Windows - A Registry biztonságossá tétele

forráskód letöltése
Hogyan lehet a registry-t biztonságosabbá tenni? Vajon gondoltunk-e már arra, hogy egy esetleges támadáskor a behatoló személy vagy program a registry-hez hozzáférve szinte mindent megtudhat rendszerünkről, illetve saját magának jogokat oszthat? Akár foglalkozott már ezzel a kérdéssel, akár nem, cikkünk hasznára lehet a rendszerbiztonság növelésében.
Az egyik biztonsági gyakorlat, amely felett egy rendszergazda könnyen átsiklik, a Windows registry biztonságossá tétele. A beállítási információkon túl a registry biztonsági környezetet is tárol, amely arra használható, hogy növelje egy felhasználó jogait. Ha ezt titkosítás nélkül marad, akkor egy jó kiindulópontnak szolgálhat a hacker számára, hogy a rendszergazdai műveletekhez hozzáférést szerezzen a gépen, vagy akár a tartományban is.
Egy rendszererősítési rutinnak és hálózati házirendnek részeként a Windows 2000-ben a hozzáférési vezérlőlista (ACL) jogosultságok beállíthatók, hogy korlátozzák egy felhasználó hozzáférését a kulcsokhoz, amelyek a hackerek, vagy kártevő programok által kihasználhatók.
Akárcsak a fájlszintű jogosultságok, az ACL-ek is beállíthatók a registry-ben többféle módon.
A legegyszerűbb és legkézenfekvőbb mód a registry szerkesztőn, a regedt32.exe-n keresztül megvalósított beállítás.
Amint a regedt32 elindul, a jogosultságok megtekinthetők és beállíthatók kijelölve a szakaszt, vagy a kulcsot, majd a jobb egérgomb segítségével az engedélyek menüpontot választva. Amint ezt kiválasztjuk, a felhasználók egy hétköznapi jogosultságbeállító menüt kapnak, amellyel felhasználók és csoportok számára a jogosultság beállítható.
A registry felülvizsgálat szintén állítható speciális kulcsokra és alkulcsokra, a speciális nyomógombot használva a jogosultságok ablakban.
Az Active Directory-val, a rendszergazdák csoportházirendből állíthatnak be jogosultságokat. A registry jogosultságok a "Számítógép konfigurációja>Windows beállításai> Registry" szakaszból kezelhetők. ACL-ek kézzel állíthatók be kulcsonként, vagy egy előre beállított minta importálható, hogy több kulcsot állítsunk be egyszerre.
Amint eldöntöttük, hogy melyik konfigurációs eszköz a megfelelő szervezetünk számára, gondosan meg kell fontolnunk, hogy mely jogosultságok alkalmasak arra, hogy változtatásuk leginkább hatással legyen a rendszeren kívüli működésre.
Egy megfelelő tesztelési terv mindenképpen javasolt, mielőtt registry jogosultsági változtatást végzünk egy éles környezetben.
A registry megerősítésében egy jó kiindulási pont lehet a távoli registry elérés lekorlátozása. A registry hálózati elérése a Távoli Regisztrációs-adatbázis Szolgáltatás segítségével vezérelhető, amely alapértelmezésben a Windows 2000-ben települ. Ez a szolgáltatás a Registry API-hoz nyújt hozzáférést, és egyaránt futhat kliensen és célgépen a registry hálózati eléréséhez. A Windows 2000-ben csak a rendszergazdáknak és a mentési műveletet végzőknek van hálózati registry hozzáférési joguk.
Biztonsági gyakorlatként a távoli registry szolgáltatás kikapcsolható minden kiszolgálóra és munkaállomásra.
Emellett a vizsgálat bekapcsolható a következő registry kulcsra, amely vezérli az ACL jogosultságokat a hálózati registry eléréshez:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg]
Amint lekorlátoztuk a registry távoli elérését, az ACL jogosultság megszilárdítható speciális kulcsokon, amelyeknek biztonsági vonatkozásai vannak.
A Microsoft reg_javaslatok.txt nevű mellékelt állományban felsorolt beállítások segítségével javasolja korlátozni a registry-t. A másik melléklet, az inf.txt tartalma felhasználható úgy az Active Directory-ban, hogy egy .inf csoportházirendi állomány biztonsági mintához hozzáadjuk.
Tippek:
  • Soha ne változtassuk át a SYSTEM jogosultságokat a Teljes hozzáférés jogról. Bármely ilyen jellegű változtatás az újraindítás után rendszerleállást okoz.
  • Felvett biztonság esetében, érdemes megfontolni a Kiemelt felhasználói csoport jogosultságainak törlését, ha nincs használatban.
  • Hozzáadott biztonság esetén gondoljuk át a felhasználók és a mindenki csoport jogosultságait hitelesített felhasználókra váltani.