Ekstremalnie krytyczna luka w IE
Kolejny problem z bezpieczeństwem systemów Windows obił się szerokim echem w ostatnich dniach. Po
ostatnim krytycznym błędzie systemów Windows odkryty został kolejny poważny błąd, tym razem przeglądarki Internet Explorer. Securnia opisała lukę przeglądarki Internet Explorer określając ją jako
Extremely critical Luka pozwala na zdalny dostęp do komputera oraz na wykonanie dowolnego kodu. Co ciekawe problem występuje również na w Internet Exlorerze 7 na w pełni spatchowanym systemie Windows XP z Service Packiem 3 oraz w Internet Exlorerze 6 na Windows XP z SP2. Na dzień dzisiejszy Microsoft
pracuje nad poprawką. Czekamy na nią z niecierpliwością.
źródło LOCOS.plEtykiety: Administracja, Bezpieczeństwo, News
Konto administratora
Domyślnie w systemie Windows Server 2003 główne konto administratora systemu nazywa się po prostu "Administrator" i wiedzą to wszyscy. Wynika z tego niestety jeden bardzo ważny fakt, o istnieniu takiego konta wiedzą osoby potencjalnie chcące włamać się do naszego systemu. Niestety też bardzo często to wbudowane konto systemowe używane jest jako główne konto służące do zarządzania serwerami w domenie. Rozwiązanie takie jest niestety bardzo niebezpieczne.
Warto więc zabezpieczyć się przed ewentualnym atakiem na konto administratora. Najprościej jest oczywiście wyłączyć konto "Administrator". Można pójść jednak o krok dalej i stworzyć "oszukańcze" konto "Administrator". Rozwiązanie takie jest bardzo popularne i warto zapoznać się z tą metodą zabezpieczenia naszych serwerów.
W tym celu otwieramy
Active Directory Users and Computers. Pierwszym krokiem jest zmiana nazwy użytkownika z "administrator" na inne, choćby "nasze.imie.i.nazwisko". W następnym kroku tworzymy nowe konto użytkownika, jako nazwę wpisujemy
administrator, natomiast jako opis wpisujemy
Built-in account for administering the computer/domain. Rozwiązanie takie umożliwi ograniczyć próby zalogowania się na to standardowe konto. Warto stosować to jako dobra praktykę w administrowaniu Windows Server.
Edit:
Po komentarzu (dzięki za zwrócenie uwagi na temat) jednego z użytkowników pozwolę sobie nieco poszerzyć temat zmiany nazwy użytkownika. A mianowicie przedstawiona metoda jest tzw. metodą zabezpieczania przez ukrywanie. Niestety bardzo słabą, gdyż
SID każdego konta administratora kończy się cyfrą "
500". To z kolei pozwala w łatwy sposób namierzyć SID, który będzie odpowiadał kontu administratora.
W sytuacji posiadania odpowiedniego identyfikatora wystarczy posłużyć się taki narzędziami jak
SID2USER lub USER2SID by uzyskać nazwę potrzebną do logowania. W tej sytuacji wszelkie staranie mające na celu zabezpieczenie tego konta nie przynoszą rezultatu.
Podsumowując najlepszym rozwiązaniem w takim wypadku jest wyłączenie takiego konta. Bardzo dobrym rozwiązaniem w tym wypadku jest wyłączenie kont Administratora na wszystkich serwerach za pomocą Group Policy. W tym celu otwieramy ścieżkę:
Computer Configuration ->
Windows Settings ->
Security Settings ->
Local Policies ->
Security Options ->
Accounts: Administrator account status.
oraz wyłączamy konta wybierając
Disabled.
Kolejny problem pojawia się w systemach wcześniejszych niż Windows Server 2003 gdzie konta administratora nie da się wyłączyć. W takim wypadku pozostaje jedynie zastosowanie mocnego hasła. Inną kwestią oczywiście jest, że mocne hasła powinny się znajdować na każdym koncie o dużych uprawnieniach.
PS. Dużo ciekawych opinii na temat zabezpieczania przez ukrywanie możecie znaleźć w tej
debacie.
Źródło screenów: www.windowsecurity.comEtykiety: Administracja, Bezpieczeństwo
Nie zapomnijcie zaktualizować swojego Windowsa
Ostatnimi czasy rozpocząłem subskrypcję witryny
Locos Bezpieczeńtwo i Audyt IT, która codziennie przynosi sporo nowości w temacie bezpieczeństwa w sieci i nie tylko. Postanowiłem przekazać jedną informację, która wydaję się być mocno ważna z perspektywy osób zajmujących się administracją systemów Windows Server, a którą to znalazłem na tej wartościowej witrynie.
CERT Polska donosi o mocno zwiększonej aktywności wirusów opartych o
błąd krytyczny systemów Windows umożliwiający wykonanie dowolnego kodu na zaatakowanym systemie. Zgodnie z raportem opublikowanym przez
CERT ruch na porcie 445/TCP wykorzystywanym przez omawiane wirusy wzrósł kilkakrotnie, natomiast liczba komputerów generujących ten ruch wzrasta w równie szybkim tempie.
Oznacza to nie mniej ni więcej, że komputery te nie są odporne na atak robaków W32/Conficker.worm oraz W32.Downadup. Warto więc sprawdzić czy wypuszczona 24.10 aktualizacja znajduje się na naszym komputerze/serwerze.
>>>
Krytyczny biuletyn bezpieczeństwa MS08-067Etykiety: Administracja, Bezpieczeństwo, News
