Iis обнаружение несанкционированного доступа


Содержание

Настройка проверки подлинности веб-узла IIS

1. Используйте учетную запись администратора для входа на веб-сервере.

2. Запустите диспетчер IIS или откройте оснастку IIS.

3. Имя_сервера, где Имя_сервера — это имя сервера, последовательно разверните узлы и веб-узлов.

4. Воспользуйтесь одним из следующих способов (в зависимости от ситуации) и нажмите кнопку Свойства.

o Чтобы настроить проверку подлинности для всех веб-содержимого, размещенного на сервере IIS, щелкните правой кнопкой мыши веб-узлов.

o Чтобы настроить проверку подлинности для определенного веб-узла, щелкните правой кнопкой мыши веб-узел, который требуется.

o Чтобы настроить проверку подлинности для виртуального или физического каталога веб-узла, выберите веб-узел, который требуется и щелкните правой кнопкой мыши каталог, который требуется, например _vti_pvt.

o Чтобы настроить проверку подлинности для отдельной страницы или файла на веб-узле, щелкните веб-узел, необходимо, щелкните папку, содержащую файл или страницы, которую требуется и щелкните правой кнопкой мыши файл или страницы, которую требуется.

5. В диалоговом окне Свойства ItemName(где ItemName — имя выбранного элемента) выберите Безопасность каталога или Безопасность файла (при необходимости).

6. В группе Анонимный доступ и управление проверкой подлинностинажмите кнопку Изменить.

7. Щелкните, чтобы выбрать флажок Анонимный доступ , чтобы включить анонимный доступ. Чтобы отключить анонимный доступ, щелкните, чтобы снять этот флажок.

Примечание: Если отключить анонимный доступ, необходимо настроить некоторые другие формы доступа с проверкой подлинности.

Чтобы изменить учетную запись, используемую для анонимного доступа к этому ресурсу, нажмите кнопку Обзор, выберите учетную запись, которую требуется использовать и нажмите кнопку ОК.

8. В разделе доступ с проверкой подлинностивыберите установите флажок Встроенная проверка подлинности Windows , если вы хотите использовать встроенную проверку подлинности Windows.

Примечание: этот метод проверки подлинности называлось NT LAN Manager (NTLM) или Microsoft Windows NT Challenge/Response.

9. Щелкните, чтобы установите флажок Дайджест-проверка для серверов доменов Windows , если вы хотите использовать краткую проверку подлинности. Нажмите кнопку Дав следующем сообщении:

Краткая проверка подлинности работает только с учетными записями домена Active Directory. Дополнительные сведения о настройке учетных записей домена Active Directory для включения краткой проверки подлинности см.

Вы действительно хотите продолжить?

Введите имя сферы в поле сфера .

Примечание: необходимо настроить учетные записи пользователей с выбранным параметром счета хранить пароль, используя обратимое шифрование .

10. Установите Обычная (пароль отправляется в текстовом формате) флажок, если необходимо использовать обычную проверку подлинности. Нажмите кнопку Дав следующем сообщении:

Параметр проверки подлинности, выбранный в допускает передачу паролей по сети без шифрования. Попытка нарушения безопасности системы кто-то может использовать анализатор протокола для проверки паролей пользователей в процессе проверки подлинности. Для получения дополнительных сведений по проверке подлинности содержатся в справке. Это предупреждение не относится к подключениям HTTPS (или SSL).

Вы действительно хотите продолжить?

a. Чтобы указать домен, используемый для проверки подлинности пользователей, использующих обычную проверку подлинности, введите имя домена в поле домен по умолчанию .

b. Также имеется возможность ввести значение в поле область в данный момент.

Выберите вариант будет использоваться проверка подлинности .NET Passport проверки подлинности .NET Passport .

Примечание: при выборе этого параметра другие методы проверки подлинности недоступны.

Нажмите кнопку ОКи нажмите кнопку ОКв диалоговом окне Свойства Имя элемента. Если откроется диалоговое окно Изменение Наследования , выполните следующие действия.

. Нажмите кнопку Выделить все , чтобы применить новые параметры проверки подлинности для всех файлов или папок, расположенных в элементе, были изменены.

a. Нажмите кнопку ОК.

Закройте диспетчер служб IIS или закройте оснастку IIS.

Настройка DNS-сервера

Чтобы настроить DNS с помощью оснастки DNS в консоли управления MMC, выполните следующие действия.

1. Нажмите кнопку Пуск, выберите в меню Программы пункт Администрирование, а затем — DNS.

2. Щелкните правой кнопкой мыши пункт Зоны прямого просмотра и выберите команду Новая зона.

3. В окне мастера создания новой зоны нажмите кнопку Далее.

Укажите тип зоны. Зоны бывают следующих типов.


o Основная зона. Создает копию зоны, которая может быть обновлена непосредственно на этом сервере. Информация этой зоны хранится в текстовом файле с расширением .dns.

o Дополнительная зона. — все сведения копируются с основного DNS-сервера. При этом на основном DNS-сервере настроенная на передачу зона может быть интегрированной в Active Directory, основной или дополнительной зоной. На дополнительном DNS-сервере сведения о зоне не могут быть изменены, поскольку они копируются с основного DNS-сервера.

o Зона-заглушка. Зона-заглушка содержит только те записи о ресурсах, которые необходимы для идентификации DNS-серверов, обслуживающих эту зону. Эти записи ресурсов включают записи «Сервер имен» (Name Server, NS), «Начальная запись зоны» (Start of Authority, SOA), а также, возможно, записи узлов (тип A).

Имеется также параметр, позволяющий хранить зону в Active Directory. Этот параметр доступен только в том случае, когда DNS-сервер является контроллером домена.

4. Для поддержки динамических обновлений новая зона прямого просмотра должна иметь тип «Основная» или «Интегрированная в Active Directory». Выберите пункт Основная и нажмите кнопку Далее.

5. Новая зона содержит записи локатора для данного домена Active Directory. Имя зоны должно совпадать с именем домена Active Directory или являться логическим DNS-контейнером для этого имени. Например, если домен Active Directory называется support.microsoft.com, действительное имя зоны может быть только support.microsoft.com.

Примите предлагаемое по умолчанию имя для файла новой зоны. Нажмите кнопку далее.

Заключение:В сваей курсовой работе я показал структуру сетевых операционных систем и вывел множество примеров как работает и с чем основана её деятельность на платформах разных устройств, а самое главное я сам немножечко в этом разобрался и понял что к чему.

Рис. 1.1. Структура сетевой ОС

Рис. 1.2. взаимодействие компонентов операционной системы при взаимодействии компьютеров

Рис. 1.3. Варианты построения сетевых ОС

Рис. 1.4: Образование к операционной системе

Рис. 1.5:Microsoft Windows Server 2003

Несанкционированный доступ (НСД)

Несанкционированный доступ (традиционно используемое сокращение – НСД) следует понимать, как получение доступа к данным, хранящимся на различных носителях и накопителях (ПК, гаджеты, съёмные диски) посредством самовольного изменения или же фальсификации соответствующих прав. Подобное имеет место тогда, когда какие-то данные предназначены только определённому кругу лиц, но существующее ограничение нарушается. Осуществляется за счёт ошибок, допущенных контролирующей структурой, системой компьютерной безопасности, или же подменой удостоверяющих документов, противоправным завладением информацией о другом лице, которому предоставлен такой доступ.

Классификация несанкционированного доступа

Несанкционированный доступ киберпреступники могут получить, проведя атаку на сайты или веб-приложения, это может быть возможно, когда сайт заражен вредоносными программами, он взломан или имеет незакрытые уязвимости, кроме этого сайт может быть подвергнут DDoS-атаке.

Злоумышленники могут получить доступ к данным перехватив данные по сети с помощью шпионских программ или снифферы.

Уязвимое программное обеспечения и его последующий взлом становятся наиболее частой причиной несанкционированного доступа к данным. Также доступ может быть получен с использованием брутфорса для подбора паролей к административным учетным записям или же более деликатно с помощью социальной инженерии. Допущенные ошибки при настройке программ и несанкционированное с отделом информационной безопасности программное обеспечение — очень распространенные проблемы, которые открывают серьезные бреши в безопасности.

