Konfiguracja zabezpieczeń stacji roboczej
Transkrypt
Konfiguracja zabezpieczeń stacji roboczej
Projektowanie bezpieczeństwa sieci i serwerów Projektowanie bezpieczeństwa sieci i serwerów Konfiguracja zabezpieczeń stacji roboczej 1. Strefy bezpieczeństwa przeglądarki Internet Explorer. W programie Internet Explorer można skonfigurować ustawienia zabezpieczeń dla kilku wbudowanych stref zabezpieczeń. Wyróżniamy następujące strefy: - Internet – jest to strefa, do której należą wszystkie witryny internetowe, które nie zostały umieszczone ani w strefie Zaufane witryny ani Witryny z ograniczeniami. - Lokalny intranet – Przeznaczona jest dla stron znajdujących się w lokalnym intranecie. - Zaufane witryny – Witryny tej strefy uznawane są za „bezpieczne” – uznajemy, ze ich zawartość nie może zagrozić naszemu komputerowi. - Witryny z ograniczeniami – Witryny z tej strefy mogą spowodować uszkodzenie systemu (złośliwe oprogramowanie, czy zagrożenie atakiem internetowym). W przypadku systemu Windows 2003 przeglądarka jest skonfigurowana domyślnie ze zwiększonymi zabezpieczeniami. Stery domyślnie mają wtedy następującą konfigurację: • • • • • Strefa Internet - Wysoki poziom zabezpieczeń. Strefa Zaufane witryny - Średni poziom zabezpieczeń. Strefa Lokalny intranet - Średnio-niski poziom zabezpieczeń. Dzięki temu poświadczenia użytkownika (nazwa i hasło) mogą zostać automatycznie przesłane do witryn i aplikacji, które ich potrzebują. Strefa Witryny z ograniczeniami - Wysoki poziom zabezpieczeń. Domyślnie wszystkie witryny internetowe i intranetowe są przypisane do strefy Internet. Witryny intranetowe nie są częścią strefy Lokalny intranet, jeżeli nie zostaną specjalnie do niej dodane. Dostęp to stref uzyskać można następująco : Panel Sterowania->Opcje Internetowe->Zabezpieczenia Lub IE->Narzędzia->Opcje Internetowe->Zabezpieczenia mgr inż. Łukasz Jopek, Katedra Informatyki Stosowanej PŁ 1 Projektowanie bezpieczeństwa sieci i serwerów Wygląd okna zarządzania zabezpieczeniami IE. Każdą strefę można skonfigurować osobno, wybierając opcje „Poziom niestandardowy”. Zadanie 1: Skonfiguruj strefy w następujący sposób: - - Internet – Elementy ActiveX mają zostać całkowicie zablokowane, zablokowane zostać mają wszystkie skrypty prócz skryptów języka Java, zezwalany na pobieranie plików, bez monitowania oraz zezwalamy na pobieranie czcionek, włączamy także opcje trwałości danych użytkownika, nie blokujemy „wyskakujących okienek”. Lokalny intranet - pozostawiamy bez zmian Zaufane witryny - – Elementy ActiveX mają zostać włączone, zezwalany na działanie skrytpów, zezwalany na pobieranie plików, bez monitowania oraz mgr inż. Łukasz Jopek, Katedra Informatyki Stosowanej PŁ 2 Projektowanie bezpieczeństwa sieci i serwerów - zezwalamy na pobieranie czcionek, włączamy także opcje trwałości danych użytkownika, nie blokujemy „wyskakujących okienek Witryny z ograniczeniami – Elementy ActiveX mają zostać całkowicie zablokowane, zablokowane zostać mają wszystkie skrypty, zezwalany na pobieranie plików, ale z monitowaniem oraz zezwalamy na pobieranie czcionek, wyłączamy także opcje trwałości danych użytkownika, blokujemy „wyskakujące okienka”.). Następnie Do każdej ze stref dodaj kolejno kilka witryn (wybranych tak, aby można było ustawienia, które wcześniej były modyfikowane – np. witryna posiada „wyskakujące okna”, możliwość pobierania plików, czy skrypty Java/inne lub elementy typu ActiveX. 2 Zapobieganie wykonywaniu danych (DEP, Data Execution Prevention) Zapobieganie wykonywaniu danych (DEP, Data Execution Prevention) to funkcja zabezpieczeń, która pomaga zapobiegać uszkodzeniu komputera np. przez wirusy, albo inne, złośliwe oprogramowanie. Funkcja DEP ułatwia ochronę komputera przez monitorowanie programów w celu zagwarantowania, że korzystają z pamięci systemowej w bezpieczny sposób. Jeśli program próbuje uruchomić (wykonać) kod z pamięci w niepoprawny sposób, zostanie zamknięty przez funkcję DEP. Funkcje DEP, po jej włączeniu, można wyłączonych dla wybranych aplikacji. W Windows 2003 dostęp do usługi DEP realizowany jest następująco : Panel sterowania -> system -> zaawansowane -> wydajność -> Zapobieganie wykonywaniu danych mgr inż. Łukasz Jopek, Katedra Informatyki Stosowanej PŁ 3 Projektowanie bezpieczeństwa sieci i serwerów Wygląd okna dialogowego funkcji DEP. 3. Konfiguracja Firewalla systemowego. System Windows 2003 posiada wbudowany firewall, podstawowa konfiguracja firewalla może wyglądać następująco : Zapora systemu Windows (Windows Firewall) posiada trzy tryby pracy: • Włącz (zalecane) - jest to domyślny tryb i zalecany podczas normalnej pracy, gdzie jest uwzględniona lista wyjątków. • Włącz wraz z opcją "nie zezwalaj na wyjątki" - tryb przeznaczony w czasie różnych zagrożeń np. praca naszego komputera w obcej sieci. Nie jest tu uwzględniania lista wyjątków. • Wyłącz (nie zalecane) - całkowicie wyłączenie zapory. Możemy tutaj zauważyć że domyślnie jest włączony wyjątek "Udostępnianie plików i drukarek. Domyślnie jest też włączony wyjątek "Pomoc zdalna", który się odnosi do danej aplikacji. 1. Uruchamiamy firewalla na połączeniu lokalnym. 2. Wybieramy zakładkę „wyjątki”. Tutaj dodać można tzn wyjątki, czyli porty wraz z protokołem (TCP/UDP), które chcemy, aby pozostały otwarte. M ożna uczynić to na dwa sposoby : - przypisywać konkretna aplikację – wtedy firewall automatycznie zezwoli na transmisję na dowolnym porcie, którego zaradza aplikacja, jest to wygodne, gdy aplikacja pracuje na wielu portach lub wybiera je losowo (np. niektóre gry mgr inż. Łukasz Jopek, Katedra Informatyki Stosowanej PŁ 4 Projektowanie bezpieczeństwa sieci i serwerów - komputerowe.) – wybieramy wtedy opcje „dodaj program”, można także ustalić źródło, z którego pochodzić mogą pakiety : sieć LAN czy adres IP. Otworzyć konkretny port - wybieramy wtedy opcję „dodaj port”. Do prawidłowego działania w otoczeniu sieciowym system musi mieć otwarte poniższe porty: • • • port: 137, protokół: UDP, opis: NETBIOS Name Service (137 UDP) port: 138, protokół: UDP, opis: NETBIOS Datagram Service (138 UDP) port: 139, protokół: TCP, opis: NETBIOS session service (139 TCP) opcjonalnie (nie wymagane w wielu sieciach): • port: 445, protokół: TCP, opis: Distributed File System (445 TCP) odpowiedzialny za DFS - Rozproszony system plików. Zatem skonfiguruj firewall tak ,aby prawidłowo działał w otoczeniu sieciowym. Następnie można przejść do zakładki "Protokół ICMP" i włączyć "Zezwalaj na przychodzące żądania echa", dzięki czemu Windows odpowie na ping. Zakładka "Rejestrowanie zabezpieczeń", w której można włączyć opcje rejestrowania do pliku o odrzuconych i udanych połączeniach znajduje się powyżej zakładki "Protokół ICMP". Pozwala ona na zdefiniowanie pliku, w którym zapisywane maja zostać zdarzeń, jego wielkości maksymalnej oraz możemy zdecydować, czy zapisywane mają być połączenie odrzucone i/lub zakończone sukcesem. Zakładka „Rejestrowanie zabezpieczeń”. mgr inż. Łukasz Jopek, Katedra Informatyki Stosowanej PŁ 5 Projektowanie bezpieczeństwa sieci i serwerów Zaznacz opcje „Rejestruj porzucone pakiety”, zablokuj dostęp do wybranej usługi (lub po prostu danego portu), a następnie z innego komputera spokój nawiązać połączenie na tym porcie (np. za pomocą polecenia telnet), a następnie obedrzyj zawartość dziennika. To samo zrób dla opcji „Rejestruj udane połączenia”. Korzystając z zakładki „wyjątki” otwórz port 25 (protokół TCP, dla komputera z POZA sieci, adres może być fikcyjny), a następnie prób za pomocą polecenie telnet spróbuj nawiązać połączenie na tym porcie. Następnie sprawdź zawartość pliku z rejestrem połączeń. mgr inż. Łukasz Jopek, Katedra Informatyki Stosowanej PŁ 6