Utmutato a Microsoft Windows XP Megerositesehez

8/14/2019 Utmutato a Microsoft Windows XP Megerositesehez

1/33

MTA SZTAKI

Hlzatbiztonsgi osztly

tmutat a Microsoft Windows XP megerstshez

2005. jnius


2/33

Tartalomjegyzk

1. Bevezets........................................................................................................................32. A Windows XP krnyezetei..............................................................................................4

2.1 Otthoni krnyezet illetve kisvllalkozsok szmtgpei (OKV)...............................4

2.2 A vllalati krnyezet.................................................................................................52.3 Fokozott biztonsg krnyezet ................................................................................52.4 Elavult krnyezet......................................................................................................6

3. Windows XP mintabelltsainak ttekintse...................................................................73.1 Azonostk s jelszavak belltsai..........................................................................73.2 Helyi hzirend ..........................................................................................................83.3 Esemnynaplzs..................................................................................................113.4 Kttt csoportok.....................................................................................................123.5 Rendszerszolgltatsok.........................................................................................123.6 Fjl jogosultsgok ..................................................................................................133.7 Rendszerler-adatbzis engedlyezse...............................................................13

3.7.1 Nyomkvetshez kapcsold rendszerler kulcsok...........................................143.7.2 Automatikus funkcik ..........................................................................................143.7.3 Hlzati munka ...................................................................................................153.8 Javaslatok sszefoglalsa .....................................................................................16

4. Biztonsgi mintabelltsok ...........................................................................................184.1 Fikhzirend ..........................................................................................................184.2 Helyi hzirend ........................................................................................................194.3 Esemnynapl hzirend ........................................................................................274.4 Kttt csoportok.....................................................................................................274.5 Rendszerszolgltatsok.........................................................................................274.6 Fjl engedlyek belltsa .....................................................................................284.7 Rendszerler-adatbzis belltsai.......................................................................29

5. A Windows XP biztonsgi belltsainl alkalmazott eszkzk .....................................326. A Windows XP rendszerben hasznlt portok.................................................................33

2


3/33

1. Bevezets

A dokumentum clja, hogy a rendszergazdknak a Windows XP munkalloms belltshoz segtsgetnyjtson.

Az albbi tanulmny a National Institute of Standards and Technology (NIST) 800-68 szm speciliskiadvnya alapjn kszlt. Az eredeti dokumentum cme: Guidance for Securing Microsoft Windows XPSystems for IT Professionals: A NIST Security Configuration Checklist. Azonban ez az anyag tbbvonatkozsban is eltr az eredeti tanulmnytl: rszben lnyeges fejezetek nem kerltek ide, mint pldul ateleptssel, frisstssel foglalkoz rsz, valamint az alkalmazsokat elemz fejezet. A hangsly itt a Win-dows XP lehetsges belltsaira kerlt. Ugyanakkor bvebb is ez az anyag, mert bizonyos belltsokhozmagyarzatokat fztek, s kiegsztettk a magyar Windows XP-ben alkalmazott elnevezsekkel.

Az anyag csupn az els vltozat, az MTA SZTAKI-ban mkd Hlzatbiztonsgi csoport tovbbi kiegsz-tsek elksztst tervezi.

A dokumentumban lv informcikat klnbz krnyezetben elhelyezked Windows XP munkallom-

sok, mobil szmtgpek s telekommunikcis rendszerek megvdsre hasznlhatk. A lehetsgeskrnyezeteket a kvetkez rsz ismerteti.

A mellklet az egyes krnyezetekhez tartoz biztonsgi mintabelltsokat tartalmazza. A sablonok aNational Security Agency (NSA), a Defense Information Systems Agency (DISA) s a Microsoft ltal kifej-lesztett mintabelltsokon alapulnak. A sablonok a Center for Internet Security (CIS), DISA, NSA, Microsofts a NIST biztonsgi szakembereivel trtn egyeztets alapjn kszltek.

A Windows XP szmos lehetsget nyjt a sablonok teleptshez. A Security Configuration and AnalysisMicrosoft Management Console (MMC) snap-in funkcija kivlan megfelel arra, hogy egy loklis gpenteleptse a sablont. Windows XP tartomny (domain) krnyezetben a Csoport hzirend szerkeszt (GroupPolicy Editor) az erre alkalmas eszkz. A Microsoft a GPMC-t ajnlja a tbbszrs tartomnyban a csoportokbelltsainak kezelsre. A biztonsgi belltsoknl alkalmazott eszkzk listja a 7. fejezetben tallhat.

Az itt lertakat sokan s alaposan teszteltk, de minden rendszer s krnyezet egyedinek szmt, ezrt arendszeradminisztrtornak sajt magnak is tesztelnie kell azokat. A NIST Windows XP biztonsgi sablonokkifejlesztst az motivlta, hogy egy sokkal biztonsgosabb Windows XP munkalloms konfigurciszlessen. Azonban egyes belltsok a rendszer mkdkpessgt vagy hasznlhatsgt cskkenthetik,ezrt vatosan alkalmazza azokat. Tesztelsi mdszernek javasolhat, hogy a rendszeradminisztrtor egyfrissen teleptett rendszerbl induljon ki, fokozatosan ptse fel a kvnt rendszert.

3


4/33

2. A Windows XP krnyezetei

Ez a rsz bemutatja azokat a krnyezeti tpusokat, amelyekbe a Windows XP gazdagp kerlhet: otthoniilletve kisvllalkozsi krnyezet (OKV), vllalati krnyezet vagy fokozott biztonsgot ignyl hely. Egy

negyedik krnyezeti tpus, az elavult krnyezet is ide sorolhat, amikor is a Windows XP specilis ignyekkielgtst vllalja fel, vagyis azt, hogy a korbbi szerverekhez s alkalmazsokhoz trtn, idbenvisszafel mutat kompatibilitsnak tegyen eleget.

Felttlenl meg kell emlteni, hogy minden krnyezetben szksges a biztonsgot rint dokumentumokelksztse is, ilyenek mint a Elfogadhat felhasznls irnyelvei (acceptable use policy), a biztonsgitudatossg nvelst clz dokumentumok, stb.

2.1 Otthoni krnyezet illetve kisvllalkozsok szmtgpei (OKV)

Az OKV kis, htkznapi, egyedlll szmtgpet jelent, amit zleti clra hasznlnak. Az OKV ugyanakkorsokfle krnyezetet jelenthet, kezdve a csak alkalomszeren munkra hasznlt otthoni gptl egy cgkisebb rszlegnl munka cljaira alkalmazott gpekig, amelyet technikai vagy zleti okokbl nem tvolrlkezelnek. Az albbi bra egy tipikus OKV krnyezetet mutat:

1. bra: Tipikus OKV hlzati architektra

ltalban az OKV krnyezet szokott a legkevsb biztonsgos lenni. Ugyanis az OKV rendszer adminisztr-cijval foglalkozk keveset tudnak, keveset foglalkoznak a biztonsggal, sokkal inkbb a mkd-kpessget tartjk szem eltt. Ilyen krnyezetben nem mindig alkalmaznak biztonsgi szoftvereket, pldulvruslt, szemlyes tzfalat. De a hlzatvdelemmel sem mindig trdnek, teht az OKV-s gpek kzvet-lenl ki van tve kls tmadsoknak. s ezrt sokszor tmadsi clpontokk is vlnak, nem a rajtuk lvinformci megszerzse miatt, hanem inkbb tovbbi tmadsok kiindulpontjul vlasztjk ezeket, vagyfrgek ltal okozott krok mellkszerepliv vlnak.

Az OKV krnyezetben az elsdleges fenyegetsek kvlrl vrhatk, ezrt kevsb szigor felhasznlihzirendet kell megfogalmazni, mint egy vllalati vagy fokozott biztonsg krnyezetben. A tmadsok flega hlzati szolgltatsok ellen irnyulnak, vagy rosszindulat programoknak (vrusok, frgek) aszmtgpekre val felvitele trtnik. A tmadsok tbbnyire a rendszer elrhetsgt bntjk (rendszer-sszeomls, hlzati svszlessg cskkense, mkdkpessg korltozsa), de rintheti a srtetlensget

is (adatfjlok megfertzse) s a bizalmassgot is (rzkeny adatok, elektronikus levelek tvolrl trtnelrse).

4


5/33

Az OKV biztonsga a kicsi, olcs, hardver-alap tzfal tvonalvlasztk (routerek) elterjedsvel javulni fog,mivel azok bizonyos mrtkig a mgttk lv gpeket is vdik. Szemlyes tzfalak (BlackICE, ZoneAlarm,Internet Connection Firewall) szintn javtanak a helyzeten. Azonban az OKV megerstsben kulcsfontos-sg szerepet jtszik a sebezhetsgek megszntetse a megfelel javtsok teleptsvel, a feleslegesfunkcik kiiktatsval, a belltsok megvltoztatsval.

2.2 A vllalati krnyezet

A vllalati krnyezet tipikusan egy menedzselt krnyezet, ami a hardver s szoftver konfigurci szempont-jbl is strukturlt. ltalban egy kijellt csoport felels a biztonsgrt. A gyakorlott munkatrsak s a meg-tervezett krnyezet biztostk arra, hogy mind a teleptsnl, mind pedig a mkdtetsnl a biztonsgprioritst kap. A vllalati krnyezetre a tartomnyi modell a jellemz, mert abban hatkonyan vgezhetk ela belltsok s az erforrsok megosztsa (nyomtat, fjl szerver). A vllalatoknl csak a normlmkdshez szksges szolgltatsokat engedlyezik, az egyb, kockzatot jelent alkalmazsokat trlik.A jogosultsgot, a jelszavakat, a hzirendek meghatrozst kzpontilag vgzik, gy az egsz szervezetenbell azonos elvek rvnyeslnek.