Причины несанкционированного доступа

Причины возникновения несанкционированного доступа:

  1. Неверно настроена система контроля доступа к определённым базам данных. Фактически, ответственность несёт администратор или другое занимающееся соответствующим вопросом лицо.
  2. Наблюдаются пробелы в организации защиты различных средств авторизации. Это могут быть легко угадываемые пароли, автоматическое сохранение данных, используемых для авторизации в конкретной системе, сохранение логина и прочих сведений в общедоступном месте и т.д.
  3. Используется устаревшее программное обеспечение, появляются ошибки или конфликт ПО. Решается своевременным обновлением, установкой исключительно лицензионных версий, выполнением стандартных правил компьютерной безопасности, обращением к профильным специалистам.
  4. Речь идёт о злоупотреблении доверием и (или) служебными полномочиями.
  5. Применяются трояны, клавиатурные шпионы, перечисленное близко к кибершпионажу.
  6. Прослушиваются и перехватываются разными способами каналы связи.
  7. Другие варианты.
  8. Осуществление несанкционированного доступа происходит по-разному, количество способов растёт по мере развития виртуального мира в целом. Влияет на это и появление новых видов гаджетов. Однако существующие методы можно условно свести к двум. Первый – обход системы доступа, второе – незаконное получение данных идентифицированного пользователя.

Способы несанкционированного доступа

Киберпреступник может завладеть личной информацией, сведениями, составляющими коммерческую тайну, интеллектуальной собственностью (особый интерес обычно представляет ноу-хау), внутрикорпоративной перепиской. Особый предмет покушения – государственная тайна. Периодически несанкционированный доступ приводит к полной или частичной парализации работоспособности конкретной структуры.

Основные способы получения несанкционированного доступа:

  1. Взлом информационных ресурсов (корпоративных сетей, веб-сайтов, облачных сервисов, отдельных компьютеров и мобильных устройств).
  2. Перехват сообщений. Подразумеваются любые отправленные послания, включая электронную почту, мессенджеры, смс, прочее.
  3. Сбор данных. Может производиться законными способами, но преследовать противоправную цель.
  4. Шантаж, вымогательство, дача взятки.
  5. Похищение информации.

Следует учесть, что нередко перечисленные варианты сочетаются друг с другом.

Получение несанкционированного доступа угрожает не только утечкой данных и (или) риском модификации сведений, но и вероятностью внедрения дистанционно управляемого ПО, ставящего под угрозу систему компьютерной безопасности в целом. Появляется риск потери управления. Также важные данные редактируются, удаляются, к ним могут заблокировать доступ, снять копии с целью дальнейшего противоправного использования.

НСД нередко направлен на перехват ключевых сообщений, имеющих принципиальное значение для защиты ПК, локальной системы или же конкретно взятых документов. В последнем случае получение несанкционированного доступа становится частью более крупной операции, нередко имеет отношение к киберразведке.

Злоумышленник способен использовать ПК как плацдарм для перехвата других устройств внутри сети, рассылки спама, вредоносного софта. Наконец, НСД даёт возможность уничтожить хранящиеся ценные данные и (или) полностью вывести из строя компьютерную систему.

Потеря контроля угрожает привести к сбоям в работе провайдера, транспортной организации, онлайн-магазина и т.п. Отдельные объекты имеют стратегическое значение. Так что важность разработки грамотно организованной защиты от подобных атак не вызывает сомнений.

Анализ риска

Большинство операционных систем предполагает автоматическую встроенную защиту от несанкционированного доступа (НСД). Но указанные способы обладают существенным недостатком: они быстро устаревают. С актуальными нормативными документами ФСТЭК можно ознакомится по ссылке. Поэтому специалисты рекомендуют использовать постоянно обновляющийся пакет программ, контролирующий доступ к отдельным документам. Большое распространение получили электронные замки, одними из наиболее надежных признаются аппаратные средства защиты, они чаще всего используются банковскими организациями при выдаче денежных средств.

К повышенным мерам предосторожности относятся строгую и усиленную аутентификацию. Особый акцент может быть сделан на протоколировании действий администратора и пользователей. Среди поддерживаемых технологий всё большее распространение в последнее время получают USB-ключи и всевозможные смарт-карты. Надёжными признаются одноразовые пароли. Эксперты также полагают, что будущее – за биометрией. Подразумеваются не только отпечатки пальцев, но и радужка глаза, рисунок вен на руках. Максимальный уровень безопасности достигается при многофакторной аутентификации, когда доступ предоставляется при совпадении данных сканирования радужки глаза, предъявления смарт-карты и введения пароля. Подобные системы в настоящем уже успешно реализованы.

Iis обнаружение несанкционированного доступа


434 просмотра

1 ответ

471 Репутация автора

проблема

При запуске приложения UWP (с возможностью аутентификации Enteprise), которое отправляет HTTP-запрос на локальный веб-сайт IIS, защищенный аутентификацией Windows, приложение получает 401 несанкционированный ответ. Если приложение запускается на компьютере, отличном от IIS (либо приложение перемещается на другой компьютер, либо запрашивается удаленный URL-адрес, защищенный проверкой подлинности Windows), запрос выполняется успешно.

IIS

Я использую Windows 10 Enterprise (Anniversary Edition), присоединенную к домену AD.

В моем локальном экземпляре IIS я включил проверку подлинности Windows и отключил анонимную проверку подлинности для веб-сайта по умолчанию. Включены провайдеры «Согласовать» и «NTLM».

Я также создал страницу test.aspx в корне, которая содержит просто:

Если я захожу на http: //localhost/test.aspx в Edge, Chrome или IE, я правильно аутентифицируюсь и мне сообщают мое имя пользователя.

UWP

Я создал простое приложение UWP (нацелено на сборку 14393) со следующими возможностями:

Код приложения просто:

Результат

Если запрашивающее приложение UWP и IIS находятся на одном и том же компьютере, HTTP-запрос в приложении UWP завершается с ошибкой 401 Несанкционированный .

Профилировщик сети показывает, что выполняется попытка аутентификации (обратите внимание, что множественные запросы являются частью схемы запроса / ответа WWW-Authenticate):

Если запрашивающее приложение и IIS находятся на разных компьютерах, запрос выполняется успешно.

То есть, если я изменю URL-адрес запроса так, чтобы это было полное доменное имя моего компьютера разработчика ( http: //localhost/test.aspx становится http: //computername.domain/test.aspx ), и запустите приложение на втором компьютере (в Другими словами, приложение на втором компьютере вызывает IIS моего компьютера разработки), запрос выполняется успешно. Кроме того, я могу успешно запустить UWP на своем компьютере разработчика, но вызвать удаленный IIS.

Еще несколько деталей

  • Запрос приложения UWP приводит к 200 OK, если на локальном узле IIS включена анонимная аутентификация.
  • Я установил флажок «Разрешить обратную петлю в локальной сети» на странице свойств приложения «Отладка», и я убедился, что эта петля включена с помощью checknetisolation.

Автор: artfulmethodИсточник Размещён: 20.04.2020 06:02

Ответы (1)

плюса

495 Репутация автора

UWP не может подключиться к loopback или localhost.

Information Security Squad

Продолжим темы фаерволов для вэб-приложений WAF.

Давайте посмотрим как установить и настроить WAF WebKnight для защиты вэб-сервера IIS [ Internet Information Services ]

Подготовка к установке WebKnight

  • Поддерживаемая версия IIS должна быть установлена
  • Фильтры ISAPI и расширения должны быть включены

Как включить фильтры ISAPI и расширения?

Пропустите этот пункт и перейдите к следующему, если вы уже включили фильтры и расширения.

Если же нет — ниже инструкции для Windows 8.

  • Перейдите в Control Panel >> Program and Features
  • Нажмите “Turn Windows features on or off”
  • Разверните “Internet Information Services” >> World Wide Web Services >> Application Development Features и выберите ISAPI Extensions & Filters

Скачивание и установка WebKnight

Первая вещь, которую вы должны сделать, состоит в том, чтобы загрузить WAF, следуя по следующему URL:


Загрузите последнюю версию. Система загрузит его в формате .zip.

