Windows 2000, utahování šroubů

V předchozím článku o Windows 2000, která jsou stále používaná na několika desítkách PC, jsem se zaměřil na zjišťování děr. Penetračními nástroji byly zjištěny velice ošklivé věci. Tak například to, že OS tím, že PC nebylo v LAN, prošvihl updaty.

Vivisekce

Pro názorný příklad si vezmeme jeden kousek. Chytrý kus software, zvaný Nessus, našel 197 velmi vážných, 27 středně vážných a 43 ne až tak vážných zranitelností. Všechny byly způsobeny neaktualizací operačního systému. Protože by však nebylo dobré toto „divoké“ PC rovnou řadit do domény pod WSUS politiku (která už mimochodem vlastně stejně neposílá updaty na W2000 stroje – nepodporováno Microsoftem), došlo na mravenčí práci. Tj. stažení záplat po jedné. Tento úkon mi trval ca. 4 hodiny času. Už jsem zmiňoval, že některé patche nahradily starší, nicméně tato informace není aplikovatelná na celé období podpory. Starší updaty (< 2007) bylo tedy nutno stáhnout a instalovat všechny.

Druhou vychytávkou bylo přečíslování, resp. přesměrování KB identifikátorů updatů :-). Mírně jsem se tedy zprvu podivil, že mi stále chybí některé patche doinstalovat. Jsou totiž uvedeny pod jiným jménem na homepage konkrétního patche 959454 (např. http://www.microsoft.com/technet/security/Bulletin/MS09-012.mspx)  a stránky ke stažení patche 952004 (viz http://www.microsoft.com/downloads/en/details.aspx?FamilyID=52B756E7-636F-4D9E-8A17-DBF467BFBE4D&displaylang=en). Pro ty, které čeká podobný úkol, uvedu pro pořádek seznam „přečíslovaných“ patchů:

907245 -> 901017

908519 -> 912919

947890 -> 943055

953230 -> 951748

959807 -> rozpad na 954600, 952069 a 952068

959454 -> 952004

975539 -> 973904

U konkrétního jmenovaného stroje chybělo dostahovat celkem 137 patchů, z nichž 74 vyžaduje restart (není nutný okamžitý, lze jej odložit a vyhnout se tak bootování po každém takovém patchi). Díky tomu zabrala instalace necelých 100 minut čistého času (starý Intel Celeron 2,4 GHz @ 256 MB RAM).

Po „zapatchování“ PC se bilance zranitelností snížila ze 197/27/43 (vážné/střední/nevážné) na 1/0/28, přičemž tou jedinou vážnou zranitelností je varování, že používám nepodporovaný operační systém (tedy Windows 2000).

Co na to proprietární software?

Po aplikaci patchů a následném restartu proběhlo vše normálně, systém nabootoval, autologin proběhl, autostart software prošel, takže vše fungovalo tak, jako před touto akcí. To, co zbývalo vyřešit (kromě hrubě hloupého nezaheslovaného lokálního admina) byl právě autologovací lokální účet. Byl totiž v uživatelské skupině „Administrators“, což samozřejmě nedělá dobrotu (odkdy si může kdokoliv, kdo zapne počítač, instalovat cokoliv co ho napadne a dělat změny v operačním systému, že?). Po snížení role na „User“ ovšem přestal fungovat proprietární software.

Řešením je určit v zásadách zabezpečení, co vše může skupina „Users“ s počítačem dělat. To se hodí v případě, že chci počítač vložit do domény a účet doménového uživatele vložit do lokální skupiny „Users“. V plánu totiž byl autologin pomocí doménového účtu (viz příští článek). Kam se tedy podívat? Velice snadné:

Ovládací panely \ Nástroje pro správu \ Místní nastavení zabezpečení \ Místní zásady \ Přiřazení uživatelských práv

Co už jednoduché nebylo, bylo najít, který parametr použít. Dodavatel si už, vzhledem k několikaletému časovému odstupu a absenci dokumentace, nepamatoval ni zbla a tak došlo na metodu pokud omyl (= nastavit všude Users a postupně odebírat, restartovat, odebírat, restartovat…). Nakonec se zadařilo a software funguje i s okleštěnými oprávněními.

Shrnutí

Počítač se podařilo bezproblémově ošetřit z hlediska známých zranitelností a ve vztahu ke specifickému software. Operace byla vzhledem k době zanedbávání časově náročnější (s ohledem na ostatní úkoly, které je třeba dělat) a bylo potřeba trochu hledat, ale výsledek stojí za to.

Odkazy: