Biztonsági kiskáté II. rész
2004/07/02 12:33
1628 megtekintés
A cikk már legalább egy éve nem frissült, az akkor még aktuális információk lehet, hogy mára elavultak.
Mi jön a telepítés után? A legfontosabbak a javítócsomagok - ezek közül is a legnagyobbak és egyben a legritkábbak, az ún. Service Pack-ok (SP) azaz szervizcsomagok.

A szervizcsomagok azonnal telepítése sok esetben azért is fontos mert feltétel lehet egy másik kiszolgáló szoftver helyes működésehez (pl. az ISA Server telepítés előtt ezt azért is meg kell tennünk, mert a szoftver minimum a Windows 2000 SP1-et igényel). Fontos tudnunk még, hogy az SP-k kumulatívek, azaz elég a legutolsót feltelepíteni (jelenleg Windows 2000-nél az SP4-nál tartunk, Windows Server 2003-hoz még nincs, de még idén lesz). Ezután jöhetnek azok a kisebb javítások (hotfixek, patchek) amelyeket a Microsoft két SP között kiad. Azt, hogy melyeket kell feltelepítenünk, erősen függ attól, milyen komponenseket és azok mely verzióit használjuk, viszont az alábbi címen egy űrlap segítségével mégis egyszerűen kideríthetjük.

Hogy naprakészek legyünk e frissítésekkel kapcsolatban, célszerű feliratkozni a Microsoft Security Bulletin-ra, így e-mailben kapjuk meg a frissen felfedezett hiba leírását, következményeit és az orvoslást nyújtó, ingyenesen letölthető javítócsomag címét. A Technet Security a Microsoft átfogó, részletes, biztonsággal foglalkozó oldala, ahol tippeket, tanácsokat, ötleteket, ellenőrzési lehetőségeket valamint letölthető célprogramokat is találunk.

Szoftverfrissítés, azaz melyik Windows Update jó nekem?

A szoftverfrissítés elsősorban biztonsági javítások letöltését és telepítését nyújtja számunkra, de jelentheti még az operációs rendszer komponensek újabb változatainak letöltését is, valamint esetenként az aktuális és bevizsgált hardver meghajtó programok frissítését is. Egy közös dolog azért van az alábbi technológiákban: mindegyik egy alapos gépvizsgálat után frissít csak. Nézzük akkor sorban:

  • Ha csak a saját gépünket akarjuk frissíteni, az Internet Explorerben az Eszközök/Windows Update menüpontot választva eljutunk arra a weblapra, ahol kategóriákba szedve találjuk az ajánlott és opcionális javításokat.
  • Ha folyamatosan frissen akarjuk tartani gépünket, akkor az "Automatic Update" funkciót kell használnunk, ez egy letölthető alkalmazás (Windows 2000 SP3/SP4, Windows XP SP1 és a Windows Server 2003 beépítve tartalmazza), amelyet miután telepítettünk és beállítottunk, szervizként futva a háttérben tölti le a szükséges javításokat.
  • Ha több különböző operációs rendszerű géphez kell a frissítéseket letölteni egyszerre akkor a Windows Update Catalog webhelyet kell meglátogatnunk.
  • Ha esetleg helyi Windows Update rendszert akarunk kiépíteni, akkor a Software Update Services (SUS; külön cikk készül róla) technológiát kell használnunk, amely egy helyi letöltő és szétosztó szerverből és a gépekre telepített frissítő kliensből áll (a Windows 2000 SP3/SP4, Windows XP SP1 és a Windows Server 2003 szintén beépítve tartalmazza). Központilag a csoportházirendből engedélyezzük ill. konfiguráljuk a kliens gépeket, amelyek, belépéskor a helyi szerverről töltik le az aktuális frissítéseket.

Jelszavak, megosztások, kliensek

Általában a jelszavak esetében látható egy másik fontos tétel érvényesülése: "a kényelem ellentmond a biztonságnak". Ha a kényelmet választjuk és egyszerűsítünk, könnyen belátható, hogy sokat kockáztatunk. Különösen érvényes ez rendszerüzemeltetők esetében, hiszen egy tartományi rendszergazda jelszavával bármit megtehetünk a hálózaton, és nemcsak mi, hanem a jogosultságunk segítségével futó szolgáltatások, programok, így pl. a vírusok és férgek is. Tehát nemcsak a jelszó komplexitása fontos (kis-, nagybetűk, számok keveredése a jelszóban), hanem az is, hogy a saját gépünket lehetőleg ne a tartományi rendszergazda fiókkal használjuk. Ha mégis muszáj, akkor Windows 2000/XP alatt tegyük ezt a Run As... (Futtatás mint...) paranccsal. Jelszavunkat tehát legyen bonyolult, gyakran változtassuk, valamint próbáljuk a felhasználók figyelmét is felhívni erre.

A fájlszerveren illetve bármely másik gépen megosztott mappáknál vegyük figyelembe a már említett "Mindenki" csoporttal kapcsolatos észrevételeket, valamint ügyeljünk a Windows NT/2000/XP esetén automatikusan létrejövő adminisztrációs megosztásokra. Ezeket a $ jellel jelöli az operációs rendszer, és kipróbálhatjuk meglétüket a parancssorba írt "net share" paranccsal. Letiltásukhoz a "regedit" programmal kell a regisztrációs adatbázisban átállítani a következő kulcs értékét 0-ra:

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanManServerParameters

A kulcs neve szerverek esetén: AutoShareServer; kliensek esetén: AutoShareWksA Windows Serverek és a már felsorolt kliens operációs rendszerek hálózati kapcsolattartása, a bejelentkezés és egyéb hitelesítési eljárások technológiája alapján nem egyformán mentes a biztonsági hiányosságoktól. Míg a Windows 2000 és az XP a bevált és biztonságos Kerberos autentikációs protokollt használja, addig sajnos a korábbi kliensek (az NT4 is) alapesetben maximum az NTLM (NT LanMan) hitelesítést tudják nyújtani. Ezzel az a probléma, hogy a jelszóból képzett hash (a szerver által a jelszóból képzett minta) viszonylag könnyen kiemelhető a hálózati forgalomból egy analizáló programmal és aztán másdpercek alatt visszafejthető egy jelszótörő programmal, pl. a L0phtCrack néven elhíresülttel. De van jobb megoldás ezekre az operációs rendszerekre is, hiszen létezik egy újabb eljárás is, ez pedig az NTLMv2. NT4 esetén az SP4 tartalmazza, míg a Windows 95/98 esetén a Windows 2000 Server CD ClientsWin9x mappában található dsclient.exe-t kell feltelepíteni a számítógépre. Célszerű is megtenni, főleg akkor, ha abba is belegondolunk, hogy a statisztikák szerint az illegális betörések közel 2/3-a a belső hálózatból következik be...

Mit tehetnek a felhasználók és mit nem?

Nehéz kérdés, és a döntés más és más minden hálózatban, viszont hogy korlátozni kell, az 100%. Hogyan? A Windows operációs rendszerekben van erre központi megoldás is (még mielőtt félreértené a kedves Olvasó, most nem a fájl- és mappa jogosultságokra koncentrálunk): a Csoportházirend. De ebben is alapos különbség van a két operációs rendszer csoport között, a Windows 9x-ek esetében kevesebb korlátozó opció és könnyebben kijátszható megoldás létezik. A házirend állományt a telepítő CD-ken található poledit.exe-vel készíthetjük el, majd a tartományvezérlő NETLOGON megosztásába kell másolnunk.

Windows 2000 és XP esetén enyhén szólva jobb a helyzet, a csoportházirend rendkívül mély és alapos beállítási lehetőségeket nyit meg előttünk. Több alap házirendet is kapunk beépítve (pl. az alapértelmezett tartományit vagy az alapértelmezett tartományvezérlőit), ezenkívül különböző biztonsági szintekre különböző gyári sablonokat is alkalmazhatunk, de mi magunk is gyárthatunk újakat tetszés szerint. Ez utóbbiak elkészítése és alkalmazása javasolt leginkább, mégpedig a szervezeti egységek szintjén. Windows 2000 kliens esetén 425, XP esetén még további kb. 200 beállítást "kényszeríthetünk" rá felhasználókra illetve (ez nagyon fontos) a számítógépekre is. Számtalan, belépéssel, jelszavakkal, hálózati forgalommal, naplózással, a felhasználói munkakörnyezettel kapcsolatos beállítást találhatunk a csoportházirendben, és ezeket alkalmazva könnyedén emelhetjük a belső hálózatunkat biztonsági és stabilitási szempontból egy magasabb szintre.

Csatlakozz hozzánk!

Ajánljuk

European Schoolnet Academy Ingyenes online tanfolyamok tanároknak
School Education Gateway Ingyenes tanfolyamok és sok más tanárok számára
ENABLE pilot Program iskoláknak a bullying ellen
eBiztonság Minősítés Minősítési rendszer oktatási intézményeknek