Извлеките загруженный zip-файл, и он создаст новую папку – WebKnight.4.4

  • Войдите в WebKnight.4.4/Setup/x64
  • Дважды щелкните по установщику Windows WebKnight, чтобы запустить установку
  • Щелкните Next >
  • Примите лицензионное соглашение
  • Выберите «Complete» и нажмите Install
  • Может потребоваться несколько минут и когда установка будет произведена вы получите сообщение завершения.
  • Выберите “Launch Configuration Utility” и нажмите кнопку Finish
Илон Маск рекомендует:  currentColor в CSS

Теперь можно заключить, что вы установили брандмауэр веб-приложения WebKnight успешно, и конфигурация по умолчанию готова защитить Ваш веб-сервер IIS.

Теперь вы можете редактировать конфигурацию на основе своих потребностей.

Давайте пройдем по части существенной конфигурации.

Журналирование

По умолчанию будут записываться только блокированные запросы однако, если вы хотите записать все запросы регистрации тогда прокручивайте вниз к разделу Logging и выбирайте “Log Allowed”.

В в разделе журналирования вы можете также включить другие метрики как User-agent, X-Forwarded-For и т.д.

Метод

GET, HEAD & POST позволены, если вы хотите позволить другой метод, тогда дойдите до части методов и добавляйте по желанию.

Веб-приложения

Как отмечалось ранее, WebKnight совместим с другими приложениями и вы можете выбрать тот, в котором вы нуждаетесь.

Каждый раз, когда вы вносите изменения, вы должны сохранить изменения — File >> Save

Выполнение сценария

Давайте попробуем выполнить XSS атаку

Вставим в адрес вэб-сервера

Мы можем проследить это в лог файле:

2020-08-31 ; 14:05:46 ; W3SVC1 ; OnPreprocHeaders ; ::1 ; ; localhost ; GET ; /? ; BLOCKED: URL is not RFC compliant ; / ; ; BLOCKED: Parameter name not valid » ; BLOCKED: ‘

Iis обнаружение несанкционированного доступа

Эту статью не стоит рассматривать как полноценное руководство по безопасности при настройке Internet Information Services версии 7.x — для того уже существует несколько талмудов, которые описывают предмет нашего разговора во всей его красе. Но не у всякого администратора имеется возможность досконально изучить эти книги, а конфигурировать веб-сервер надо уже сейчас. Поэтому хочется опубликовать краткий обзор мер безопасности, которые необходимо иметь в виду, работая с IIS , некий чек- лист что ли, по которому можно быстро пробежаться, сравнить с требованиями своего проекта и корпоративными гайдами по информационной безопасности.

Обозначение 7.x означает, что здесь собран материал для обеих версий продукта: IIS 7 , поставляемый с Windows Server 2008 и Windows Vista , и IIS 7.5 , который Вы можете найти в «коробке» от Windows Server 2008 R2 и Windows 7 .

Все меры, представленные в данной подборке, ни в коем случае не являются ОБЯЗАТЕЛЬНЫМИ. Более того, они могут даже противоречить системным требованиям Ваших веб-приложений. Решение о принятии той или иной меры все таки необходимо выносить в условиях конкретной ситуации. Здесь меры будут носить лишь ОПИСАТЕЛЬНЫЙ характер, чтобы администратор знал — вот здесь еще можно подкрутить ;)

Все ответы

Основы безопасности IIS

Административные меры безопасности IIS

Максимальное усиление безопасности IIS

Кратко об Internet Information Services 7.x

Internet Information Services 7.x — компонент веб-сервиса компании Microsoft для операционной системы Windows Server 2008 (R2) .

На момент написания данного материала IIS 7.5 является последним в длинной линейке версий IIS . Начиная с версии 6.0, Microsoft в цикле разработки данного продукта решила сосредоточить особое внимание на безопасности и непрерывно следует этому подходу до сих пор. В результате IIS 7.x поставляется с большим количеством изменений по сравнению со своим предшественником и имеет огромное количество новых возможностей, которыми только надо умело пользоваться. IIS 7.x был полностью переработан и сейчас базируется на новой модульной архитектуре. Это означает, что вместо монолитного «черного ящика», который устанавливается по умолчанию и имеет лишь пару дополнительных возможностей, IIS 7.x теперь имеет около 40 отдельных компонентов — так называемых модулей. По умолчанию устанавливаются только самые основные модули; дополнительные же могут быть легко добавлены в случае необходимости. Это помогает значительно уменьшить площадь атаки на сервер, просто потому, что ненужные средства отсутствуют в системе. Модульная архитектура имеет множество преимуществ, и в части безопасности, и в администрировании, и в производительности веб-сервера. Кроме того, IIS 7.x не ограничивает Вас набором предразработанных модулей — пишите свои, если хотите заменить существующие, или есть требование расширить функциональность веб-сервера.

IIS нет доступа к сетевой папке

не находит файл
двойными слешами пробовал и прямыми пробовал и обратными пробовал, результат такой же, думается дело в IIS


Читал support.microsoft.com, но ничего не понял
еще почитал и попоробовал вот так: Application Pool Identities в IIS
результат никакой

10.01.2020, 12:50

Нет доступа к IIS при смене провайдера
Добрый день! Столкнулся с проблемой: Опубликована база 1С на сервере IIS (windows server 2012.

Настройка iis для доступа извне
поднял iis для тестирования сайта внутри домена. имею две проблемы: 1. обратиться к серверу можно.

Настройка доступа к веб-сайту на IIS 7 под MS Server 2008
Всем привет! Объясните пожалуйста, как можно сайт запущенный на IIS «расшарить» в локальную.

FTP-сервер на IIS. Почему не срабатывают изменения прав доступа к каталогам?
Здравствуйте! Создаю FTP-сервер на IIS (10). Доступ к каталогам должен быть групповым — какая-то.

Обновление browscap.ini без доступа к папке system32
Уважаемые форумчане! есть сервер IIS 8 написан сайт на ASP classic как приложение на этом языке.

10.01.2020, 18:36 2 17.01.2020, 15:35 [ТС] 3

1. создал пользователя
2. в настройках пула приложений выбрал удостоверение этого пользователя
3. зашел в виндовс под этим пользователем
4. ввел пароль от сетевой папки, сохранил и зашел в нее
пробую php — не работает
5. дал пользователю права администратора
6. на удаленном компе создал такого же пользователя и дал права к папке полный доступ
пробую php — не работает
7. на другом удаленном компьютере есть расшаренная папка без аутентификации доступная всем
пробую php — не работает
8. расшариваю на сервере ИИС папку, пробую через сеть найти в папке файл
пробую php — работает

ничего не понимаю, может где-то есть еще что-то

17.01.2020, 15:47 4 18.01.2020, 07:16 [ТС] 5

get_current_user() взвращает IUSR

Добавлено через 1 час 11 минут
Решено!

Диспетчер IIS -> Проверка подлинности -> Анонимная проверка подлинности -> Изменить -> Удостоверение пула приложений

18.01.2020, 07:16
18.01.2020, 07:16

Нет доступа к сетевой папке на D:
Добрый день! Начну по порядку, имеется следующее: Настольный ПК и ноутбук. Роутер D-link Dir-300.

Нет доступа к сетевой папке
Здравствуйте у меня такая ситуация, есть комп с windows7, он находится в домене, каждый раз при.

Нет доступа к сетевой папке сервера
Привет, помогите пожалуйста. На работе есть сеть с доменом, у некоторых на компах xp у некоторых.

В Microsoft IIS 6.0 обнаружена опасная уязвимость

Корпорация Microsoft предупреждает об обнаружении серьезной уязвимости в наборе серверов для служб Интернета Internet Information Services (IIS).

Как сообщается в опубликованном на сайте «Майкрософт» бюллетене, проблема связана с расширением WebDAV. Эксплуатируя «брешь», злоумышленники теоретически могут получить несанкционированный доступ к защищенным сетевым ресурсам, требующим аутентификации пользователей.

Для реализации нападения необходимо направить атакуемому узлу сформированный специальным образом HTTP-запрос.

Уязвимость обнаружена в Internet Information Services версии 6.0 и более ранних модификациях продукта. Патча для «дыры» пока не существует.

Корпорация «Майкрософт» подчеркивает, что занимается решением проблемы. Соответствующая «заплатка» может войти в состав ежемесячного планового обновления продуктов «Майкрософт»; выпуск очередной порции патчей намечен на 9 июня.

Информация

Панель управления
Настройки страницы

помощь: С помощью данных кнопок Вы можете изменить расположение информационных блоков по горизонтали, а также настраивать яркость и размер шрифта.

Для этого, в Вашем браузере должен быть включён JavaScript и браузер должен принимать файлы cookie нашего домена.

Все изменения автоматически сохраняются в cookie-файле Вашего браузера в течение 365 дней со дня изменений настроек.

IIS 7.0: краткая инструкция для системного администратора. Часть 1 – пpoверка результатов установки.

Продолжаем говорить об процедуре установки веб сервера под управлением IIS 7.0 на Windows Server 2008, которая была рассмотрена в предыдущем посте.

Теперь перейдем к проверке результатов установки IIS 7.0. Самый простой вариант проверить, работает ли веб сервер, особенно – находясь за локальной консолью, это обратиться из любого веб-браузера по адресу http://localhost/. Далее, проверить с локальной и удаленной машины по IP-адресу.

При установке IIS 7.0 создается веб сайт по умолчанию, сконфигурированный на ответ при любом URL-запросе, поступившем на порт 80 любого сетевого интерфейса сервера, на котором установлен IIS 7.0. Т.е. запрос браузера типа http://localhost/ должен быть обработан как запрос к веб сайту по умолчанию. Содержимое сайта по умолчанию представляет собой 2 файла – iisstart.htm и welcome.png (который отображается в iisstart.htm), которые и будут открыты клиентом. Поэтому результат обращения к localhost будет иметь следующий вид:

Теперь, если все хорошо (если «плохо» – поиск неисправностей и ошибок мы рассмотрим позже, в отдельном разделе), убедимся, что все модули, которые должны быть установлены по умолчанию – подключены и работают, а базовая конфигурация – отвечает нашим требованиям.


1. Основным инструментом управления IIS 7.0 является консоль Internet Information Services (IIS) Manager, которая устанавливается по умолчанию, вместе с ролью Web Server в Windows Server 2008 (IIS Management Console, раздел Management Tools при установки модулей). После соответствующей установки консоль управления IIS 7.0 можно найти, как дочернюю запись внутри раздела Web Server (IIS) в разделе ролей Server Manager, либо как пункт в разделе Administrative Tools меню Start, либо выполнив команду inetmgr (в командной строке или через пункт Run того же меню Start).

2. При старте консоль Internet Information Services (IIS) Manager открывается с «домашней страницей», на которой в виде панелей находится информация о том, к каким веб серверам и веб сайтам подключался пользователь консоли до этого (если консоль только установлена вместе с ролью Web Server (IIS), то в консоле присутствует запись только о локальном веб сервере), также присутствуют ссылки для выбора подключения к другим серверам, веб сайтам, веб приложениям и папкам, а также ссылки на внешние ресурсы, посвященные IIS.

3. Кроме того, на домашней странице присутствует панель новостей, которые подгружаются как новостная RSS-лента с сайта www.iis.net, если администратор нажимает на ссылку Enable IIS News. Новости, кстати, очень полезные, рекомендуется включать и использовать эту информацию в повседневной работе.

4. При подключении к какому либо веб серверу IIS 7.0 консоль Internet Information Services (IIS) Manager представляет его конфигурацию, как логическую структуру – уровень самого веб сервера, чьи настройки являются глобальными и распространяются по умолчанию на все веб сайты, пулы приложений и, сообственно, веб сайты со своими настройками. Эта конфигурационная иерархия, в виде разворачивающегося дерева, начинающегося с узла с именем (или IP) веб сервера, отображается в левой панели консоли Internet Information Services (IIS) Manager.

5. Если выбрать какой-то узел в дереве конфигурации, то в центральной панель консоли Internet Information Services (IIS) Manager будут отображены в виде отдельных иконок все параметры (а также – модули или списки), соответствующие конфигурации выбранного узла, а в правой панели – набор контекстных задач и операций, которые администратор (или пользователь) может выполнить над данным узлом.

6. Выбираем верхний узел, узел веб сервера, в котором представлены иконки, отвечающие за параметры работы модулей всего веб сервера, эти параметры наследуются по умолчанию для всех веб сайтов. Убеждаемся, что все необходимые модули установлены и отображены. Снимок экрана при установке конфигурации по умолчанию приведен ниже.

7. В правой панели при выборе узла веб сайта отображаются все операции, возможные для выполнения непосредственно с веб сервером (службами IIS в целом) в данном конексте – перезапуск, останов, запуск, переход к пулам приложений и сайтам.

8. Убеждаемся, что пулы приложений (Application Pools) сконфигурированы. Пулы приложений будут рассмотрены позже. Пулы являются дочерним узлом в дереве конфигурации для узла веб сайта. При установке по умолчанию создается только один пул – DefaultAppPool, в котором регистрируется одно приложение – сконфигурированный по умолчанию веб сайт, работу которого мы уже проверили. См. снимок экрана.

9. Ниже узла пулов приложений в дереве конфигурации находится узел веб сайтов (Sites), при выборе которого отображается список работающих на данном веб сервере веб сайтов. По умолчанию создается один веб сайт под названием Default Web Site с внутренним номером (ID) равным 1, «привязанный» на 80 порт всех IP-адресах всех сетевых интерфейсов к любому URL в запросе, и использующий в качестве домашнего каталога своего контента каталог с путем %SystemDrive%\inetpub\wwwroot (что при установленном Windows Server 2008 на диск C: соответствует C: \inetpub\wwwroot).

10. При выборе в левой панели консоли узла веб сайта (Default Web Site), также, как и в случае с выбором узла веб сервера, в центральной панели отображаются иконки для доступа к параметрам конфигурации различных модулей, на этот раз – конкретного веб сайта. Убеждаемся, что также, как и в случае со всем веб сервером, все необходимые модули представлены в центральной панели.

11. В правой панели консоли, аналогично панели для всего веб сервера, отображаются контекстные команды, правда, на этот раз их список серьезно расширен – старт/стоп/перезапуск процесса веб сайта, просмотр его базовых и расширенных настроек (а не параметров модулей), настройки привязки (адрес, порт, доменное имя – по сочетанию которых будет отвечать на запросы данный веб сайт) и т.п.

В принципе, для базовой проверки работоспособности и целостности установки данных шагов вполне достаточно. Но если вы хотите поближе познакомиться с «полным» набором настроек и конфигурацией «по умолчанию» – то можете проделать следующие шаги.

12. Выберите узел веб сервера в дереве конфигурации в левой панели консоли Internet Information Services (IIS) Manager. В центральной панели кликните на иконку Modules. В центральной панели откроется следующий полный список установленных по умолчанию модулей, представляющий из себя перечень .dll файлов.

13. Чтобы убедиться, что веб сервер будет работать только со статическими файлами (по умолчанию) или только с нужными вам расширениями – выберите снова узел веб сервера и в центральной панели кликните на иконку Handler Mappings. Откроется список «привязки» расширений вызываемых на веб сайте пользователем файлов и привязанных к данным расширениям модулям, выполняющим обработку данного вызова. Обратите внимание, что по умолчанию все файлы привязаны к модулю обработки статических файлов (т.е. запрос какого либо скриптового или исполнимого файла из домашнего каталога веб сайта не будет приводить к его исполнению на сервере, а лишь к передаче данного файла пользователю), а также к модулям документа по умолчанию и просмотра каталога. С этими модулями мы познакомимся позже.

14. И, наконец, для того, чтобы убедиться в безопасности веб сайта – проверьте параметры его аутентификации. Для этого выбираем иконку Authentication в той же центральной панели. По умолчанию никаких модулей аутентификации веб сервер (и веб сайты) не поддерживает. Т.е. все подключения для него анонимны. В чем безопасность? Это значит, что пользователям будет доступен только то содержимое домашних каталогов сайтов – файлы и подкаталоги – которые имеют NTFS разрешения для чтения «всем» (Everyone). В случае, если таких разрешений файл не имеет, пользователю будет отказано в доступе с соответствующей ошибкой 401. Если же пользователь попробует каким-то образом аутентифицироваться в процессе HTTP запроса на сервере – то поскольку никаких модулей аутентификации, кроме анонимного, на веб сервере не установлено – он снова получит соответствующую ошибку 401.

Такие настройки безопасности по умолчанию – только анонимные пользователи – позволяют гарантировать защиту данных на сервере, для которых требуются соответствующие разрешения, а также – что механизм аутентификации веб сервера (которого в данном случае просто нет) не будет использован для перебора паролей и прочих попыток «взлома» через учетные записи.

Итак, сервер установлен и его работоспособность проверена. Теперь достаточно поместить какой либо статический контент (файлы HTML, изображения, документы и файлы для выгрузки пользователями) в домашний каталог его сайта по умолчанию (напоминаю, что это в большинстве случаев C:\inetpub\wwwroot) – и веб сайт под управлением IIS 7.0 начнет работать. Ну, и конечно, для внешних сайтов – не забыть прописать их A-record в вашей доменной зоне на публичном DNS сервере.

В следующей части – установка IIS 7.0 в режиме командной строки, особенности работы IIS 7.0 на Server Core.

Наблюдение за безопасностью и обнаружение атак

Посетителей: 14591 | Просмотров: 25232 (сегодня 0)

Шрифт:

Несанкционированные попытки использования учетной записи

Создание первого контроллера домена Active Directory в лесу приводит к появлению учетной записи администратора, которая одновременно является членом групп администраторов домена и администраторов предприятия. Эта учетная запись требует особой защиты, поскольку это единственная запись, на которую не распространяются параметры блокировки учетной записи. Таким образом, даже при использовании политики блокировки учетных записей, эта учетная запись остается особенно уязвимой для атак с использованием словаря.

Эффективное наблюдение за безопасностью должно отслеживать все попытки входа в систему с этой учетной записью администратора, даже если она была переименована. Дополнительные сведения о повышении безопасности административных учетных записей см. в статье «Руководство по планированию безопасности учетных записей администратора» по адресу http://go.microsoft.com/fwlink/?Link >

Кроме того, попытки входа в систему с отключенными или устаревшими учетными записями могут означать, что бывший сотрудник, временный работник или подрядчик попытался получить доступ к сети, не имея действующих учетных данных. Подобные события должны немедленно расследоваться.

В следующей таблице приведены события, сигнализирующие о несанкционированном использовании учетных записей и относящиеся к категориям аудита «Вход учетных записей в систему» и «Вход в систему».

Таблица 9. События несанкционированного входа в систему

Успешный вход в систему

528 является обычным событием. Однако событие 540 требует проверки имени целевой учетной записи, чтобы определить, было ли оно вызвано учетной записью администратора по умолчанию.

Сбой при входе в систему — неизвестное имя пользователя или пароль

Всегда проводите расследование, если имя целевой учетной записи — «Администратор» или переименованная учетная запись администратора по умолчанию. Также проводите расследование, если количество сбоев при входе в систему чуть меньше порогового значения блокировки. Также проверьте наличие попыток, при которых имя целевой учетной записи — «Администратор» или root, а имя домена неизвестно.

Сбой при входе в систему — учетная запись отключена

Чтобы определить источник, проверьте имя целевой учетной записи и имя рабочей станции. Это событие требует расследования, поскольку может означать попытку вторжения со стороны бывших пользователей учетных записей.

Сбой при входе в систему — учетная запись устарела

Чтобы определить источник, проверьте имя целевой учетной записи и имя рабочей станции. Это событие требует расследования, поскольку может означать попытку вторжения со стороны бывших пользователей учетных записей.

Новой учетной записи назначены особые привилегии

Обозначает назначение привилегий, которые могут дать новой учетной записи права администратора или возможность изменять дневник аудита. Сравните поле «Идентификатор для входа в систему» с событиями 528 или 540, чтобы с легкостью определить, получила ли учетная запись привилегии администратора.


Другая проблема, связанная с безопасностью, включает неподчинение политикам использования эффективных паролей для учетных записей, например политикам использования надежных паролей и более коротких сроков действия паролей; иногда, чтобы запомнить пароли, пользователи записывают их на бумаге или где-либо еще. Эта проблема требует внимания, в частности, в системах, где имеется несколько хранилищ учетных данных, но при этом нет служб управления учетными данными, что требует использования большого числа паролей и учетных записей.

Организациям следует запретить пользователям записывать свои пароли, особенно на видном месте, поскольку посторонние лица могут найти и использовать эти сведения для проведения атаки. Наблюдение за этим видом вторжений возможно при использовании сведений из предыдущей таблицы, но оно включает взаимную корреляцию этих сведений с историей успешных входов в систему для учетной записи пользователя, о котором идет речь, таким образом, чтобы можно было создать для сравнения список рабочих станций, обычно используемых этой учетной записью.

Примечание. Можно ограничить пользователей только определенными рабочими станциями с помощью встроенных функций Active Directory. Однако для того чтобы использовать эту функцию, сеть должна поддерживать именование NetBIOS, такое, как предоставляется, например, службой имен в Интернете для Windows (WINS).

Интерактивный вход в систему с учетными данными учетной записи службы

При запуске службы должны предоставить учетные данные для входа в систему. Определенные службы иногда могут потребовать для запуска служб или подключения к удаленным компьютерам использования учетной записи домена. Некоторые службы могут даже потребовать учетных данных администратора или взаимодействия с рабочим столом.

В Windows Server 2003 и более поздних версиях некоторые учетные записи служб (например службу оповещения) можно запустить с параметром –LocalService . Кроме того, службы, требующие подключения к сети, могут использовать учетную запись сетевой службы NT AUTHORITY\Network Service. Все службы, требующие использования учетных записей пользователей, необходимо проверить, чтобы убедиться в том, что используемые учетные записи защищены надежными паролями. При наблюдение за безопасностью необходимо следить, чтобы подобные учетные записи появлялись только при запуске связанных с ними служб. Дополнительные сведения о повышенной безопасности для учетных записей служб см. в статье «Руководство по планированию обеспечения безопасности служб и учетных записей служб» по адресу http://go.Microsoft.com/fwlink/?Link >

В случае с учетными записями служб необходимо обращать особое внимание на случаи, когда эти учетные записи входят в систему интерактивно, а не как службы. Подобные события происходят только в том случае, когда учетная запись службы была взломана злоумышленником, который и входит в систему с этой учетной записью. Если раскрытая учетная запись службы имела привилегии администратора, злоумышленник получает доступ к широким возможностям и может нарушить нормальную работу сетевых служб.

Необходимо определить все ресурсы, к которым имеют доступ учетные записи служб, и убедиться в том, что эти учетные записи не имеют никаких необъяснимых разрешений, предоставляющих доступ к особо ценным данным. Например, учетная запись службы может время от времени требовать доступ на запись в каталог файлов журнала, но это является редкостью. Учетные записи служб, которые могут взаимодействовать с рабочим столом, также заслуживают пристального внимания, поскольку подобные учетные записи предоставляют значительные возможности, которыми могут воспользоваться злоумышленники.

В следующей таблице приведены события аудита входа в систему учетных записей и начала сеансов, которые сигнализируют о несанкционированном использовании учетных данных учетных записей служб.

Таблица 10. События входа в систему с учетными данными учетных записей служб

Код события Событие Комментарии

Успешный вход в систему — атака с консоли или через службы терминала

Является признаком выполняющейся атаки, если с этим событием ассоциируется тип входа в систему 10, учетная запись службы или учетная запись локальной системы. Это событие требует немедленного расследования.