2. bra: Tipikus vllalati krnyezet architektra

A vllalati krnyezet sokkal inkbb korltoz, mint az OKV krnyezet. Tbbszint vdelmi rendszert szoktakkialaktani (tzfalak, vruslk, behatolsrzkel rendszerek). Vllalati krnyezetben ltalban nem merl

fel az elavult eszkzkkel, rendszerekkel val egyttm

kds krdse.Az ilyen rendszereket bels s kls tmads is fenyegeti. Bels tmadsra tipikus eset, amikor valaki amsik szmtgpt jogosulatlanul hasznlja. A kls tmads nemcsak a hlzaton kvlrl rkezhet, ha-nem bels felhasznltl is, amikor a szervezet hlzatn keresztl egy bels rendszert tmad (a strukturlt-sg miatt lehetsges). A leggyakoribb tmadsi md, amikor a kls fltl rosszindulat csomag (SPAM,kmszoftver, stb.) rkezik. A hlzati szolgltatsok elleni tmads ritkbb, de bels s kls fl is okozhat- ja. Mindkt mdszer a biztonsg hrom alapelvt: a rendelkezsrellst, a titkossgot s az adatoksrtetlensgt is rintheti.

2.3 Fokozott biztonsg krnyezet

A fokozott biztonsg krnyezet az a krnyezet, amikor a tmads vagy az adatok napvilgra kerlsnek

kockzata igen nagy. Az ilyen krnyezet lehet hlzatba ktve, de llhat nmagban is. Tipikusan olyanszmtgpek vannak itt, amelyek bizalmas informcit tartalmaznak (szemlyes adatok, orvosi vagypnzgyi rekordok, stb.) s ezeken valamilyen mveleteket vgeznek (szmlzs, forgalomirnyts, stb.)Elssorban kls tmads rheti, de a bels sem kizrt. Az ilyen krnyezet lehet egy vllalati vagy OKV kr-

5


6/33

nyezet rsze is (pl. a pnzgyi osztly rendszere, vagy egy mozg munkatrs laptopja az otthoni hlzat-ban).

A fokozott biztonsg krnyezetnek ugyanazokkal a fenyegetsekkel kell szembe nznik, mint a vllalatok-nl. A kockzatok s az eredmnyes tmadsok kvetkezmnyei miatt azonban kevesebb funkcit szabadmegengedni, s a belltsoknl szigorbban kell eljrni. Itt mg inkbb szksg van tapasztalt biztonsgiszakemberekre, aki a korltozsok mgtti tartalmat is rti.

2.4 Elavult krnyezet

Az elavult krnyezetekben rgi rendszerek vagy alkalmazsok futnak, amelyek idejtmlt kommunikciseljrsokat hasznlnak. Emiatt aztn az ilyen krnyezetben mkd rendszerek biztonsgi szempontbl sokkal nyitottabbak, s egyttal vdtelenebbek is. Ilyen krnyezet akr vllalati, akr otthoni krnyezetbenelfordulhat, fokozott biztonsgot ignyl krnyezetben nem valszn.

6


7/33

3. Windows XP mintabelltsainak ttekintse

A biztonsgi belltsok kerlnek felsorolsra ebben a fejezetben, melyek a NIST mintabelltsai kzttkaptak helyet. A belltsokat ht csoportba osztjuk: azonostk s jelszavak, helyi hzirend, esemny-naplzs, kttt csoportok, rendszerszolgltatsok, fjl jogosultsgok, rendszerler adatbzis.

Minden csoportnl az is megtallhat, hogy milyen eszkzkkel vgezzk el a belltst. A javasolt rtkek a4.fejezet tblzataiban vannak. Az eszkzk pedig az 5. fejezetben tallhatk.

A Windows XP magyar s angol vltozatban hasznlt kifejezseket dlt betvel jelljk. A / a lehetsgesvlasztst jelli.

3.1 Azonostk s jelszavak belltsai(Fikhzirend Account Policies)

3.1.1 Jelszavak (Jelszhzirend Password Policy)

A helyes jelszavak kivlasztsra s hasznlatra nemcsak a felhasznlkat kell megtantani, hanem azopercis rendszerben a jelszavakhoz kapcsold paramtereket gy ajnlatos belltani, hogy az az ers

jelszavak hasznlatt segtse el. gy a jelsz kitallsnak vagy feltrsnek valsznsge lnyegesencskkeni fog. A kvetkez paramterek belltsa kvnatos:

Jelsz maximlis lettartama - Maximum password age: ez a felhasznlt a rendszeres jelsz-cserre kszteti. Minl kisebb ez az rtk, annl valsznbb, hogy gyenge jelszt vlasztanak afelhasznlk, mert azt knnyebb megjegyezni. Minl nagyobb az rtk, annl inkbb veszlyeztetetta jelsz, vagyis nagyobb az eslye, hogy jogosulatlanok megismerjk.

Jelsz minimlis lettartama Minimum Password Age: ez a bellts arra vonatkozik, hogy afelhasznlnak hny napot vrnia kell, mieltt jra megvltoztathatja a jelszavt. Sokan a jelszmaximlis lettartamnak lejrta utn megvltoztatjk a jelszavukat, majd azonnal vissza isvltoztatjk a rgire. Ezt kszbli ki a jelsz minimlis lettartamnak belltsa. Htrnya, hogyazokat a felhasznlkat is korltozza, akiknek j jelszava napvilgra kerlt. Ilyenkor adminisztrtori

beavatkozs szksges.

Legrvidebb jelsz Minimlis Password Length: a jelsz minimlis hossza karakterekben meg-adva. Ennek htterben az a meggondols ll, hogy hosszabb jelszt nehezebb kitallni/feltrni.Htrnya viszont, hogy a hosszabb jelszt nehezebb megjegyezni.

A jelsznak meg kell felelnie a bonyolultsgi feltteleknek Password Must Meet ComplexityRequirements: a minimlis jelszhosszhoz hasonlan ez is a jelsz kitallst nehezti. A bonyolult-sg ellenrzse azt jelenti, hogy a jelsz nem tartalmazza a felhasznl azonostjt, s klnflekarakterek (kis- s nagybet, szm, specilis karakter) keverkbl ll ssze.

Elz jelszavak megrzse Enforce Password History: a korbban hasznlt jelszavak megriz-hetk a rendszerben, a megadott szm jelsz kerl trolsra. Elnye, hogy a felhasznl korbbi jelszavait nem alkalmazhatja. Htrnya, hogy a rgi jelszavak a trols miatt esetlegnyilvnossgra kerlnek.

A tartomny sszes felhasznlja jelszavnak trolsa visszafejthet titkostssal - Store PasswordUsing Reversible Encryption for All Users in the Domain: ha ezt a lehetsget belltjk, akkor ajelsz visszakdolhat formban kerl trolsra, ami veszlyes lehet. Csak akkor lltsk be ezt amdot, ha egy rgebbi autentiklsi protokoll tmogatsa (CHAP Challenge HandshakeAuthentication Protocol) szksges.

3.1.2 Azonostk (Fikzrolsi hzirend Account Lockout Policy Settings)

A tmadk gyakran a felhasznlk azonostjt hasznljk a jelszavak kitallshoz. A Windows XP-ben azazonost letilthat, ha tl sok sikertelen ksrlet trtnik egy megadott idn bell. A NIST mintban a kvet-kez paramtereket lltottk be:

7


8/33

Fikzrols kszbe Account Lockout Threshold:a hibs ksrletek maximlis szmt mutatja ezaz rtk, ezutn az azonostt ideiglenes letiltjk.

Fikzrols idtartama Account Lockout Duration:az azonost ideiglenes letiltsnak idejt adjameg. Gyakran rvid, de azrt lnyeges idtartamra lltjk be (pl. 15 perc), kt okbl. A jogosfelhasznlnak, aki vletlenl zrta ki magt a hasznlatbl, csak 15 percet kelljen vrnia az jblibelpsre, ahelyett, hogy az adminisztrtort kellene megkrnie az azonost jbli megnyitsra.

Msodszor, azok, akik a jelszt kvnjk felderteni, ltalban tmegesen prbljk ki a jelszavakat,s gy k egyszerre csak viszonylag kevs jelszvak ksrletezhetnek, a folytatshoz pedig 15percet vrniuk kell. Ez a bellts cskkenti az n. brute force attack, azaz a nyers er hasznlatt.

Fikzrolsi szmll nullzsa - Reset Account Lockout Counter After: ezt a belltst a Fik-zrols kszbe-vel egytt alkalmazzk. Ha pldul a ksrletek szma 10, s ez a paramter 15perc, akkor 15 percen belli 10 hibs jelsz megadsa utn az azonostt letiltjk.

Az azonostk s jelszavak belltsnak nagy krdse, hogy hogyan lehet egyenslyt teremteni a bizton-sg, a mkdkpessg s a hasznlhatsg kztt. Pldul ha egy azonostt nhny hibs jelszmegadsa utn kizrunk, ez ugyan megnehezti a jogosulatlan belpst, de meglehetsen megnveli azazonostval foglalkoz adminisztrtor munkjt a vletlen eltsek miatti kizrsok visszalltsa miatt.Msrszt emiatt a felhasznlk paprra fogjk lerni a jelszavukat, illetve knnyen megjegyezhet jelszavakat

alkalmaznak. Ezrt alaposan vgig kell gondolni a belltsokat.

A bellts mdja:

Start -> Vezrlpult -> Felgyeleti eszkzk -> Helyi biztonsgi belltsok -> Fikhzirend -> Jelszhzi-rend illetve Fikzrolsi hzirend

Start > Control Panel -> Administrative Tools -> Local Security Policies -> Account Policies -> PasswordPolicy illetve Account Lockout Policy

3.2 Helyi hzirend

A helyi hzirend (local policy) hrom tmval foglalkozik: a naplzssal, a felhasznli jogok kezelsvelvalamint a biztonsgi belltsokkal.

