Windows - 10 gyakorlati tipp egy webszerver biztonságosabb üzemeltetéséhez

forráskód letöltése
Cikkünkben egy webszerver üzemeltetéséhez kívánunk tanácsokkal szolgálni, tisztán gyakorlati megközelítésben, valós helyzetek tapasztalatainak feldolgozásával. Cikkünkhöz mellékeltünk egy "LogonScr.reg" nevű REG állományt, amelyet az Intézőben (Explorer) futtatva törli a bejelentkezés előtt induló képernyővédőt.

Figyelem! Az alább felsorolásra kerülő módszerek könnyen a rendszer használhatatlanságához vezethetnek. Ezért javasoljuk a Windows 2000 kiszolgáló feltelepítése után elvégezni, amikor még nem működik "élesben". Mindenki ennek tudatában saját felelőségére kísérletezzen.

1. Az operációs rendszer telepítését ne az alapértelmezett "C:\WINNT" könyvtárba végezzük. Egyes programok kifejezetten itt akarják kifejteni tevékenységüket.

2. Győződjünk meg róla, hogy a vendég fiók le van tiltva. A rendszer feltelepítése alkalmával keletkezik egy korlátozott jogokkal rendelkező felhasználói fiók "Vendég" ("Guest") néven. Alapértelmezésben le van ugyan tiltva, de ha valamikor mégis engedélyeztük, egy óriási biztonsági rést hagytunk nyitva. Ellenőrzéséhez nyissuk meg a Felügyeleti eszközök > Active Directory - felhasználók és számítógépek (Administrative Tools > Active Directory Users and Computers) konzolt lépjünk bele a "Users" mappába, keressük meg a "Vendég" ("Guest") objektumot. Ha egy piros X jel található az ikonjában, le van tiltva, ha nem akkor kattintsunk rá a jobb oldali egérgombbal és a menüben lépjünk a "Fiók tiltása" ("Disable Account") sorra.

3. Egy webkiszolgálón elvileg nincs szükség a parancssor használatára, viszont már több vírus (pl.: CodeRed) és hacker segítségére volt a támadásokban. Töröljük! Helye a %systemroot%\system32 könyvtárban van CMD.EXE fájlnévvel.
Ha mégis szükségünk lenne a CMD.EXE programra, akkor a törlés helyett nevezzük át egy tetszőleges névre, pl.: XY.EXE. Használni ettől ugyanúgy tudjuk, de támadási felülettel már nem szolgál ez az alkalmazás.

4. A fő rendszergazda felhasználói fiókjának neve magyar nyelvű Windows esetében "Rendszergazda", angol nyelvűnél pedig "Administrator". Ezt mindenki tudja a támadók is. Nevezzük át! Ehhez nem a nevet, mint "Rendszergazda" hanem a bejelentkezési nevet kell megváltoztatni. Megtehetjük a Felügyeleti eszközök > Active Directory - felhasználók és számítógépek (Administrative Tools > Active Directory Users and Computers) konzol "Users" mappájában. Keressük meg a "Rendszergazda" ("Administrator") objektumot, kattintsunk rá a jobb oldali egérgombbal és válasszuk a "Tulajdonságok" ("Properties") menüt. Lépjünk a "Fiók" ("Account") oldalra és a "Bejelentkezési név" ("User logon name") és "Bejelentkezési név (Windows 2000 előtti rendszer)") ("User logon name (Pre-Windows 2000)") mezőkbe adjunk egy új egyedi nevet. Ezután csak ezzel lehet a rendszergazdai műveleteket elvégezni.

5. Bejelentkezés előtt megjelenik a CTRL+ALT+DEL lenyomására utasító ablak. A legtöbb rendszergazda ebben az állapotban hagyja magára a gépet nem is sejtve, hogy ez mekkora lehetőség a rendszerbe való betörésre. Ugyanis 15 perc elteltével elindul egy képernyővédő, amit pl. a fent említett CMD.EXE-re lecserélve máris a támadóé a gép. Szüntessük meg ezt a képernyővédőt a regisztrációs adatbázis ide vonatkozó bejegyzésének törlésével:
HKEY_USERS\.DEFAULT\Control Panel\Desktop
"SCRNSAVE.EXE"=""

6. Nézzük mit tehetünk az IIS háza táján: a fennhatósága alá tartozó \INETPUB\ADMINSCRIPTS mappában található minta VBScriptek segítségével adminisztrációs feladatok láthatók el. Például virtuális könyvtárak kezelése, szolgáltatások leállítása, elindítása, stb. Nemes célja annak bemutatása, hogy lehet szkriptekből automatizálva irányítani az IIS-t. Szintén óriási veszélyforrás, mert a támadók is megtehetik mindezt. Valós helyzetben működő kiszolgálón töröljük az egész \ADMINSCRIPTS könyvtárat és tanulásra inkább egy külön erre a célra installált gépen próbálkozzunk. Tegyük ugyanezt az \IISSAMPLES könyvtárral is.

7. Hasonló céllal készül az "Alapértelmezett webhely" ("Default Web Site") és "Alapértelmezett FTP-hely" ("Default Web Site"). Szintén töröljük. Tallózzunk el a Felügyeleti eszközök > Internet szolgáltatáskezelő (Administrative Tools > Internet Service Manager) MMC konzolhoz, kattintsunk a szerver neve előtti + jelre kibontva a faszerkezetet. Keressük ki a fenti elemeket, kattintsunk rá a jobb oldali egérgombbal, válasszuk a menüben a "Leállítás" ("Stop") sort a szolgáltatás leállítására, majd ismét kattintsunk a jobb oldali egérgombbal és lépjünk a "Törlés" ("Delete") elemre.

8. Adminisztrációs célból tartalmaz az IIS egy "Felügyeleti webhely" ("Administration Web Site") site-ot. A hozzá tartozó fájlok a %systemroot%\system32\inetsrv\iisadmin könyvtárban vannak. Töröljük őket.

9. Figyeljük mindennap a vírusokkal, biztonsági résekkel foglalkozó weboldalakat az Interneten. Sokszor áll elő az a helyzet, hogy felismernek egy hibát, elkészítik a javítását, eltelik pár hét és megjelenik egy vírus, romba döntve sok rendszert. Pedig, ha valaki figyelte volna a híreket és gondoskodik a rések befoltozásáról ez nem történhetett volna meg. Még mindig jobb naponta 10 percet erre figyelni, mint évente kétszer 50 gépen újratelepíteni és konfigurálni a Windows-t. Javasoljuk a Microsoft (www.microsoft.com) és a vírusirtó programok készítőinek honlapjait vagy a kifejezetten erre a témára szakosodott oldalakat (pl.: www.eeye.com)

10. Végül ismét egy általános javaslat: a Microsoft saját maga is készített a Windows 2000-hez és az IIS-hez biztonsági segédprogramokat. Ezek komplexebb védelmet biztosítanak, mint amit mi kézzel tudunk konfigurálni. Használjuk őket. Ráadásul az Internetről ingyen letölthetőek. Újságunkban korábban már írtunk néhányukról: IISLockDown Tool, URLScan, HFNETCHK. Utóbbi nem a védelemre szakosodott, hanem annak ellenőrzésére, hogy a legfrissebb javítások telepítve vannak-e az operációs rendszeren.