Сбой при входе в систему — тип входа в систему не разрешен

Обозначает неудачную попытку интерактивного входа в систему с учетными данными учетной записи службы, если это запрещено параметрами групповой политики. При возникновении этого события проверьте имя целевой учетной записи, имя рабочей станции и тип входа в систему.

Процессу был назначен основной маркер

Означает, что служба использует именованную учетную запись для входа в систему с Windows XP или более поздней версии. Для исследования необходимо сопоставить это события со сведениями в событиях 672, 673, 528 и 592.

Попытка пользователя установить службу

Это событие не должно происходить часто в бизнес-среде с четко определенной политикой приемлемых приложений и процедурой стандартизации компьютеров. Это событие требует расследования при несоответствии процедур контроля изменений в таких системах.

Запуск несанкционированной программы

Учетные записи уровня администратора могут устанавливать и запускать программы, и они обычно выдаются только доверенным сотрудникам, которым необходимы подобные повышенные возможности. Из-за рисков, связанных с непроверенным программным обеспечением, важно создать список утвержденного и лицензированного программного обеспечения, а также процедуру запроса, проверки и утверждения новых приложений. Неутвержденные приложения необходимо ограничить изолированной средой для тестирования, их не следует устанавливать в производственной сетевой среде в обход установленной процедуры контроля изменений. В любом случае, такие приложения следует разрешать только после внесения их в список утвержденного программного обеспечения.

В следующей таблице приведены события отслеживания процессов, которые могут быть признаком использования несанкционированных программ.

Таблица 11. События запуска несанкционированных программ

Код события Событие Комментарии

Создание нового процесса

Обозначает создание нового процесса. Изучите поля «Имя файла образа» и «Имя пользователя» и сравните их со списком разрешенных программ, если в организации имеется политика разрешенных программ. Также найдите экземпляры, в которых для запуска командной строки используется учетная запись «Локальный компьютер», поскольку это является распространенным методом обхода дневника аудита.

Создание запланированного задания

Проверьте поля «Целевое имя» и «Время задачи», если такое событие происходит в непредвиденное время.

Примечание. Аудит безопасности отслеживания процессов позволяет выявлять несанкционированные программы. Однако при отслеживании процессов создается множество записей в журнале безопасности, поэтому необходимо соблюдать осторожность, чтобы количество событий не нарушило работу механизмов обнаружения атак.

Доступ к запрещенным ресурсам

В следующей таблице событий аудита доступа к объектам содержатся примеры попыток доступа к ресурсам, которые пользователям запрещено использовать.

Таблица 12. События попыток доступа к запрещенным ресурсам

Код события Событие Комментарии

Доступ к существующему объекту запрещен

Проверьте поле «Имя объекта», чтобы определить ресурс, к которому была предпринята попытка доступа, и сопоставьте поля «Основное имя пользователя» и «Основной домен» или «Имя пользователя клиента» и «Домен клиента», чтобы определить источник.

Попытка создания жесткой ссылки на файл, для которого проводится аудит

Свидетельствует о том, что пользователь или программа попытались создать жесткую ссылку на файл или объект. Установленная жесткая ссылка позволяет учетной записи выполнять действия над файлом без создания дневника аудита, если учетная запись имеет права на объект.


Использование несанкционированных операционных систем

Использование несанкционированных операционных систем может привести к значительным проблемам, начиная с пониженной защиты от использования уязвимостей и заканчивая повышенной вероятностью повреждения данных в файловых системах. Администраторы и пользователи могут использовать несанкционированные операционные системы в сети с помощью перечисленных ниже механизмов.

  • Персональные компьютеры, подключенные к сети локально или удаленно.
  • Использование операционных систем, загружаемых с компакт-дисков.
  • Переустановка операционной системы Windows.
  • Использование образов программы Virtual PC (виртуальный ПК).

Политики организации могут определять способы подключения пользователей к сети из удаленных местоположений через виртуальную частную сеть или службу удаленного доступа, включая такие требования к подключающемуся компьютеру, как тип операционной системы, наличие обновлений и установка защитных средств, например персональных брандмауэров и антивирусного программного обеспечения. Дополнительные сведения о проверке того, что удаленные компьютеры соответствуют требованиям политик безопасности предприятия, см. в статье «Внедрение служб карантина с использованием руководства корпорации Майкрософт по планированию виртуальной частной сети» по адресу http://go.microsoft.com/fwlink/?Link >

Пользователи также могут воспользоваться установочным компакт-диском Windows XP, чтобы перезагрузить компьютер и установить неуправляемую операционную систему. В таких случаях подобные действия можно обнаружить по попыткам входа в систему с учетной записью администратора из рабочей группы с неизвестным именем или из рабочей группы по умолчанию с именем Workgroup.

Примечание. Некоторые системы с открытым исходным кодом существуют в виде загрузочного компакт-диска и позволяют использовать операционную систему без установки на локальный компьютер. Поскольку операционная система фактически не установлена на локальный компьютер, подобные действия обнаружить трудно. Тем не менее, попытки входа в систему с учетными записями пользователей с именем root в однородной сетевой среде или с компьютеров с неожиданными именами могут означать использование несанкционированных операционных систем. Подобные действия можно предотвратить, отключив возможность загрузки с компакт-диска с помощью параметров BIOS компьютера и защитив паролем конфигурацию BIOS, но такой подход может оказаться неудобным в некоторых средах.

Образы Virtual PC обеспечивают полную эмуляцию компьютерной среды на локальном компьютере. При такой эмуляции в виртуальной среде запускается собственная операционная система со своим именем компьютера, учетными записями пользователей, структурой службы каталогов и программами. Экземпляр виртуального ПК можно запускать, выполнять и останавливать независимо от локального компьютера, и при этом на локальном компьютере не будут создаваться события аудита. Эта возможность, наряду с возможностью виртуального компьютера подключаться к сети, получать IP-адреса и даже использовать общие диски несет в себе определенные риски для безопасности, начиная от использования слабых паролей и заканчивая повышенной вероятностью использования уязвимостей, поскольку виртуальный компьютер не подчиняется принятой в сети процедуре обновлений. Учитывая эти риски, которые представляют виртуальные ПК, важно разрешить использование программного обеспечения для создания виртуальных ПК только уполномоченному персоналу и выработать документированные процедуры, регулирующие создание и использование экземпляров виртуальных ПК.

Чтобы обнаруживать использование несанкционированных операционных систем, решение по наблюдению за безопасностью должно обнаруживать перечисленные ниже параметры.

  • Неопознанные учетные записи пользователей, имена компьютеров, рабочих групп или доменов.
  • Дублирующиеся или выходящие за установленный диапазон IP-адреса.
  • Попытки входа в систему с учетной записью администратора по умолчанию.

События отслеживания процессов, приведенные в следующей таблице, можно использовать для выявления использования несанкционированных операционных систем.

Таблица 13. События использования несанкционированных платформ

Код события Событие Комментарии

Сбой при входе в систему — неизвестное имя пользователя или пароль

Проверьте наличие попыток, при которых значение поля «Имя целевой учетной записи» — «Администратор» или root либо имя домена неизвестно.

Сбой при входе в систему — пользователю не разрешено входить в систему на этом компьютере

Означает, что пользователь пытается войти в систему на рабочие станции с ограниченным доступом.

Создание нового процесса

Проверьте поля «Имя файла образа» и «Имя пользователя», чтобы убедиться в том, что данная программа разрешена для такого использования этой учетной записью.

Создание или разрыв доверительных отношений

Доверительные отношения позволяют учетным записям в одном домене получать доступ к ресурсам, расположенным в другом домене. Создание доверительных отношений очевидно не является повседневной операцией и должно выполняться в рамках установленной процедуры контроля изменений. Разрыв доверительных отношений также является действием, которое следует выполнять только после утверждения в соответствии с процедурой контроля изменений и после тщательного рассмотрения последствий, которые это действие может иметь для сети.

События аудита изменения политик, приведенные в следующей таблице, позволяют определять действия, связанные с доверительными отношениями.

Таблица 14. События по изменению доверительных отношений

Код события Событие Комментарии

Доверительное отношение с другим доменом было создано, удалено или изменено

Эти события будут созданы на контроллере домена, который установил доверительное отношение. Данное событие требует немедленного расследования, если оно не соответствует установленной процедуре запроса контроля изменений. Проверьте поле «Имя пользователя», чтобы выявить учетную запись, выполнившую запрос.

Несанкционированные изменения политики безопасности

Изменения в утвержденные параметры политики безопасности должны вноситься только в рамках установленной процедуры контроля изменений. Любые изменения, не происходящие в соответствии с этой процедурой утверждения, должны немедленно расследоваться.

Этот тип изменений политики безопасности включает перечисленные ниже элементы.

  • Параметры групповой политики.
    • Политика паролей учетных записей пользователей.
    • Политика блокировки учетных записей пользователей.
    • Политика аудита.
    • Параметры журнала событий, применяемые к журналу событий безопасности.
    • Политика IPsec.
    • Политики беспроводных сетей (IEEE 802.1x).
    • Политики открытых ключей и файловой системы с шифрованием (EFS).
    • Политики ограниченного использования программ.
  • Настройки безопасности.
    • Параметры прав пользователей.
    • Политика паролей учетных записей пользователей.
    • Параметры безопасности.

Данный список содержит только минимальные требования, поскольку большинство организаций, вероятно, добавили бы больше параметров групповой политики в свою среду. При аудите безопасности необходимо отслеживать как успешные, так и неудачные попытки изменения этих параметров, поскольку успешные попытки должны соответствовать учетным записям, имеющим право вносить эти изменения в рамках установленной процедуры.

В следующей таблице приведены события аудита изменения политик, позволяющие обнаружить изменения групповой политики и локальной политики.


Таблица 15. События изменения политик

Код события Событие Комментарии

Изменение политики аудита

Обозначает изменение политики аудита. Эти события необходимо сопоставить с установленной политикой контроля изменений, чтобы определить их законность.

Изменение политики IPsec

Обозначает изменение политики IPsec. Эти события необходимо расследовать, если они происходят не при запуске системы.

Политика восстановления зашифрованных данных

Эти события происходят при использовании политики восстановления зашифрованных данных. Любое возникновение этих событий вне рамок указанных политик требует расследования.

Примечание. Дополнительные сведения о параметрах групповой политики см. в документе «Параметры политики безопасности» (эта ссылка может указывать на содержимое полностью или частично на английском языке).

Попытка раскрытия учетных данных

Для получения учетных данных пользователей злоумышленники используют несколько подходов, от атак по словарю и до методов социотехники. Хотя наиболее известный подход включает атаки по словарю, направленные на одну учетную запись, другим общим подходом является использование набора паролей на все учетные записи в базе данных служб каталогов. Во втором случае злоумышленник скорее всего имеет доступ к базе данных каталогов организации или угадал принцип создания имен пользователей и имеет список сотрудников. Чтобы обнаружить такой тип атаки, необходимо иметь возможность обнаружения многочисленных сбоев входа в систему для множества учетных записей, даже если не сработали пороговые значения для блокировки учетных записей.

Сброс паролей является другим способом получения контроля к сведениям об учетных данных. Поскольку операции сброса и изменения пароля приводят к созданию одного и того же события как в случае успешного выполнения, так и в случае сбоя, злоумышленник может избежать обнаружения, обойдя политику блокировки учетных записей. Чтобы помешать этим попыткам, решение по наблюдению за безопасностью должно обнаруживать многочисленные попытки изменения или сброса пароля, особенно выходящие за рамки установленных политик и бизнес-процессов.

Хотя зацикливание пароля не является атакой (это происходит, когда пользователь пытается обойти политики повторного использования паролей, используя сценарии для изменения большого количества паролей, чтобы использовать исходный пароль), при этом сохраняется угроза безопасности. В процессе таких действий количество сбросов пароля примерно равно пороговому значению повторного использования пароля и поэтому проявляется как быстрая последовательность событий с кодом 627. Реализация политик минимального срока действия паролей может привести к неудаче подобных попыток.

В следующей таблице приведены события, которые могут появиться в результате попыток атаки на учетные данные, используемые для проверки подлинности. Однако эти события также могут возникнуть и при обычных сетевых операциях — например, если легальный пользователь забудет пароль.

Таблица 16. События, являющиеся признаком атаки на учетные данные, используемые для проверки подлинности

Код события Событие Комментарии

Сбой при входе в систему — неизвестное имя пользователя или пароль

Проверьте наличие попыток, при которых значение поля «Имя целевой учетной записи» — «Администратор» или другая учетная запись уровня администратора, которой не разрешено изменять пароли. Проверьте наличие множества неудачных попыток входа в систему, количество которых меньше порогового значения блокировки. Сопоставьте данные с событиями 529 и 539, чтобы найти непрерывные последовательности блокировок учетных записей.

Сбой при входе в систему — тип входа в систему не разрешен

Означает, что пользователь попытался войти в систему с запрещенным типом учетной записи, например сетевой, интерактивной, пакетной или служебной. Проверьте поля «Имя целевой учетной записи», «Имя рабочей станции» и «Тип входа в систему».

Учетная запись заблокирована

Обозначает попытку входа в систему с учетной записью, которая была заблокирована. Сопоставьте данные с событием 529, чтобы обнаружить непрерывные последовательности блокировок.

Обнаружена атака с повторением пакетов

Означает, что пакет проверки подлинности, обычно Kerberos, обнаружил попытку входа в систему путем повторения пакетов с учетными данными пользователя. Хотя это событие может быть признаком неправильной настройки сети, оно все равно требует немедленного расследования.

Попытка изменения пароля

Если поле «Основное имя учетной записи» не соответствует полю «Имя целевой учетной записи», это событие означает, что кто-то отличный от владельца учетной записи попытался изменить пароль.

Установка или сброс пароля учетной записи пользователя

Эти действия должны выполнять только авторизованные учетные записи, например учетная запись справочной службы или учетная запись самообслуживания для сброса пароля.

Учетная запись пользователя автоматически заблокирована

Означает, что учетная запись была заблокирована, поскольку количество последовательных неудачных попыток входа в систему превысило предельное значение для блокировки учетной записи. Сопоставьте данные с событиями 529, 675, 681 и 676 (только Windows 2000 Server). Также обратитесь к записи для события 12294 в этой таблице.

Сбой предварительной проверки подлинности

Обозначает возможную проблему с синхронизацией времени или наличие учетных записей компьютеров, неправильно присоединенных к домену. Сопоставьте данные с событием 529, чтобы определить точную причину сбоя при входе в систему.

Попытка блокировки учетной записи

Обозначает возможную атаку методом подбора пароля, направленную на учетную запись администратора по умолчанию. Поскольку политики блокировки учетных записей не распространяются на эту учетную запись, это записывается как событие SAM 12294 в журнале событий системы. Любое появление этого события необходимо расследовать, поскольку оно может означать использование несанкционированной операционной системы. Проверьте поле «Имя домена» на наличие неизвестных доменов.

Использование уязвимостей

Уязвимости являются основной целью злоумышленника при попытке вторжения, поскольку они могут существовать на любом компьютере, а их устранение требует времени и усилий. Период времени от обнаружения уязвимостей до разработки методов их использования, обычно называемый окном от уязвимости до использования, со временем сократился. Это означает, что теперь имеется меньше времени на разработку, тестирование и распространение исправлений для этих уязвимостей.

Лучшей защитой от использования уязвимостей все еще является эффективная процедура управления исправлениями, которая позволяет быстро проверить и развернуть обновления безопасности в среде. В число службы, которые могут быть полезны в этом процессе, входят Microsoft Systems Management Server (SMS) 2003 и Windows Software Update Service (WSUS).


Наблюдение за безопасностью по периметру сети также важно в этом отношении, поскольку расположенные там компьютеры наиболее доступны злоумышленнику. Не имея механизмов для обнаружения атак при их возникновении, организация может не осознавать, что что-то не так, пока сеть не будет взломана. Поэтому крайне важно, чтобы за компьютерами, расположенными по периметру сети, велось тщательное наблюдение с широким диапазоном подвергаемых аудиту событий.