3.2.1 A naplzs (Naplrend Audit Policy)

A Windows XP hatkony eszkzt biztost a rendszer megfigyelsre, ellenrzsre. A megfigyels mdszerea naplzs (log), a rendszeradminisztrtorok ezeket tnzve kiszrhetik a jogosulatlan tevkenysgeket. Anaplk az incidensek feldertsnl is hasznos eszkznek bizonyulhatnak. A naplk rgzthetik a be- jelentkezseket/kilpseket, az azonostk kezelst, a cmtr-hozzfrst, a hzirendek vltoztatst, arendszerjogok mdostst, a folyamatok nyomon kvetst, stb. amint az az albbi tblzatban lthat.Minden naplzsi fajtnl bellthat, hogy a sikeres, a sikertelen vagy mindkt tpus esemnyekbejegyzsre kerljenek, vagy semmi se kerljn bejegyzsre. A bejegyzseket az Esemnynapl (Eventviewer) segtsgvel nzhetjk meg.

Ellenrzs belltsa Lers (Bejegyzs kszlhet, ha...Bejelentkezs naplzsa -Audit account logon events

a felhasznl errl a munkallomsrl egy tvoli gpre be- vagy kilp.

Fikkezels naplzsa -Audit account management

felhasznli vagy csoport-azonostt hoznak ltre, mdostanak vagy t-rlnek; felhasznli azonostt tneveznek, letiltanak vagy visszallta-nak; jelszt lltanak be vagy mdostanak.

Cmtrszolgltats-hozzfrsnaplzsa -Audit directory service access

a cmtr egy olyan objektumhoz frnek hozz, amelynek sajt rend-szer-hozzfrsi listja (SACL) van.

Fikkezels naplzsa -Audit logon events

a felhasznl be- illetve kijelentkezik, vagy a loklis gppel hlzatikapcsolatot pt.

Objektum-hozzfrs naplzsa

Audit object access

a felhasznl sajt rendszer-hozzfrsi listval (SACL) rendelkezobjektumhoz (fjl, knyvtr, rendszerleradatbzis-kulcs vagy nyomtat)fr hozz. A sikertelen hozzfrsek is bizonyos helyzetben normlisaklehetnek. vatosan hasznlja!

8


9/33

Hzirendvltozs naplzsa -Audit policy change

a felhasznli jogokat, naplzst vagy egyb hzirendet rint vltozta-ts trtnik.

Rendszerjogok hasznlatnaknaplzsa -Audit privilege use

a felhasznl a jogait gyakorolja. Nagyon sok bejegyzs kerlhet a nap-lba!

Folyamatok nyomon kvets-nek naplzsa -

Audit process tracking

egy program elindul, egy folyamat lell, duplum kezelskor vagy kzve-tett mdon frnek hozz egy objektumhoz.

Rendszeresemnyek naplzsaAudit system events

a felhasznl a szmtgpt indtja/lelltja vagy a rendszer biztonsgts a biztonsgi bejegyzseket rint esemny trtnik.

3.2.2 Felhasznli jogok kiosztsa User right Assignment

A felhasznli jogok kiosztsa meghatrozza, hogy melyik csoportnak (adminisztrtor, felhasznl stb.)milyen jogosultsga legyen. A cl itt az, hogy minden csoport csak annyi jogot kapjon, amennyi felttlenlszksges, a felhasznlk pedig abba a csoportba kerljenek, ahol csak a nekik ppen szksges jogokvannak. Ez legkevesebb jog elve. A jogok sokflk lehetnek: a helyi vagy tvoli rendszerekhez trtnhozzfrs, mentsek vgrehajtsa, a dtum/idpont megvltoztatsa, naplk kezelse, a rendszer le-lltsa.

A 4.2.2 tblzatban szerepl bejegyzsek tbbsge az elnevezs alapjn beazonosthat. Nmelyik szerepetaln els olvasatra nem egszen vilgos. Ezekhez egy rvid magyarzatot tall itt (a nv utn a 4.2.2tblzatban lv sorszm tallhat. A kivlaszts szempontja nkntes):

Az opercis rendszer rszeknt val mkds (2)

Egy process szmra lehetsges, hogy brmelyik felhasznl nevben azonosthassa magt, s gygyakorlatilag ugyanazokat az erforrsat rje el, amit a felhasznl.

Szlknyvtr-jogosultsg mellzse (7)

Ez a jog azt biztostja, hogy a felhasznl vgigmehet a knyvtrak fa szerkezetn, anlkl, hogy brmilyen

joga lenne a knyvtrakban. Teht nem listzhatja ki egy knyvtr tartalmt, csak tkelhet rajta.

Lapozfjl ltrehozsa (9)

Melyik felhasznl illetve csoport hozhatja ltre a lapozfjlt, illetve mdosthatja a mrett.

Token objektum ltrehozsa (10)

Egy hozzfrsi token ltrehozsra szolgl jog. Az Active Directory-ban a felhasznl hitelestse utn ahelyi biztonsgi rendszer ltrehoz a felhasznl szmra egy tokent, azaz egy olyan specilis csomagot,amely tartalmazza a felhasznl nevt, SID-jt, a felhasznlt tartalmaz globlis csoportok SID-jeit (tarto-mnyvezrltl szrmazik), a felhasznlt tartalmaz loklis csoportok SID-jeit (helyi gprl szrmazik),

rendszerszint

jogosultsgokat.Szmtgp- s felhasznli fikok megbzhatsgnak engedlyezse (19)

Ez a bellts lehetv teszi, hogy egy felhasznl egy msik felhasznlt vagy objektumot megbzhatnakminstsen, azaz a sajt jogait tovbbadhassa egy msik felhasznlnak, objektumnak. (Belltsa a Trustedfor Delegation opcit.) Pldul egy szmtgpen fut szerverprocessz esetn amit a kliens megbzhat-nak minstett a szerverprocessz a kliens szmtgpn lv erforrsokhoz a kliensre belltott jogokkalhozzfrhet.

Biztonsgi naplzs ltrehozsa (21)

Meghatrozza azokat a fikokat, amelyeket hasznl processzek kpesek a biztonsgi naplba bejegyzse-

ket tenni.Szmtgp eltvoltsa tokjbl (34)

9


10/33

Meghatrozza, hogy egy felhasznl a laptopjt bejelentkezs nlkl kiszedheti-e a dokkol llomsrl.

Folyamat token lecserlse (35)

Ennek a jogosultsgnak a tulajdonosa kezdemnyezhet egy olyan processzt, amely kicserli egy msik futprocessz hozzfrsi tokenjt.

Knyvtrszolgltats-adatok szinkronizlsa (38)Meghatrozza, hogy melyik felhasznlnak illetve melyik csoportnak van joga a directory service adatainakszinkronizlsra. Ez Active Directory szinkronizls nven is ismert.

3.2.3 Biztonsgi belltsok Security Options

A helyi hzirend kialaktsnl a mr korbban emltettek mellett tovbbi belltsok is lehetsgesek,ezekkel az n. biztonsgi belltsokkal jobb biztonsgi krlmnyeket tudunk kialaktani, mint azalaprtelmezssel. A NIST minta tbb tucat ilyen belltst ismertet, pldul: az res jelsz hasznlatnakletiltsa, a rendszergazda s a vendg azonost tnevezse, a floppihoz s a CD-ROM eszkzhz tvolrlval hozzfrs korltozsa, egy tartomnyon bell a biztonsgos csatorna kdolsa, a bejelentkezsikperny biztonsgosabb ttele (az elz azonost elrejtse, figyelmeztet felirat megjelentse, a jelszlejrati ideje eltt a felhasznl figyelmeztetse), bizonyos tpus hlzati hozzfrs korltozsa, a

hitelests tpusnak meghatrozsa (pl. NTLMv2).A 4.2.3 tblzatban szerepl bejegyzsek tbbsge az elnevezs alapjn beazonosthat. Nmelyik szerepetaln els olvasatra nem egszen vilgos. Ezekhez egy rvid magyarzatot tall itt (a nv utn a 4.2.3tblzatban lv sorszm tallhat. A kivlaszts szempontja nkntes):

Eszkzk: Dokkols megszntethet bejelentkezs nlkl is (9)

Ez a biztonsgi bellts azt hatrozza meg, hogy egy hordozhat szmtgpet (laptopot) bejelentkezsnlkl is le lehet-e kapcsolni a dokkol llomsrl. Ha ez a bellts engedlyezve van, bejelentkezs nlklegy kls hardveres (kidob) gomb hatsra lekapcsolhat a gp. Ha tiltva van, akkor elszr afelhasznlnak be kell jelentkeznie, s a Szmtgp eltvoltsa tokjbl / Remove computer from dockingstation privilgiummal kell rendelkeznie, hogy lekapcsolhassa a gpt.

Interaktv bejelentkezs: A munkalloms zrolsnak feloldshoz tartomnyvezrli hitelestsrevan szksg (28)

A Windows XP trolhatja a felhasznlk bejelentkezsi informciit, azrt, hogy ha a tartomnyvezrlelrhetetlen, a felhasznl akkor is be tudjon jelentkezni. A fenti belltstl fggen a tartomnyvezrlkiesse esetn is sikeres lehet a bejelentkezs.

Interaktv bejelentkezs: Viselkeds intelligens krtya eltvoltsakor (31)

Ez a bellts meghatrozza, hogy mi trtnjen, ha egy bejelentkezett felhasznl az intelligens krtya-olvasbl eltvoltja a krtyt. Lehetsges vltozatok: nincs mvelet, munkalloms zrolsa, knyszertettkijelentkezs.

Hlzati hozzfrs: A nvtelen helyazonost-/nvfordts engedlyezse (39)

Ez a biztonsgi bellts megadja, hogy egy nvtelen felhasznl lekrdezheti-e egy msik felhasznlazonostjnak (biztonsgi azonostjnak - SID) attribtumait. Ha belltjk, akkor az a felhasznl. akiismeri az adminisztrtor SID-jt, a szmtgppel kommuniklhat s a SID segtsgvel az adminisztrtornevt lekrdezheti.

