAE9-4243-B9D6-63E62B4BCD2E
Rendszerler-adatbzisszerkesztRegistry Editor
A rendszerler-adatbzis bejegyz-seit a rendszergazda megnzheti smdosthatja.
regedit.exe s regedt32.exeWindows XP rendszerben
Tvoli telepts
Remote InstallationServices
A Windows XP automatikus
teleptse tvoli rendszerb
l.
Windows 2000 s Windows 2003
rendszerekbenBiztonsgi konfigurci selemzs MMC modulSecurity Configuration andAnalysis MMC snap-in
sszehasonltja a rendszer jelenlegibiztonsgi belltsait a mintabell-tsokkal.
Windows XP rendszerben
Biztonsgi mintabelltsMMC modulSecurity Template MMCsnap-in
A biztonsgi mintabelltsok meg-tekintst, megvltoztatst salkalmazst teszi lehetv arendszergazdk szmra.
Windows XP rendszerben
Rendszerelkszt-esz-kzSysprep
Az XP kpet ms rendszerekreklnozza.
sysprep.exeWindows XP rendszerben
Windows Update Megnzi, hogy van-e frissts,lehozza s telepti azt. http://windowsupdate.microsoft.com
Windows Firewall Tzfal Windows XP rendszerbenMicrosoft AntiSpyware Kmszoftverek elleni vdelem
32
-
8/14/2019 Utmutato a Microsoft Windows XP Megerositesehez
33/33
6. A Windows XP rendszerben hasznlt portok
Port Protokoll Szolgltats Lers21 TCP FTP File Transfer Protocol service23 TCP Telnet Telnet service68 UDP DHCP Dynamic Host Configuration Protocol client
80 TCP HTTP HyperText Transfer Protocol service123 UDP NTP Network Time Protocol client (Windows Time)135 TCP epmap DCE Endpoint Resolution (remote procedure call)137 UDP NetBIOS-ns NetBIOS Name Service138 UDP NetBIOS-dgm NetBIOS Datagram Service139 TCP NetBIOS-ssn NetBIOS Session Service161 UDP SNMP Simple Network Management Protocol213 UDP IPX over IP Client Service for Netware Service443 TCP HTTPS HTTP over SSL server445 TCP,
UDPmicrosoft-ds (SMB) Microsoft Common Internet File System (CIFS)
500 UDP IKE Internet Key Exchange (gyakran az IPSec-kel egytt
alkalmazzk)515 TCP LPR Print Spooler service522 TCP NetMeeting client
1503 TCP NetMeeting client1701 UDP L2TP Layer 2 Tunneling Protocol client1720 TCP NetMeeting client1723 TCP/UDP PPTP Point-to-Point Tunneling Protocol client1731 TCP NetMeeting client1900 UDP SSDP Simple Service Discovery Protocol
2001-2120
UDP Windows Messenger voice calls
2869 TCP UpnP Universal Plug and Play3002 TCP Internet Connection Firewall/Sharing3003 TCP Internet Connection Firewall/Sharing3389 TCP RDP Remote Protocol Desktop service5000 TCP UpnP Universal Plug and Play6801 UDP Windows Messenger voice calls
6891-6900
TCP Windows Messenger file transfers
6901 TCP/UDP Windows Messenger voice calls