Помимо уже рассмотренных событий, наиболее важные события, описанные в разделе «Попытка раскрытия учетных данных», включают попытки несанкционированного доступа и использование привилегированных учетных данных. В следующей таблице приведены некоторые события, которые могут быть признаком подобных атак.

Таблица 17. События, связанные с использованием уязвимостей с помощью повышения привилегий

Код события Событие Комментарии

Локальный вход в систему и выход из системы

Сопоставьте поле «Идентификатор для входа в систему», если эти события происходят на компьютерах, расположенных по периметру. Это событие требует расследования, если поля «Имя учетной записи пользователя», «Время» или «Имя рабочей станции» содержат непредвиденные значения.

Пользователь инициирует выход из системы

Это событие может считаться эквивалентным событию 538, поскольку утечка маркера может привести к сбою аудита события 538, но вызовет при этом событие 551.

Привилегированный вход в систему

Обозначает вход в систему с учетной записью администратора, вход в систему учетной записи с достаточными привилегиями для подделки высоконадежной вычислительной базы (TCB) или достаточными привилегиями для захвата компьютера с Windows Server 2003 с пакетом обновления 1 или более поздней версии. В более ранних версиях Windows это событие представляет интерес только в том случае, если оно связано с такими важными привилегиями как SeSecurityPrivilege или SeDebugPrivelege.

Примечание. В версиях Windows до Windows Server 2003 событие 576 будет находиться в категории «Привилегированное использование». В Windows Server 2003 и более поздних версиях, категория «Вход в систему» также будет содержать это событие. Таким образом, настройка параметров аудита для любой из этих категорий приведет к появлению данного события.

Iis обнаружение несанкционированного доступа

Многие крупные и средние компании, заботящиеся о своей информационной безопасности, наверняка сталкивались с проблемой обнаружения несанкционированных подключений к своей локальной сети. Ведь ни для кого не секрет, что 80% атак происходит изнутри компании и важной задачей хакера является подключение своего компьютера или шпионского устройства к сети компании.

Для эффективного решения этой задачи необходимо обеспечить работу системы обнаружения в режиме реального времени, причем информация о неавторизованном соединении должна содержать не только сетевые параметры (MAC адрес, IP адрес, VLAN, IP адрес и номер порта коммутатора), но и географическое расположение подключенного компьютера (здание, этаж, номер комнаты, номер розетки).

Ниже мы рассмотрим технологию построения Системы Обнаружения Несанкционированных Подключений (СОНП), основывающуюся на анализе нотификационных SNMP сообщений об изменении статуса порта, получаемых от сетевых коммутаторов, и определение неавторизованных подключений на основе отсутствия MAC адреса устройства в базе данных авторизованных хостов сети.

Обработка SNMP сообщений — ядро

В качестве серверной части, обеспечивающей сбор SNMP сообщений, может выступать существующий в компании сервер сетевого мониторинга (HP OpenView, IBM Tivoli, Microsoft MOM, и т.п.).

Далее сообщение поступает на обработку, где производится определение (discovery) основных идентификационных параметров подключения.

Первым делом необходимо определить всю возможную информацию о новом соединении. Как показано на схеме, в качестве источников информации о соединении могут быть сами сетевые коммутаторы, база данных СКС компании (о ней мы поговорим отдельно), а также база данных разрешенных соединений, в которой сохраняются все когда-либо обнаруженные подключения.

Анализ соединения позволяет определить важную информацию о сетевых свойствах (MAC адрес, IP адрес, VLAN, номер порта сетевого коммутатора, сетевое имя), и месторасположение подключенного компьютера.

После этого, с помощью базы данных соединений, хранящей информацию о соединениях и их статусе «Разрешено/Запрещено», производится проверка соединения на легитимность. Если обрабатываемое соединение зарегистрировано в базе, как разрешенное, то на этом его обработка завершается. Т.е. система просто игнорирует произошедшее события, расценивая его, как нормальную активность.

Если же соединение опознано как Запрещенное или неопознанное (новое) на консоль Администратора безопасности высылается Тревожное сообщение, а в БД Соединений заносится информация о факте нового или запрещенного соединения.

Рабочее место Администратора Безопасности

По получении уведомления, Администратор Безопасности должен иметь возможность просмотреть детали соединения, чтобы принять решение о его разрешении или запрещении. В этот момент Администратор Безопасности может либо осуществить физическую проверку подключенного компьютера, имея информацию о расположении подключенного компьютера внутри здания, либо, обладая данными о сетевых параметрах подключения, запросить службу IT о легитимности нахождения данного устройства в корпоративной сети.

При положительном решении Администратор безопасности регистрирует Соединение, как разрешенное. Информация об этом заносится в БД Соединений.

Если данное соединение рассматривается, как нежелательное, предпринимаются соответствующие административные меры, а информация об устройстве заносится в БД соединений с пометкой «Запрещенное». Любое последующее подключение этого устройства в сеть вызовет тревожное уведомление.

База данных СКС

К сожалению, не во всякой компании ведется строгий учет соединений СКС. В этом случае можно начать с реализации БД СКС в виде простого файла, содержащего IP адрес коммутатора и описание его месторасположения и обслуживаемых им помещений. Таким образом, на первом этапе, удастся локализовать месторасположение искомого подключения.

Другие возможности

Конечно, при проектировании и реализации подобной системы необходимо отталкиваться в первую очередь от запросов клиента — службы Информационной Безопасности компании. Если какие-то из описанных выше функций уже реализованы с помощью других информационных систем, то остается только с умом воспользоваться уже имеющимися наработками. Если же в компании не внедрены сопутствующие системы (учета инцидентов, диспетчерского центра, управления СКС), то начать можно с реализации основной функции — обнаружения несанкционированных подключений к локальной сети компании.

Отвечая на вопросы скептиков

Почему SNMP?

Во-первых, используя 802.1х практически невозможно обеспечить полное покрытие всей локальной сети предприятия. Все устройства в сети (включая активные сетевые устройства) должны поддерживать этот протокол. На сегодняшний день абсолютное большинство принтеров, сканеров, а также нестандартных сетевых устройств (системы видео-наблюдения и т.п.) не поддерживают 802.1х. Для подключения их к сети приходится либо организовывать выделенные сети (что не всегда удобно, например, для принтеров), либо отключать авторизацию 802.1х на портах активного сетевого оборудования, к которым подключены эти устройства. Таким образом, злоумышленнику достаточно найти сетевой принтер или другое устройство, которое не поддерживает авторизацию 802.1х и подключить туда свой компьютер — поскольку авторизация на этом сетевом порту не включена, то определить или запретить это подключение не удается.

Кроме того, протокол 802.1х не обладает собственными средствами мониторинга, т.е. служба информационной безопасности не может получить сигнала о том, что в каком-либо месте сети произошла попытка неавторизованного подключения.

И наконец, протокол 802.1х требует для своей реализации построения инфраструктуры PKI в масштабах всей локальной сети, что само по себе является достаточно трудоемкой задачей.

Как можно полагаться на MAC-адреса?

Поскольку система знает все разрешенные MAC-адреса и хранит их привязку к портам сетевого оборудования, то для того, чтобы ее «обмануть» придется попотеть — найти компьютер уже подключенный в сеть, «украсть» его MAC-адрес (при этом, легальный компьютер необходимо отключить) и подключиться в тот же порт сетевого коммутатора. По-настоящему защищенную сеть можно создать только с использованием различных средств защиты на всех уровнях. Описанная в настоящей статье СОНП может выступать, как система раннего оповещения о возможном несанкционированном проникновении в сеть. Можно даже сравнить ее с интеллектуальной системой видеонаблюдения, постоянно записывающей изображение с камер, но включающей сигнал оповещения только в случае возникновения подозрительного движения.

Полное или частичное цитирование данной статьи запрещено

Илон Маск рекомендует:  Все про overflow-wrap
Понравилась статья? Поделиться с друзьями:
Кодинг, CSS и SQL
Код события Событие Комментарии