Windows 2000 v doméně? Letos? Aneb penetrační testy in-house.

Ano, je to tak. Hříčkou osudu se mi dostalo té možnosti, zabezpečit několik desítek PCček, na kterých běží Windows 2000 česky (SP4) tak, aby bylo možno je provozovat v doméně jedné společnosti. Počítače, které až doposud běžely jako izolované stanice, dobré duše připojili do LAN (via ethernet), což je první velehřích (správný postup je nejprve provést vulnerability assessment – tedy průzkum zranitelností – a poté dobře rozvážit další postup).

 

 

Zdroj: Intelliadmin.com

 

Díry v operačním systému

Vulnerability assessment ukázal celkem očekávatelné výsledky. Stroje, které nikdy nebyly na síti, neměly aktualizovanou databázi patchů a updatů (alespoň u sledovaného operačního systému). Software (resp. benchmark výsledků více produktů) ukázal okolo 200 vážných nebo středně vážných zranitelností (podle metodiky Common Vulnerabilities and Exposures). K řešení tohoto velmi smutného stavu existuje více řešení:

  1. Provést upgrade na minimálně na Windows XP SP3 + aktuální updaty (doporučuji však s ohledem na blížící se konec grace-time pro systém XP zkusit Windows 7) – nevýhodou tohoto postupu je, že (protože se jedná o PC s mnohým proprietárním software a hardware) můžeme narazit buď na bariéru neproveditelnosti (software není podporován pro novější OS), financí (reinstalace a nastavení software je formou SLA za poplatek, který, zvláště u zahraniční podpory, nebývá malý) anebo časový (problém u non-stop provozovaných PC),
  2. provést update pomocí ručně stažených záplat – nevýhodou je jednak zdlouhavost stahování (pro těch ca. 200 záplat/souborů je to okolo 500 MB dat), kterou lze „ošulit“ tím, že vybereme pouze poslední verze, které nahrazují předchozí. Smutné je, že pokud již nepoužíváme nějakou obezličku, jak tyto „aktuální“ záplaty vyseparovat, čas ušetřený za stahování všeho investujeme do selekce. A ještě smutnější je, že Microsoft u svých patchů uvádí nahrazení jen pro patche do roku ca. 2009. U starších updatů nelze jednoduše (tedy časově nenáročně) genezi zjistit,
  3. Nakousnout téma jiného operačního systému/HW – tím mám na mysli například unix-based OS (software) nebo PLC zařízení (hardware). Nevýhodou je silné riziko nekompatibility výrobce aplikací (pro Linux) a/nebo neochota kolegů přijmout jinou filozofii.

V současné době se pro podmínky zmíněné společnosti přikláním ke kombinaci bodů 1 a 2. Tam, kde to bude přijatelné, nahradím OS novějším, zbytek zapatchuji. O průběhu se dozvíte v dalším článku.

Porty, porty, porty

Dalším (obecně) bolavým místem, druhým velehříchem, jsou otevřené porty. A to ty, které vůbec otevřené být nemusí nebo dokonce nesmí. I zde dokázal šikovný čmuchal zjistit velké trhliny ve správě stanic z hlediska bezpečnosti. Problém má dva úhly pohledu. Hledisko výrobce aplikací (a otvíračů portů) a hledisko operačního systému/jiných aplikací (zavírače portů). Hlubší analýzou (= ústním dotazem na kompetentní osoby) bylo zjištěno, že mnohé proprietární aplikace nejsou vyráběny v souladu s bezpečnými postupy pro vývoj aplikací (protože žádné takové postupy na místě neexistují). Windows 2000 samy o sobě nemají built-in firewall (tak jako XP a vyšší). Bude tedy nutné ve spolupráci s kompetentními osobami analyzovat jednotlivé porty na jednotlivých PC (uf uf) a dohodnout jejich uzavření, ideálně do stavu filtered. U Windows 2000 to tedy bude znamenat vybrat nějaký vhodný softwarový firewall.

Lokální účty, lokální prales

Chytrý software také odhalil další, třetí velehřích. Lokální účty jsou buď s právy lokálního administrátora (instalace, odinstalace čehokoliv) a/nebo defaultní lokální administrátorský účet bez hesla. Co hůř, každý lokální účet s administrátorskými právy bez hesla. Více otevřít brány do útrob PC nelze. Tedy, bude třeba vyřešit situaci, aby uživatel zvyklý na automatické přihlášení, nemusel ani po přidání PC do domény psát heslo, a také to, zda vůbec musí takový uživatel disponovat oprávněním vyšším, než domain user, resp. local user. Opět je zde značný prostor pro kávu a konverzaci s kompetentními osobami.

Před přidáním do domény

Zatím jde o hudbu blízké budoucnosti, protože ještě nejsou provedeny „technické“ práce zmíněné výše. Nicméně, již nyní je dobré se zamyslet nad tím, jak bude prováděno přihlašování do domény (jakým účtem/účty, jaký musí mít účet práva, jestli bude login probíhat automaticky nebo ručně atd.), stejně jako nad jmennou konvencí PCček.

V dalším článku se budeme zabývat poimplementačním stavem PCček (ať už po záplatách nebo po upgradu OS). Jaké jsou vyhlídky, co s otevřenými porty a co jsme udělali s jmennou konvencí a přihlašováním.