8
kapitola
Konfigurace zabezpebení systému Windows 88
212
Kapitola 8 – Konfigurace zabezpedení systému Windows
Obsah kapitoly: 8.1 Nastavení oprávnení pro klíbe ............................................................................ 213 8.2 Mapování výchozích oprávnení ...........................................................................217 8.3 Pevzetí vlastnictví klíb ..................................................................................... 222 8.4 Auditování pístupu k registru............................................................................ 222 8.5 Zamezení místnímu pístupu k registru.............................................................. 224 8.6 Zamezení vzdálenému pístupu k registru ......................................................... 224 8.7 Zavedení šablon zabezpebení ............................................................................. 225 8.8 Konfigurace nových funkcí zabezpebení............................................................. 232 8.9 Nastavení utajení osobních údaj v prohlížebi Internet Explorer ..................... 234 8.10 Zóny zabezpebení v prohlížebi Internet Explorer ............................................. 235 Zabezpe²ení nepat½í v rámci registru k zajímavým témat¾m a není ani p½íliš oblíbené. Jedná se však o jeden z nejd¾ležitµjších prvk¾ dnešních informa²ních technologií. Zabezpe²ení má stovky aspekt¾, v této kapitole se ale zamµ½íme jen na jeden: registr. M¾žete zmµnit seznam ACL (Access Control List) klí²e. Klí²e lze auditovat. M¾žete také p½evzít vlastnictví klí²¾. Žádnou z tµchto možností však nem¾žete využít u samostatných hodnot, jako tomu je u jednotlivých soubor¾. Zkušení uživatelé se o zabezpe²ení registru obvykle p½íliš nezajímají, IT profesionálové však ²asto nemají jinou volbu. Možnost upravovat seznamy ACL však neznamená, že byste tak mµli ²init. Zmµna zabezpe²ení registru není dobrý nápad, pokud k ní nemáte ur²itý d¾vod. V nejlepším p½ípadµ provedete zmµnu, která není podstatná. V horším p½ípadµ byste mohli zp¾sobit chybné fungování systému Microsoft Windows XP nebo serveru Windows Server 2003. Pro² tedy má zabezpe²ení registru své místo v této knize? M¾že dojít k situacím, kdy musí IT profesionálové zmµnit výchozí oprávnµní registru pro zavedení softwaru. To se zcela liší od provádµní úprav v zabezpe²ení registru jen ze zvµdavosti. Uživatelé mohou mít nap½íklad aplikaci, kterou lze spouštµt pouze v p½ípadµ, že se do opera²ního systému p½ihlásí jako ²lenové skupiny Administrators. V podnikovém prost½edí však ur²itµ nechcete do této skupiny za½azovat všechny uživatele. £ešením je zavedení systému Windows s vlastními oprávnµními, aby uživatelé mohli takové programy spouštµt jako ²lenové skupiny Power Users nebo Users. Protože je tento p½ípad nej²astµjší, zamµ½uje se na nµj tato kapitola p½edevším. Vlastní oprávnµní m¾žete nasadit dvµma zp¾soby. Prvním z nich je ru²ní nastavení. Pro úplnost si ukážeme, jak zmµnit oprávnµní klí²e v editoru Registry Editor (Regedit). Poté vytvo½íte šablonu zabezpe²ení s vlastními oprávnµními registru a následnµ ji uplatníte pro požadovaný po²íta². Nebudete však muset bµhat od po²íta²e k po²íta²i a nasazovat šablonu; p½ed zavedením za½adíte danou šablonu do obraz¾ disk¾. Druhou metodou je použití Group Policy. Vytvo½íte objekt GPO (Group Policy Object) a potom do nµj importujete šablonu zabezpe²ení pro vytvo-
Nastavení oprávngní pro klíde
213
Windows XP Service Pack 2 (SP2) a Windows Server 2003 Service Pack 1 (SP1) nabízí velký po²et nových funkcí zabezpe²ení. Nap½íklad Windows Security Center pomáhá uživatel¾m s konfigurací zabezpe²ení na maximální úrove¹ ochrany. Windows Firewall brání nežádoucímu p½ístupu k po²íta²¾m, což umož¹uje bezpe²nµjší procházení sítí Internet a otevírání p½íloh elektronických zpráv. V této kapitole nebudeme tyto funkce probírat podrobnµ; místo toho si vysvµtlíme, jak používat registr k jejich úpravám. Více informací o funkcích zabezpe²ení v opravném balí²ku Windows XP SP2 získáte na internetové adrese http://www.microsoft.com/windowsxp/sp2/ default.mspx. Další informace o funkcích zabezpe²ení v opravném balí²ku Windows Server 2003 SP1 naleznete na internetové adrese http://www.microsoft.com/technet /prodtechnol/windowsserver2003/servicepack/default.mspx.
8.1 Nastavení oprávngní pro klíde Zabezpe²ení registru se podobá zabezpe²ení systému soubor¾. Rozdíl je pouze v tom, že m¾žete nastavit pouze oprávnµní pro klí²e, ne pro hodnoty. Dialogová okna vypadají podobnµ, stejnµ jako oprávnµní atd. Neznáte-li základní principy zabezpe²ení, vµnujte nejd½íve chvíli jejich p½ehledu v Help and Support Center. Základní principy v této kapitole nenaleznete, p½edpokládáme, že jste IT profesionálové a základy zabezpe²ení jsou vám tedy známé. Pokud máte úplnou kontrolu nad klí²em registru nebo jej p½ímo vlastníte, m¾žete upravovat oprávnµní pro uživatele a skupiny v seznamu ACL klí²e: 1. V editoru Regedit klepnµte na klí² se seznamem ACL, který chcete upravit. 2. V nabídce Edit (Úpravy) zvolte p½íkaz Permissions (Oprávnµní) (viz obrázek 8.1). 3. V seznamu Group Or User Names (Jméno skupiny nebo uživatele) klepnµte na uživatele nebo skupinu, u kterých chcete upravit oprávnµní, a poté ozna²te zaškrtávací polí²ko ve sloupci Allow (Povolit) nebo Deny (Odep½ít), ²ímž povolíte nebo zakážete tato oprávnµní: Full Control (Úplné ¾ízení). P½idµlí uživateli nebo skupinµ oprávnµní pro otev½ení, úpravu a p½evzetí vlastnictví klí²e. Toto oprávnµní v podstatµ dává úplnou kontrolu nad klí²em. Read (íst). P½idµlí uživateli nebo skupinµ oprávnµní pro ²tení obsahu klí²e, není však možné ukládat provedené zmµny. Toto oprávnµní umož¹uje pouze °tení. Special Permissions (Zvláštní oprávn¶ní). P½idµlí uživateli nebo skupinµ speciální kombinaci oprávnµní. Pro p½idµlení speciálních oprávnµní klepnµte na tla²ítko Advanced (Up½esnit). O nastavení tohoto oprávnµní se více dozvíte v ²ásti „P½i½azení speciálních oprávnµní“ dále v této kapitole.
Registr ve správ?
½ení zásady zabezpe²ení pro vaši síÆ. Systém Windows automaticky uplatní vlastní oprávnµní z vaší šablony pro po²íta² a uživatele, jež jsou v oblasti p¾sobení objektu GPO. V této knize se p½íliš nehovo½í o Group Policy, avšak poslední ²ást v kapitole 7, „Zásady založené na registru“, uvádí mnoho dobrých a navíc bezplatných zdroj¾ informací k tomuto tématu.
214
Kapitola 8 – Konfigurace zabezpedení systému Windows
OBRÁZEK 8.1: Toto dialogové okno se tém?d shoduje s dialogovým oknem pro zabezpe:ení systému souborS.
Zaškrtávací polí²ka v oblasti Permissions For (Oprávnµní pro) Název nµkdy nejsou aktivní. Nem¾žete je zmµnit. D¾vodem je to, že klí² zdµdí dané oprávnµní z nad½azeného klí²e. Dµdi²nosti oprávnµní lze zabránit a postup se nau²íte dále v této kapitole v ²ásti „P½i½azení speciálních oprávnµní“. Tip Dob¯e, pohr·li jste si. Upravili jste zabezpeËenÌ registru a uspokojili svou zvÏdavost; co teÔ? P˘vodnÌ opr·vnÏnÌ m˘ûete snadno obnovit pomocÌ öablony Setup Security. S postupem se sezn·mÌte v Ë·sti Ñ⁄prava konfigurace poËÌtaËeî d·le v tÈto kapitole.
Pidání uživatel do seznam ACL Do existujícího seznamu ACL m¾žete p½idat uživatele nebo skupiny: 1. V nástroji Regedit klepnµte na klí² se seznamem ACL, který chcete upravit. 2. V nabídce Edit (Úpravy) zvolte p½íkaz Permissions (Oprávnµní) a klepnµte na tla²ítko Add (P½idat). 3. V dialogovém oknµ Select Users, Computers, Or Groups (Vyberte uživatele, po²íta²e nebo skupiny) vyberte možnost Locations (Umístµní) a poté klepnµte na po²íta², doménu nebo organiza²ní jednotku, kde chcete vyhledat uživatele nebo skupinu pro p½idání do seznamu ACL klí²e. 4. Do pole Enter The Object Names To Select (Zadejte názvy objekt¾ k výbµru) zadejte název uživatele nebo skupiny, které chcete p½idat do seznamu ACL klí²e, a poté klepnµte na tla²ítko OK. 5. V seznamu Permissions For (Oprávnµní pro) Název nastavte ozna²ením zaškrtávacího polí²ka Allow (Povolit) nebo Deny (Odep½ít) oprávnµní, které chcete p½idµlit uživateli ²i skupinµ.