Hlzati hozzfrs: SAM fikok nvtelen felsorolsa nem engedlyezett (40)

Meghatrozza, hogy egy nvtelen felhasznl kilistzhatja-e a SAM fikokat. A Windows bizonyostevkenysgeket, mint pl. a tartomnyfikok neveinek listzst s a hlzaton trtn megosztst, mg a

nvtelen felhasznlknak is megengedheti. Erre pldul akkor lehet szksg, ha egy adminisztrtor egymsik megbzhat tartomnyban a felhasznlknak jogokat szeretne adni, s ez a tartomny nem tekintimegbzhatnak a msik tartomnyt.

10


11/33

(SAM: Minden Windows szerveren vagy munkallomson van egy helyi SAM (Security Account Manager)adatbzis, amely a helyi felhasznlk fikjait illetve a csoportfikokat tartalmazza.)

Hlzati hozzfrs: A nvtelen felhasznlkra a Mindenki csoportra vonatkoz engedlyekvonatkoznak (43)

Meghatrozza, hogy milyen tovbbi jogosultsgokat biztostanak a szmtgphez csatlakoz nvtelen

felhasznlknak.

Hlzati hozzfrs: Nvtelenl elrhet Named Pipe-ok (44)

Meghatrozza, hogy melyik kommunikcis munkamenetnek (pipe) vannak olyan tulajdonsgai illetveengedlye amely lehetv teszi a nvtelen felhasznli hozzfrst.

Hlzati hozzfrs: Tvolrl elrhet rendszerler elrsi utak (45)

Ez a biztonsgi bellts meghatrozza, hogy a rendszerleradatbzis melyik gt lehet hlzaton keresztlelrni, fggetlenl attl, hogy a felhasznl vagy a csoport szerepel-e a winreg rendszerler kulcshozzfrsi listjn.

Hlzati hozzfrs: Nvtelenl elrhet megosztsok (46)

Ez a biztonsgi bellts megadja, hogy melyik megosztst rhetik el a nvtelen felhasznlk.

Hlzati hozzfrs: Megosztsi s biztonsgi modell helyi felhasznli fikok szmra (47)

Meghatrozza, hogy a helyi fikokat hasznl hlzati bejelentkezsek hogyan legyenek naplzva. Haklasszikus belltst hasznlnak, akkor a helyi fik hitelest adatait hasznl hlzati bejelentkezst ahitelest adatokkal naplzzk. Ha csak vendg belltst alkalmaznak, akkor a helyi fikot hasznlhlzati bejelentkezst a vendg fikhoz ktik. A klasszikus bellts az erforrsokhoz val hozzfrsfinom vezrlst teszi lehetv. A klasszikus modell hasznlatval ugyanahhoz az erforrshoz klnbzfelhasznlk szmra ms-ms tpus hozzfrst tud biztostani.

A bellts mdja:

Start -> Vezrlpult -> Felgyeleti eszkzk -> Helyi biztonsgi belltsok -> Helyi hzirend -> Naplrend /Felhasznli jogok kiosztsa / Biztonsgi belltsok

Start > Control Panel -> Administrative Tools -> Local Security Policy -> Local Policies -> Audit Policy /User right assignments / Security Options

3.3 Esemnynaplzs

A Windows XP a lnyeges esemnyekre vonatkoz informcikat hrom naplba jegyzi fel: az Alkalmazsnaplba, a Biztonsgi naplba s a Rendszernaplba. A napl hibazeneteket, naplzsi informcikat s a

rendszer tevkenysgvel kapcsolatos egyb bejegyzseket tartalmaz. A napl nemcsak a gyans vagyrosszindulat viselkeds beazonostsra s a biztonsgi incidensek kivizsglsra szolgl, hanem a rend-szerrel kapcsolatos hibaelhrtst s az alkalmazsok problminak megoldst is segti. Ezrt fontos, hogymindhrom naplt hasznljk. A NIST mintabellts mindhrom naplfajtt minden krnyezetben alkal-mazza, s a maximlis naplmretet is megadja. Ha ez utbbi rtk nagyon alacsony, akkor nem lesz elghely arra, hogy a rendszertevkenysggel kapcsolatos informci trolsra kerljn. Bizonyos szerveze-teknl elrhatjk a naplzsi hzirendet s kzponti naplzst, ekkor a mintabelltst ahhoz kell igaztani.

A bellts mdja:

Start -> Vezrlpult -> Felgyeleti eszkzk -> Esemnynapl -> Alkalmazs/Biztonsg/Rendszer (jobbkattints) -> Tulajdonsgok

Start > Control Panel -> Administrative Tools ->Event viewer -> Application/Security/System (rigth click) ->Properties

11


12/33

3.4 Kttt csoportokRestricted users

Minden rendszerben s minden krnyezetben a tvoli felhasznlk (remote users) csoportjbl mindenfelhasznlt tvoltsunk el, kivve azokat, akiknek valban oda kell tartozniuk! gy cskkenthet annak avalsznsge, hogy valaki tvoli felhasznlknt jogosulatlanul a rendszerhez frjen. A kiemelt felhasznlk(power users)

csoportjban lv

ket is sz

rjk meg, mivel jogosultsguk majdnem megegyezik azrendszer-

gazdk (administrators) csoport jogosultsgaival. Ha egy felhasznlnak tovbbi de nem teljesadminisztrtori jogosultsgra van szksge, akkor ahelyett, hogy a kiemelt felhasznlk csoportjbabetennk, egyedi jogosultsgokat kell szmra biztostani. Alaprtelmezsben a NIST mintabelltsai akiemelt s a tvoli felhasznlk csoportjbl mindenkit eltvolt.

A bellts mdja:Start -> Vezrlpult -> Felgyeleti eszkzk -> Szmtgp kezelse -> Rendszereszkzk -> Helyi fikoks csoportok -> Csoportok -> Kiemelt felhasznlk / Tvoli felhasznlk

Start > Control Panel -> Administrative Tools -> Computer Management -> System Tools -> Local Usersand Groups -> Groups -> Power Users / Remote Desktop Users

3.5 Rendszerszolgltatsok

A Windows XP szmos szolgltatst nyjt, ezek tbbsge a rendszer indtsval egytt automatikusan el-indul. A szolgltatsok klnfle erforrsokat vesznek ignybe s a gyengesget, sebezhetsget is jelenthetnek a gazdagp szmra. Minden felesleges szolgltatst le kell lltani, hogy a rendszer ellenitmadsok szmt cskkenthessk. Menedzselt krnyezetben a Csoport Hzirend Objektumban kell a rend-szeren lv szolgltatsokat konfigurlni; egyb krnyezetben pedig minden rendszerben egyenknt kellbelltani a szolgltatsokat. Mindkt konfigurlsi eljrs esetn minden szolgltats indtsra hrom esetlehetsg kzl lehet vlasztani:

Automatikus Automatic: A szolgltats automatikusan elindul. Ez azt jelenti, hogy a rendszerfelllsa utn a szolgltats fut.

Kzi Manual: Csak akkor indul a szolgltats, ha szksges. A gyakorlatban ez nem azt jelenti, hogyha ignybe kvnjk venni a szolgltatst, akkor az automatikusan elindul, hanem kzzel el kellindtani.Megjegyzs: ha egy szolgltats egy msik szolgltatstl fgg, akkor az els helytelenl aztfelttelezi, hogy a msik szolgltats mr fut.

Letiltva Disabled: A szolgltatst nem lehet elindtani.

A NIST javaslata szerint az albbi szolgltatsok mindegyikt minden krnyezetben tiltsuk le, hacsakvalamilyen specilis ok nincs a futtatsukra.

Riaszts Vgknyv FTP publikcis szolgltats IIS rendszerszolgltats zenetkezel Netmeeting tvoli asztalmegoszts tvlaszts s tvelrs SMTP SNMP szolgltats SNMP csapda Telnet WWW publikcis szolgltats

A NIST mintabelltsok mindegyike letiltja ezeket a szolgltatsokat. Ezenkvl - bizonyos krnyezetekben -

mg tovbbi szolgltatsokat is letilt, mint a Szmtgp-tallz, Tvoli rendszerler adatbzis, Feladat-temez s Terminlszolgltats. Klnsen vllalati krnyezetben nagy kihvst jelent a szolgltatsokbiztonsgos belltsa.

12


13/33

A szolgltatsok letiltsa:

Start -> Vezrlpult -> Felgyeleti eszkzk -> Szolgltatsok -> (Szolgltats nevre ktszer rkattintani) ->Indts tpusa: Automatikus / Kzi / Letiltva

Start > Control Panel -> Administrative Tools -> Services -> (Double click the service name) -> StartupType: Automatic / Manual /Disable

Az Universal Plug and Play eszkzk (Universal Plug and Play) letiltsnl mg kt szolgltats le kell tiltani:SSDP keresszolgltats (SSDP Discovery Services) s a Universal Plug and Play Device Host Services.

A tvolrl trtn hozzfrs lehetsgt mskppen tiltjk le. Br ez egy nagyon hathats tulajdonsga arendszernek, sajnos ekkor a szmtgp nagyon ki van tve a hlzati tmadsoknak.

Sajt gp (jobb klikk) -> Tulajdonsgok -> Tvoli hasznlat -> (pipa mellzse)A szmtgprl lehet tv-segtsget krni / Tvolrl is kapcsoldhatnak a felhasznlk ehhez a szmtgphez

My Computer (jobb klikk) -> Properties -> Remote (tab) -> (uncheck) Allow Remote Assistance invitation tobe sent from this computer / Allow users to connect remotely to this computer

3.6 Fjl jogosultsgok

Ebben a rszben a Windows XP fjlrendszerhez tartoz hozzfrsi szablyok (ACE access control ent-ries) s hozzfrs-szablyozsi listk (ACL access control lists) ltalnos belltsrl lesz sz. A NISTmintabelltsa csak 25 vgrehajthat, de jogosulatlan mdostsoktl s jogosulatlan felhasznlstl vdenikvnt fjlra korltozdik. Egy adott krnyezetben mkd Windows XP rendszerhez tovbbi belltsok isszksgesek lehetnek.

Egy adott erforrshoz (fjl, knyvtr) tartoz ACL lista mdostsa hrom flekpp trtnhet:

Az Intzben (Windows Explorer) vagy az asztalon,... - az erforrshoz tartoz Tulajdonsgok(Properties)elnevezs ablak megnyitsa utn a Biztonsg(Security) flre rkattintva lthat, hogyaz erforrshoz melyik felhasznlnak s melyik csoportnak milyen jogosultsga van. A Specilis

(Advanced) t megnyitva mg finomabb bellts vgezhet

, pldul az er

forrs tulajdonosnakbelltsa vagy a naplzs.Megjegyzs: Ha a Windows XP opercis rendszer nem tartozik tartomnyhoz, valamint NTFSfjlrendszere van, akkor a Biztonsg (Security) fl alaprtelmezsben nem lthat. Bekapcsolsa:Intz -> Eszkzk -> Mappa belltsai -> Nzet -> Egyszer fjlmegoszts hasznlata (ne legyenpipa)Windows Explorer -> Tools -> Folder Options -> View -> Use simple file sharing (ne legyen pipa)

a %SystemRoot%\system32 ben tallhat cacls.exe -vel. Ez a parancs mdban hasznlhatprogram a fjlok ACL-jeit lltja, de nem mdostja a Windows XP Security descriptor-ait.(Megjegyzs: az MFT (Master File Table)-ban minden fjlhoz tartozik egy rekord, s a rekordmindenfle attribtumot tartalmaz, tbbek kztt az n. security descriptor-t is, ami a fjlhoz tartozACL-eket trolja.)

az MMC segtsgvel egy biztonsgi mintasablon (security template) betltsvel.

A Windows XP a hozzfrsi szablyok rklsi modelljt alkalmazza, vagyis egy objektum ACL-je tartal-mazza a szl-objektumtl rklt ACE-t. Pldul az NTFS fjlrendszerben lv fjl az t tartalmazknyvtr ACE-jt rkli. Ugyanakkor a fjlrendszer egy objektumra vonatkoz kzvetlen ACE belltsmagasabb priorits az rklt ACE-nl.

3.7 Rendszerler-adatbzis engedlyezse

A Windows XP rendszerler-adatbzisnak mdostsa engedlyhez van ktve. A NIST mintabelltsai alegtbb rendszerler-kulcs s rtk belltst szablyozza, hogy megvdje azokat a jogosulatlanhozzfrsektl s mdostsoktl. Alaprtelmezsben a teljes rendszerler-adatbzissal val mveletek is

csak korltozottan vgezhetk el, de nagyon fontos annak ellenrzse, hogy ez valban gy is van:

Start -> Futtat ->Regedit -> HKLM\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg (jobbklikk) -> Permissions

13


14/33

Start -> Run -> Regedit -> HKLM\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg (right click)-> Permissions

Gondoskodjon arrl, hogy csak a Rendszergazdk rendelkezzenek teljes joggal, a Backup opertor csoport-nak alig legyen valamifle joga (bizonyos rtkek lekrdezse, alkulcsok felsorolsa, rtests, olvass) s aHelyi szolgltats pedig csak olvassi joggal rendelkezzen.

A kvetkezkben nhny rendszerler-kulcs neve, elrsi tja, feladata kerl felsorolsra, valamint a java-solt bellts. Az alkalmazott rvidtsek:

HKLM = HKEY_LOCAL_MACHINEHKCU = HKEY_CURRENT_USERHKU = HKEY_USERS

3.7.1 Nyomkvetshez kapcsold rendszerler kulcsok

HKLM\Software\Microsoft\DrWatson\CreateCrashDump

rtkt 0-ra lltva a Dr. Watson nyomkvet program nem kszt a memria tartalmrl msolatot (dump).

A memria ugyanis rzkeny informcikat is tartalmazhat, mint pldul jelszavak.HKLM\Software\Microsoft\Windows NT\CurrentVersion\AEDebug\Auto

rtkt 0-ra lltva a Dr. Watson nyomkvet program nem mkdik.

3.7.2 Automatikus funkcik

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRunHKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRunHKU\.DEFAULT\ Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRu

Az autorun (automatikus induls) funkci megprblja a CD tartalmt azonnal lefuttatni, mihelyt a CD-t a

meghajtba teszik. Ha a CD tartalma ktes, akkor ez a bellts nem helyes. A kulcs rtkt 255-re lltva azautomatikus induls funkci egyik meghajtn sem fog mkdni.

HKLM\System\CurrentControlSet\Services\Cdrom\Autorun

rtkt nullra lltva a CD automatikus induls funkcija nem mkdik.

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\AutoAdminLogon

Ha ezt engedlyezik (azaz az rtke 1), akkor a rendszerler-adatbzisban trolt jelszval jelsz meg-adsa nlkl - be lehet jelentkezni a rendszerbe. Ez nagyon veszlyes, ugyanis a rendszerler-adatbzis-ban nylt szvegknt jelenik meg a jelsz, s a helyi felhasznlk is lthatjk azt. Msrszt brki, akifizikailag hozzfr a rendszerhez, ugyancsak jogosultsg ellenrzse nlkl belphet a rendszerbe.

Megjegyzs: A jelsz a DefaultPassword bejegyzsben tallhat. Ha akr a DeafultPassword, akr azAutoAdminLogon bejegyzs nincs meg az adatbzisban, akkor azok ltrehozhatak.

HKLM\System\CurrentControlSet\Control\CrashControl\AutoReboot

Az AutoReboot engedlyezse esetn egy hiba vagy fennakads esetn a rendszer automatikusan jra-indul. Egyesek szerint ez biztonsgi s mkdsi szempontbl nem kvnatos. Pldul, ha egy hiba trtniks a rendszer automatikusan jraindul, nem lehet tudni, hogy mkdsi hiba trtnt vagy a rendszert feltr-tk. Kikapcsolsa az rtk 0-ra lltsval megy.

14


15/33

3.7.3 Hlzati munka

HKLM\System\CurrentControlSet\Services\LanManServer\Parameters\AutoShareWks

Ha a Microsoft hlzaton bell fjl- vagy nyomtatmegosztst hasznlnak, a Windows XP minden fix helyimeghajtt, mint rejtett adminisztratv erforrst (pl. C$, D$) megoszt. Hacsak nem okvetlenl szksges ez amegoszts, szntessk meg! Szksg lehet erre pldul olyan alkalmazsoknl, amelyek szmtanak az

ilyen megosztsokra; tovbb a tvolrl karbantartott rendszerek ignylik az ilyen megosztsokat. Amegosztst az rtk 0-ra lltsval szntetik meg.

HKLM\System\CurrentControlSet\Services\MrxSmb\Parameters\RefuseReset

Ezt a paramtert 1-re lltva elrhet, hogy a rendszer a ResetBrowser frame-t mellzi. Ez utbbit arra lehethasznlni, hogy a NetBIOS-t s az eddigi master browsert lelltsa, s egy msik szmtgpet nevezzen kimaster browsernek. A Windows korbbi vltozataiban ez biztonsgi lyuk volt.

(Megjegyzs: a Browse Service kln hlzati szolgltats, mely mg manapsg is alapvet fontossg ahlzati erforrsok megtallsban (Network Neighborhood). Ez az gynevezett Master Browser friss,illetve nagyobb hlzatok esetn a Backup Browserek esetleg elavult erforrslistjban val kattingatssalkrdezhet le. A Browser a lekrdezshez az UDP szolgltatst hasznlja.)

HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\DisableIPSourceRouting

Ezt a paramtert 2-re belltva lehetetlenn vlik a kld ltal belltott tvonalvlaszts, az n. sourcerouting. Tulajdonkppen nincs is r igazn szksg, de arra felhasznlhat, hogy egy tmad egy IPcsomagot egy kzbls hoszton tkldjn, s gy megnzze vagy mdostsa a hlzati kommunikcit.

(Megjegyzs: Source routing: A felad ltal megadott tvonalon, llomsok megadott listjn halad vgig acsomag. Kt vllfaja van, a szigor (strict) s a laza (loose). Az els esetben csak a listn felsoroltllomsokon haladhat vgig a csomag s ha kt szomszdosnak felsorolt lloms nem szomszdos, akkora csomag elvsz s egy Source routing failed" ICMP csomag klddik a feladhoz. A msodik esetben ha alistn kt szomszdosnak feltntetett lloms a valsgban nem szomszdos, akkor is tovbbmegy acsomag a lista kvetkez elemhez, de a routerek ltal kijellt tvonalon.)

HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\EnableDeadGWDetect

Ha ennek rtke 1, akkor a TCP szleli a nem mkd tjrt. A TCP krheti az IP-t, hogy lljon t a tarta-lk tjrra, ha adott szm kapcsolatnl problmt szlel. A tmad ezt a lehetsget arra tudja felhasznl-ni, hogy a rendszer egy rosszindulat tjr fel irnytsa a forgalmat, s gy megnzze, mdostsa az adato-kat vagy szolgltatsmegtagadst idzzen el. A helyes bellts: 0.

HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\EnableICMPRedirect

Ha ez a bellts rvnyben van, akkor a Windows XP a hlzati eszkzktl (pl. router) kapott ICMPRedirect zenet hatsra az tvonalvlaszt tbljt trja. A tmad ekkor egy hamistott ICMP redirect

zenettel elrheti, hogy az rendszerbe (vagy brhov mshova) irnytsk a csomagokat, s gy rzkenyinformcikat foghat el, betrhet a rendszerbe vagy szolgltatsmegtagadst idzhet el.

HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\EnablePMTUDiscovery

Ha ez a paramter be van lltva, akkor a TCP megprblja felderteni az MTU t (Maximal TransmissionUnit a legnagyobb fizikai csomag mrete bjtban, amit a hlzat mg t tud vinni). A NIST javaslataalapjn kapcsoljuk ki ezt a lehetsget, azaz lltsuk 0-ra az rtket, s gy minden kapcsolatban 576 bjtoscsomagot kld a loklis hlzaton kvli hosztokra.

HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\KeepAliveTime

Az itt belltott rtk azt mutatja meg, hogy a TCP milyen gyakran kldjn egy n. keep-alive csomagot egy

ppen nem forgalmaz kapcsolatra, hogy megnzze, hogy mg l-e a kapcsolat. l kapcsolat esetn atvoli hoszt nyugtt kld. Alaprtelmezsben ilyen csomagot nem kld a rendszer. A NIST javaslata 500000msec, azaz 5 perc.

15


16/33

HKLM\System\CurrentControlSet\Services\Netbt\Parameters\NoNameReleaseOnDemand

Ez a paramter hatrozza meg, hogy a hlzatrl rkez krsre megadja-e a szmtgp a NetBIOS nevet.Ha 1-re lltottk, akkor nem adja meg a nevet, ez a rosszindulat, nvvel kapcsolatos tmadsoktl vdi arendszert. A NIST mintabelltsaiban ez nem tallhat meg.

HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\PerformRouterDiscovery

Ez a paramter ellenrzi, hogy a rendszer az RFC 1256 szerint keresi-e az tvlasztjt (routert). MindenNIST mintabelltsban 0 az rtke. (A RFC 1256 az ICMP zenet kibvtst tartalmazza, vagyis amikor arendszer egy multicast vagy broadcast hlzatban a szomszdos routerek IP cmt keresi meg.)

HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\SynAttackProtect

Az n. SYN elraszts (Synflood) ellen vd ez a paramter. Kt tovbbi paramter jtszik mg itt szerepet:az ugyanitt tallhat TcpMaxHalfOpen (ld. kvetkez) s a TcpMaxHalfOpenRetried (ld. innen a msodik)Ha a ksrletek szma elri e kt paramter rtknek brmelyikt, s a SynAttackProtect rtke 1 vagy 2,akkor a Syn elraszts ellen vdelem letbe lp. (A NIST a 2-es rtket javasolja, mert az erteljesebbvdelmet biztost.)

HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\TcpMaxHalfOpenEz a megengedett SYN-RCVD llapotban lv kapcsolatok szmt hatrozza meg (vagyis a flig felptettTCP kapcsolatok szmt), ha ezt az rtket elri a rendszer, akkor a SynAttackProtect letbe lp. A NISTalaprtelmezsben 100-t javasol.

HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\TcpMaxHalfOpenRetried

Ez azon SYN-RCVD llapotban lv kapcsolatok szmt hatrozza meg, amelyekre legalbb egy vlasz-csomag mr elment. A NIST ltal javasolt rtk 80. (rtheten ez kisebb rtk, mint az elz.)

HKLM\System\CurrentControlSet\Services\IPSEC\NoDefaultExempt

Alaprtelmezsknt a Windows XP-ben az IPsec a hzirendben el

rt sz

rsek all kivtelt kpezhet. (ld.http://support.microsoft.com/?id=810207) A paramter rtkt 1-re lltva ez a kivtelezs megsznik aKerberosra s a RSVP forgalomra.

HKLM\System\CurrentControlSet\Services\Lanmanserver\Parameters\Hidden

A paramter 1-re lltva megakadlyozhat, hogy a rendszer egy n. browser bejelentst tegyen, teht gya hlzaton lv Browserek ell rejtve marad. Ezltal cskken annak a valsznsge, hogy a Microsofthlzaton keresztl hozzfrjenek ehhez a gphez.

HKLM\System\CurrentControlSet\Control\Session Manager\SafeDIISearchMode

A Windows XP a knyvtrakat megadott sorrendben keresi vgig, amikor egy vgrehajtand fjlt keres.Alaprtelmezsben elszr a kurrens knyvtrban keres, majd a Windows s rendszerknyvtrakban. Haezt 1-re lltjuk, akkor a kurrens knyvtrban csak az elbbiek utn keres. Biztonsgi szempontbl ez jobbmegolds, mert a kurrens knyvtr kevsb vdett lehet. Pldul ha valaki egy trjait helyez el egymegosztott knyvtrban, az alaprtelmezsknt hasznlt keressi sorrendnl a trjait a megosztottknyvtrat elr felhasznl a nvazonossg miatt - vletlenl lefuttathatja, mg a msodik esetben eznem trtnik meg.

3.8 Javaslatok sszefoglalsa

Ksztsen jelsz-hzirendet, hogy a jelsz kitallsval vagy feltrsvel trtn jogosulatlan hozz-frst megakadlyozza! A hzirendnek a biztonsg, a mkdkpessg s a hasznlhatsg kztt

kell egyenslyoznia. Ksztsen napl-hzirendet, hogy bizonyos tpus tevkenysget rgzteni lehessen, gy a rendszer-

gazda megnzheti a naplt s szlelheti a jogosulatlan aktivitst! A legkevesebb jog elvnek figyelembevtelvel adjon a felhasznlknak jogokat!

16


17/33

A nagyobb biztonsg elrsrt az alaprtelmezsek lltsa t, ahol szksges; pldul a jelsznlkli belps ne engedlyezzen, a Rendszergazda s a Vendg azonostt nevezze t, shatrozza meg, milyen tpus azonostst alkalmaz!

lltsa be az Alkalmazs, a Biztonsg s a Rendszer naplzst! Trlje ki a tvoli felhasznlk s a kiemelt felhasznlk csoportjbl az sszes olyan felhasznlt,

akinknek nem kell ott szerepelnik! Trljn minden felesleges szolgltatst!

Trljn minden Univerzlis plug and play eszkzt s Tvoli segtsget! Korltozza a hozzfrsi lista (ACL) belltsait s a rendszerler-adatbzis bejegyzseit!

17


18/33

4. Biztonsgi mintabelltsok

Az albbi, a NIST ltal ksztett mintabelltsok a CIS, DISA, NIST, NSA s a Microsoft szakembereinek egyetrtsvel kfejezetben lert csoportostson alapulnak.

4.1 Fikhzirend4.1.1 Jelszhzirend

Javasolt rtkHzirendFokozott bizt. Vllalat O

1. Jelsz maximlis lettartamaMaximum password age

90 nap

2. Jelsz minimlis lettartamaMinimum password age

1 nap

3. Legrvidebb jelszMinimum password length

12 karakter 8 ka

4. A jelsznak meg kell felelnie a bonyolultsgi feltteleknek

Password must meet complexity requirements

engedlyezve

5. Elz jelszavak megrzseEnforce password history

24 jelsz megrz

6. A tartomny sszes felhasznlja jelszavnak trolsa visszafejthettitkostssalStore password using reversible encryption for all users in thedomain

letiltva

* Jelsz helyett inkbb jelmondatot hasznljanak!

4.1.2 Fikzrolsi hzirend


1. Fikzrols kszbeAccount lockout threshold

10 ksrlet 50 k

2. Fikzrols idtartamaAccount lockout duration

15 perc

3. Fikzrolsi szmll nullzsaReset account lockout counter after

15 perc


19/33

4.2 Helyi hzirend

4.2.1 Naplrend

Javasolt rtkHzirendFokozott bizt. Vllalat

1. Bejelentkezs naplzsa

Audit logon events

sikeres/sikertele

2. Fikkezels naplzsaAudit account management

sikeres/sikertele

3. Cmtrszolgltats-hozzfrs naplzsaAudit directory service access

nem definilt

4. Fikkezels naplzsaAudit account logon events

sikeres/sikertele

5. Objektum-hozzfrs naplzsaAudit object access

sikeres/sikertelen sik

6. Hzirendvltozs naplzsaAudit policy change

sikeres

7. Rendszerjogok hasznlatnak naplzsaAudit privilege use

sikertelen

8. Folyamatok nyomon kvetsnek naplzsaAudit process tracking

nem definilt

9. Rendszeresemnyek naplzsaAudit system events

sikeres

Nagy sok esemny kerlhet a naplba, csak ha felttlenl szksges, akkor hasznlja!

4.2.2 Felhasznli jogok kiosztsa


1. A szmtgp elrse a hlzatrl

Access this computer from the network

Rendszergazdk

2. Az opercis rendszer rszeknt val mkdsAct as part of the operating system

nincs bellts

3. Munkalloms felvtele a tartomnybaAdd workstation to domain

nem definilt (nem alkalm

4. Memriakvtk belltsa folyamat szmraAdjust memory quotas for a process

nem definilt


20/33

5. Be lehessen jelentkezni terminlszolgltatsok hasznlatvalAllow logon through Terminal Services

nincs bellts Rendsz

6. Biztonsgi msolat ksztse fjlokrl s knyvtrakrlBack up files and directories

Rendszergazdk

7. Szlknyvtr-jogosultsg mellzseBypass traverse checking

felhasznl

8. Rendszerid megvltoztatsa

Change the system time

Rendszergazdk

9. Lapozfjl ltrehozsaCreate a pagefile

Rendszergazdk

10. Token objektum ltrehozsaCreate a token object

nincs bellts

11. Globlis objektumok ltrehozsaCreate global objects

Rendszergazdk

12. lland megosztott objektumok ltrehozsaCreate permanent shared objects

nincs bellts

13. Programok hibakeresseDebug programs

egyik sem Rendszergazdk

14. A szmtgp hlzati elrsnek megtagadsaDeny access to this computer from the network

vendg

15. Ktegelt munka bejelentkezsnek megtagadsaDeny logon a a batch job

nem definilt

16. Szolgltatsknt bejelentkezs megtagadsaDeny logon as service

nem definilt

17. Helyi bejelentkezs megtagadsaDeny logon locally

nem definilt

18. Ne lehessen bejelentkezni terminlszolgltatsok hasznlatvalDeny logon through Terminal Services

nem definilt

19. Szmtgp- s felhasznli fikok megbzhatsgnakengedlyezseEnable computer and user accounts to be trusted for delegation


20. Tvirnytott rendszerlelltsForce shutdown from a remote system

Rendszergazdk

21. Biztonsgi naplzs ltrehozsaGenerate security audits

Helyi szolgltats, Hlzati

22. gyfl megszemlyestse hitelests utnImpersonate a client after authentication

nem definilt

23. temezsi priorits nvelseIncrease scheduling priority

Rendszergazdk


21/33

24. Szolgltatk betltse s eltvoltsaLoad and unload device drivers

Rendszergazdk

25. Memrialapok zrolsa a memribanLock pages in memory

nincs bellts

26. Bejelentkezs ktegfjlfolyamatkntLog on as a batch job

nem definilt

27. Bejelentkezs szolgltatsknt

Log on as a service

nem definilt

28. Helyi bejelentkezsLog on locally

felhasznl, Rendszer

29. Naplzs felgyeleteManage auditing and security log

Rendszergazdk

30. Begetett programok krnyezeti rtkeinek megvltoztatsaModify firmware environment values

Rendszergazdk

31. Ktetkarbantartsi feladatok vgrehajtsaPerform volume maintenance tasks

Rendszergazdk

32. Folyamatok teljestmnyadatainak figyelseProfile single process

Rendszergazdk

33. A rendszer teljestmnyadatainak figyelseProfile system performance

Rendszergazdk

34. Szmtgp eltvoltsa tokjblRemove computer from docking station

felhasznl, Rendszer

35. Folyamat token lecserlseReplace a process level token

Helyi szolgltats, hlzati

35. Fjlok s knyvtrak helyrelltsaRestore files and directories

Rendszergazdk

37. A rendszer lelltsaShut down the system

felhasznl, Rendszer

38. Knyvtrszolgltats-adatok szinkronizlsaSynchronize directory service data


39. Fjlok s egyb objektumok sajt tulajdonba vteleTake ownership of files or other objects

Rendszergazdk

4.2.3 Biztonsgi belltsok


1. Fikok: A Rendszergazdk fikok llapotaAccounts: Administrator account status

nem definilt


22/33

2. Fikok: A vendg fik llapotaAccounts: Guest account status

letiltva

3. Fikok: Az res jelsz hasznlatnak konzolbejelentkezsekrekorltozsa a helyi fikoknlAccounts: Limit local account use of blank passwords to consolelogon

engedlyezve

4. Fikok: A rendszergazdai fik tnevezse

Accounts: Rename administrator account

nem definilt

5. Fikok: a vendgfik tnevezseAccounts: Rename guest account

nem definilt

6. Naplzs: Globlis rendszerobjektumokhoz val hozzfrsnaplzsaAudit: Audit the access of global systems object

nem definilt

7. Naplzs: A biztonsgi ments s helyrellts jognak naplzsaAudit: Audit the use of Backup and Restore privilege

nem definilt

8. Naplzs: A rendszer azonnali lelltsa, ha nem lehet naplzni abiztonsgi esemnyeketAudit: Shut down system immediately if unable to log security audit

engedlyezve nem

9. Eszkzk: Dokkols megszntethet bejelentkezs nlkl isDevices: Allow undock without having to log on

tiltva nem

10. Eszkzk: Cserlhet adathordoz formzsa s kiadsa akvetkez csoportok tagjainak engedlyezveDevices: Allowed to format and eject removable media

Rendszergazdk Rendszergazdk,

11. Eszkzk: A felhasznlk nem telepthetnek nyomtatkatDevices: Prevent users from installing printer drivers

engedlyezve nem

12. Eszkzk: A CD-ROM hasznlathoz ktelez bejelentkezni a helyiszmtgpreDevices: Restrict CD-ROM access to locally logged-on user only

engedlyezve nem

13. Eszkzk: A hajlkonylemez hasznlathoz ktelez bejelentkezni ahelyi szmtgpreDevices: Restrict floppy access to locally logged-on user only

engedlyezve nem

14. Eszkzk: Viselkeds nem alrt illesztprogram teleptsekorDevices: Unsigned driver installation behavior

rtests utn enged

15. Tartomnyvezrl: A kiszolglfelelsk temezhetnek feladatokatDomain controller: Allow server operator to schedule tasks


16. Tartomnyvezrl: LDAP-kiszolgl alrsi kvetelmnyeiDomain controller: LDAP server signing requirements


17. Tartomnyvezrl: Szmtgpfik jelszmdostsnakvisszautastsaDomain controller: Refuse machine account password changes



23/33

18. Tartomnyi tag: A biztonsgos csatornk adatainak digitlistitkostsa vagy alrsa (mindig)Domain member: Digitally encrypt or sign secure channel data(always)

engedlyezve

19. Tartomnyi tag: az adatok digitlis titkostsa (ha lehet)Domain member: Digitally encrypt secure channel data (whenpossible)

engedlyezve

20. Tartomnyi tag: az adatok digitlis alrsa (ha lehet)Domain member: Digitally sing secure channel data (when possible) engedlyezve

21. Tartomnyi tag: Szmtgpfik jelszmdostsainak tiltsaDomain member: Disable machine account password changes

tiltva

22. Tartomnyi tag: Szmtgpfik jelszavnak maximlis lettartamaDomain member: Maximum machine account password age

30 nap

23. Tartomnyi tag: ers (Windows 2000 vagy frissebb rendszer)munkamenetkulcs megkvetelseDomain member: Require strong (Windows 2000 or later)session key

engedlyezve

24. Interaktv bejelentkezs: Ne jelenjen meg a legutbb bejelentkezettfelhasznl neveInteractive logon: Do not display last user name

engedlyezve

25. Interaktv bejelentkezs: Nincs szksg CTRL+ALT+DEL

billentykombinciraInteractive logon: Do not require CTRL+ALT+DEL

letiltva

26. Interaktv bejelentkezs: Bejelentkezsi zenet a felhasznlnakInteractive logon: Message text for users attempting to log on


24/33

33. Microsoft hlzati gyfl: Kommunikci digitlis alrsa (ha akiszolgl egyetrt)Microsoft network client: Digitally sign communications (if serveragrees)

engedlyezve

34. Microsoft hlzati gyfl:Titkostatlan jelszavak kldse egyb SMBkiszolglknakMicrosoft network client: Send unencrypted password to third-party

SMB servers

letiltva

35. Microsoft hlzati gyfl: gyfelek levlasztsa a nyilvntartsi idvgnMicrosoft network server: Amount of idle time required beforesuspending session

15 perc

36. Microsoft hlzati kiszolgl: Kommunikci digitlis alrsa(mindig)Microsoft network server: Digitally sign communications (always)

engedlyezve

37. Microsoft hlzati kiszolgl: Kommunikci digitlis alrsa (ha azgyfl egyetrt)Microsoft network server: Digitally sign communications (if clientagrees)

engedlyezve

38. Microsoft hlzati kiszolgl: gyfelek levlasztsa a nyilvntartsi

id vgnMicrosoft network server: Disconnect clients when logon hoursexpired

engedlyezve le

39. Hlzati hozzfrs: A nvtelen helyazonost-/nvfordtsengedlyezseNetwork access: Allow anonymous SID/Name translation

letiltva

40. Hlzati hozzfrs: SAM fikok nvtelen felsorolsa nemengedlyezettNetwork access: Do not allow anonymous enumeration of SAMaccounts

engedlyezve

41. Hlzati hozzfrs: SAM fikok s megosztsa nvtelenfelsorolsa nem engedlyezettNetwork access: Do not allow anonymous enumeration of SAM

accounts and shares

engedlyezve

42. Hlzati hozzfrs: Nem lehet hitelest adatokat vagy .NETpassportot trolni hlzati hitelestshezNetwork access: Do not allow storage of credentials or .NETPassports for network authentication

engedlyezve


25/33


26/33

57. Lellts: Virtulis memria lapozfjljainak trlseShutdown: Clear virtual memory pagefile

engedlyezve

58. Rendszerkriptogrfia: FIPS szabvnynak megfelel algoritmushasznlata titkostshoz, kivonatolshoz s alrshozSystem crypthography: Use FIPS compliant algorithms forencryption, hashing and signing

engedlyezve nem

59. Rendszerobjektumok: A Rendszergazdk csoport tagjai ltal

ltrehozott objektumok alaprtelmezett tulajdonosaSystem objects: Default owner for objects created by members of theAdministrators group

az objektum ltreho

60. Rendszerobjektumok: A nem-Windows alrendszerek esetn a kis- snagybetk megklnbztetsnek megkvetelseSystem objects: Require case sensitivity for non-Windowssubsystem

engedlyezve nem

61. Rendszerobjektumok: A bels rendszerobjektumok (pl. szimbolikushivatkozsok) alaprtelmezett engedlyezsnek megerstseSystem objects: Strengthen default permissions of internal systemobjects (e.g. Symbolic Links)

engedlyezve

1 Windows 2000 eltti szerverekkel trtn kommunikcit megakadlyozza

2 Windows NT eltti szerverekkel trtn kommunikcit megakadlyozza3 Bizonyos kliensekkel s kiszolglkkal val kapcsolattartst megakadlyozza4 Emiatt az jrabootols hosszabb ideig tarthat, klnsen a tbb RAM-mal rendelkez rendszereknl


27/33

4.3 Esemnynapl hzirend


1. Maximlis alkalmazsi napl fjlmretMaximum application log size

16 MB

2. Maximlis biztonsgi napl fjlmret

Maximum security log size

80 MB

3. Maximlis rendszernapl fjlmretMaximum system log size 16 MB

4.4 Kttt csoportok

Javasolt rtkKttt csoportokFokozott bizt. Vllalat O

1. Kiemelt felhasznlkPower Users

nincs bellts

2. Tvoli felhasznlkRemote Desktop Users

nincs bellts

4.5 Rendszerszolgltatsok

Javasolt rtkA szolgltats neveFokozott bizt. Vllalat O

1. RiasztsAlerter

letiltva

2. VgknyvClipbook

letiltva

3. Szmtgp tallzComputer Browser

letiltva nem definilt let

4. Faxszolgltats

Fax Service

letiltva nem

5. FTP publikcis szolgltatsFTP Publishing Service

letiltva

6. IIS rendszerszolgltatsIIS Admin Service

letiltva

7. Indexel szolgltatsIndexing Service

letiltva nem


28/33

8. zenetkezelMessenger

letiltva

9. Hlzati bejelentkezsNetlogon

nem definilt

10. Netmeeting tvoli asztalmegosztsNetmeeting Remote Desktop Sharing

letiltva

11. Tvoli asztal sg-munkamenetkezel

Remote Desktop Help Session Manager

letiltva nem definilt

12. Tvoli rendszerler adatbzisRemote Registry

letiltva nem definilt let

13. tvlaszts s tvelrsRouting and Remote Access

letiltva

14. Egyszer levltviteli protokoll (SMTP)Simple Mail Transfer Protocol (SMTP)

letiltva

15. Egyszer Hlzatkezel protokoll (SNMP) szolgltatsSimple Network Management Protocol (SNMP) Service

letiltva

16. Egyszer hlzatkezel protokoll (SNMP) csapdaSimple Network Management Protocol (SNMP) Trap

letiltva

17. FeladattemezTask Scheduler

letiltva nem

18. TelnetTelnet

letiltva

19. TerminlszolgltatsokTeminal Services

letiltva nem

20. Univerzlis Plug and Play eszkzkUniversal Plug and Play Device Host

letiltva

21. World Wide Web publikcis szolgltatsWorld Wide Web Publishing Services

letiltva

4.6 Fjl engedlyek belltsa

Javasolt rtkFjlnvFokozott bizt. Vllalat O

1. %SystemRoot% \system32\at.exe Adminisztrtorok: teljes; Ren2. %SystemRoot% \system32\attrib.exe Adminisztrtorok: teljes; Ren3. %SystemRoot% \system32\cacls.exe Adminisztrtorok: teljes; Ren4. %SystemRoot% \system32\debug.exe Adminisztrtorok: teljes; Ren5. %SystemRoot% \system32\drwatson.exe Adminisztrtorok: teljes; Ren6. %SystemRoot% \system32\drwtsn32.exe Adminisztrtorok: teljes; Ren


29/33


30/33

4. HKLM\System Rendszergazdk:teljes,Rendszer: teljes,Ltrehoz tulaj: teljes,Felhasznl: olvass

5. HKLM\System\CurrentControlSet\Enum Rendszergazdk:teljes,Rendszer: teljes,Jogosult felh.: olvass

6. HKLM\System\CurrentControlSet\Services\SNMP\Parameters\PermittedManagers Rendszergazdk:teljes,Rendszer: teljes,Ltrehoz tulaj: teljes

7. HKLM\System\CurrentControlSet\Services\SNMP\Parameters\ValidCommunities Rendszergazdk:teljes,Rendszer: teljes,Ltrehoz tulaj: teljes

8. HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Ratings Rendszergazdk:teljes,Felhasznl: olvass

9. HKLM\Software\Microsoft\MSDTC Rendszergazdk:teljes,Rendszer: teljes,Hlzati szolgltats:rtk lekrdezs, -bellts, alkulcs

generls, alkulcsfelsorols, rtests.olvassFelhasznl: olvass

10. HKU\.Default\Software\Microsoft\SystemCertificates\Root\ProtectedRoots Rendszergazdk:teljes,Rendszer: teljes,Felhasznl: olvass

11. HKLM\Software\Microsoft\Windows NT\CurrentVersion\SecEdit Rendszergazdk:teljes,Rendszer: teljes,Felhasznl: olvass

2.7 Rendszerler-adatbzis rtkei

2.7 A rendszerler-adatbzis kulcsFokozott bizt. V

1. HKLM\Software\Microsoft\|DrWatson\CreateCrashDump2. HKLM\Software\Microsoft\Windows NT\CurrentVersion\AEDebug\Auto3. HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun


31/33

4. HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun

5. HKLM\Software\Microsoft\Windows NT\CurrentVersion\WinLogon\AutoAdminLogon6. HKLM\System\CurrentControlSet\Control\CashControl\AutoReboot7. HKLM\System\CurrentControlSet\Services\Cdrom\Autorun8. HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\AutoShareWks 0 nem d9. HKLM\System\CurrentControlSet\Services\MrxSmb\Parameters\RefuseReset

10. HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\DisableIPSourceRouting11. HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\EnableDeadGWDetect12. HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\EnableICMPRedirect13. HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\EnablePMTUDiscovery14. HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\KeepAliveTime15. HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\PerformRouterDiscovery16. HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\ynAttackProtect17. HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\TcpMaxHalfOpen18. HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\TcpMaxHalfOpenRetired19. HKLM\System\CurrentControlSet\Services\IPSEC\NoDefaultExempt20. HKLM\System\CurrentControlSet\Services\Lanmanserver\Parameters\Hidden21. HKLM\System\CurrentControlSet\Control\Session Manager\SafeDIISearchMode


32/33

5. A Windows XP biztonsgi belltsainl alkalmazott eszkzk

(konfigurls, zemeltets, monitorozs)

Az eszkz neve Feladata HelyeAutomatikus frissts

Automatic Update

Ellenrzi, hogy van-e Microsoft

szolgltatgpen frissts; letlti stelepti.

Windows XP rendszerben

KdolsCipher

A diszkek res terleteirl vglege-sen letrli az adatokat (/w opci)

cipher.exeWindows XP rendszerben

EsemnynaplEvent Viewer

Az alkalmazsi, a biztonsgi s arendszernapl bejegyzseit mutatjameg.

eventvwr.exeWindows XP rendszerben

Csoporthzirendobjektum-kezel konzol MMC modulGroup Policy ManagementConsole (GPMC) MMCsnap-in

Csoport hzirend kezelse tbb-szrs tartomnyban

http://www.microsoft.com/windowsserver2003/gpmc/default.mspx

Csoporthzirend modelle-

z varzsl MMC modulGroup Policy ModelingWizard MMC snap-in

Egy adott felhasznlra vagy szm-

tgpre alkalmazottcsoporthzirend-kombinci hatsthatrozza meg.

http://www.microsoft.com/

windowsserver2003/gpmc/default.mspx

Csoporthzirend objektumszerkeszt MMC modulGroup Policy Object EditorMMC snap-in

A biztonsgi mintabelltsokat acsoporthzirend objektumba impor-tlja.


HFNetChk.exe A rendszerhez tartoz biztonsgijavtsok teleptst ellenrzi.

http://www.microsoft.com/technet/security/tools/hfnetchk.mspx

Helyi biztonsgi hzirendLocal Security Policy

A helyi biztonsgi hzirendet mutatjameg s a rendszergazda meg isvltoztathatja.

Windows XP rendszerben (Vezrlpult-> Felgyeleti eszkzk)

Microsoft BaselineSecurity Analyzer (MBSA)

Biztonsgi szempontbl vgignzi aszmtgpet.

http://www.microsoft.com/technet/security/tools/mbsahome.mspx

Felgyeleti konzolMicrosoft ManagementConsole (MMC)

Modulok trolhelye mmc.exeWindows XP rendszerben

Port Reporter A TCP s UDP portok hasznlattnaplzza

http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=69BA779B-BAE9-4243-B9D6-63E62B4BCD2E

Rendszerler-adatbzisszerkesztRegistry Editor

A rendszerler-adatbzis bejegyz-seit a rendszergazda megnzheti smdosthatja.

regedit.exe s regedt32.exeWindows XP rendszerben

Tvoli telepts

Remote InstallationServices

A Windows XP automatikus

teleptse tvoli rendszerb

l.

Windows 2000 s Windows 2003

rendszerekbenBiztonsgi konfigurci selemzs MMC modulSecurity Configuration andAnalysis MMC snap-in

sszehasonltja a rendszer jelenlegibiztonsgi belltsait a mintabell-tsokkal.


Biztonsgi mintabelltsMMC modulSecurity Template MMCsnap-in

A biztonsgi mintabelltsok meg-tekintst, megvltoztatst salkalmazst teszi lehetv arendszergazdk szmra.


Rendszerelkszt-esz-kzSysprep

Az XP kpet ms rendszerekreklnozza.

sysprep.exeWindows XP rendszerben

Windows Update Megnzi, hogy van-e frissts,lehozza s telepti azt. http://windowsupdate.microsoft.com

Windows Firewall Tzfal Windows XP rendszerbenMicrosoft AntiSpyware Kmszoftverek elleni vdelem

32


33/33

6. A Windows XP rendszerben hasznlt portok

Port Protokoll Szolgltats Lers21 TCP FTP File Transfer Protocol service23 TCP Telnet Telnet service68 UDP DHCP Dynamic Host Configuration Protocol client

80 TCP HTTP HyperText Transfer Protocol service123 UDP NTP Network Time Protocol client (Windows Time)135 TCP epmap DCE Endpoint Resolution (remote procedure call)137 UDP NetBIOS-ns NetBIOS Name Service138 UDP NetBIOS-dgm NetBIOS Datagram Service139 TCP NetBIOS-ssn NetBIOS Session Service161 UDP SNMP Simple Network Management Protocol213 UDP IPX over IP Client Service for Netware Service443 TCP HTTPS HTTP over SSL server445 TCP,

UDPmicrosoft-ds (SMB) Microsoft Common Internet File System (CIFS)

500 UDP IKE Internet Key Exchange (gyakran az IPSec-kel egytt

alkalmazzk)515 TCP LPR Print Spooler service522 TCP NetMeeting client

1503 TCP NetMeeting client1701 UDP L2TP Layer 2 Tunneling Protocol client1720 TCP NetMeeting client1723 TCP/UDP PPTP Point-to-Point Tunneling Protocol client1731 TCP NetMeeting client1900 UDP SSDP Simple Service Discovery Protocol

2001-2120

UDP Windows Messenger voice calls

2869 TCP UpnP Universal Plug and Play3002 TCP Internet Connection Firewall/Sharing3003 TCP Internet Connection Firewall/Sharing3389 TCP RDP Remote Protocol Desktop service5000 TCP UpnP Universal Plug and Play6801 UDP Windows Messenger voice calls

6891-6900

TCP Windows Messenger file transfers

6901 TCP/UDP Windows Messenger voice calls

Utmutato a Microsoft Windows XP Megerositesehez

Documents

Transcript of Utmutato a Microsoft Windows XP Megerositesehez