Nastavení oprávngní pro klíde
215
P½idání uživatel¾ do seznamu ACL klí²e si dovedu p½edstavit jen v jednom skute²ném p½ípadµ, kdy povolíte skupinµ p½ístup k registru po²íta²e prost½ednictvím sítµ (viz ²ást „Zamezení vzdálenému p½ístupu k registru“ dále v této kapitole). Jinak je p½idání uživatele ²i skupiny do seznamu ACL klí²e vhodné pro rychlou opravu, pokud aplikace nem¾že p½istupovat k nastavení, která pot½ebuje p½i spuštµní. Obecnµ ½e²eno zp¾sobí p½idání uživatel¾ nebo skupin do seznamu ACL klí²e jen málo škody, nejste-li však opatrní, m¾žete otev½ít mezery v zabezpe²ení systému Windows, kterými pak mohou uživatelé a hacke½i projít. Jestliže budete muset danou úpravu provést u více než jednoho po²íta²e nebo uživatele, mµli byste zvážit její zavedení v podobµ šablony zabezpe²ení. (Viz „Zavedení šablon zabezpe²ení“ dále v této kapitole.)
Odebrání uživatel ze seznam ACL Uživatele nebo skupinu odeberete ze seznamu ACL klí²e následujícím zp¾sobem: 1. V nástroji Regedit klepnµte na klí² se seznamem ACL, který chcete upravit. 2. V nabídce Edit (Úpravy) zvolte p½íkaz Permissions (Oprávnµní). 3. Ur²ete uživatele ²i skupinu pro odebrání a klepnµte na tla²ítko Remove (Odebrat). UpozornÏnÌ P¯i odebÌr·nÌ skupin ze seznam˘ ACL klÌˢ buÔte opatrnÌ. Seznamy ACL, kterÈ v systÈmu Windows vidÌte po instalaci (Setup Security), p¯edstavujÌ zpravidla minimum vyûadovanÈ pro uûivatele ke spuötÏnÌ a pouûÌv·nÌ operaËnÌho systÈmu. OdstranÌte-li z klÌËe skupinu Users nebo Power Users, nemohou uûivatelÈ v dan˝ch skupin·ch ËÌst hodnoty klÌˢ, coû pravdÏpodobnÏ povede k poökozenÌ operaËnÌho systÈmu nebo aplikace. Pokud se odv·ûÌte odebrat z klÌËe skupinu Administrators, moûn· nebudete moci spravovat poËÌtaË v˘bec. Odebr·nÌ jednotliv˝ch uûivatel˘ ze seznamu ACL klÌËe vöak nemusÌ b˝t nezbytnÏ öpatnÈ. SystÈm Windows nep¯idÏluje opr·vnÏnÌ jednotliv˝m uûivatel˘m, takûe tato opr·vnÏnÌ mohla vzniknout chybnÏ. Nikdy byste ale nemÏli odebÌrat uûivatele ze seznam˘ ACL jejich podregistr˘ profil˘. Jestliûe tak uËinÌte, zabr·nÌte jim v p¯Ìstupu k jejich vlastnÌm nastavenÌm, nad kter˝mi by mÏli mÌt ˙plnou kontrolu.
Pidglení speciálních oprávngní Speciální oprávnµní vám nabízejí vµtší kontrolu nad seznamem ACL klí²e než základní oprávnµní Full Control a Read. Uživatel¾m m¾žete povolit nebo zakázat schopnost vytvá½et podklí²e, nastavovat hodnoty, ²íst hodnoty atd. M¾žete být velmi podrobní. Postupujte takto: 1. V nástroji Regedit klepnµte na klí² se seznamem ACL, který chcete upravit. 2. V nabídce Edit (Úpravy) zvolte p½íkaz Permissions (Oprávnµní). 3. V seznamu Group Or User Names (Jméno skupiny nebo uživatele) ur²ete uživatele ²i skupinu pro úpravu oprávnµní. V p½ípadµ pot½eby p½idejte uživatele nebo skupinu do seznamu. Poté klepnµte na tla²ítko Advanced (Up½esnit).
Registr ve správ?
Tip V kroku 4 zad·te celÈ jmÈno nebo Ë·st jmÈna uûivatele Ëi skupiny pro p¯id·nÌ do seznamu ACL klÌËe. Nezn·te-li jmÈno, m˘ûete je vyhledat. Pokud je to moûnÈ, omezte svÈ vyhled·v·nÌ nejd¯Ìve zvolenÌm umÌstÏnÌ podle kroku 3. PotÈ klepnÏte na tlaËÌtko Advanced a moûnost Find Now. Vyberte n·zev uûivatele nebo skupiny pro p¯id·nÌ a klepnÏte na tlaËÌtko OK. V˝sledky m˘ûete jeötÏ vÌce z˙ûit klepnutÌm na tlaËÌtko Object Types a n·sledn˝m zruöenÌm oznaËenÌ zaökrt·vacÌho polÌËka Built-In Security Principals.
216
Kapitola 8 – Konfigurace zabezpedení systému Windows
4. Poklepejte na skupinu nebo uživatele, kterému chcete p½idµlit speciální oprávnµní. Zobrazí se dialogové okno Permissions For (Oprávnµní pro) Název, které vidíte na obrázku 8.2.
OBRÁZEK 8.2: Speciální oprávn?ní vám dávají pdesn?jší kontrolu nad oprávn?ními uživatele :i skupiny. Pdid?lení speciálních oprávn?ní je však obvykle zbyte:né.
5. V rozbalovacím seznamu Apply Onto (Použít pro) vyberte jednu z následujících možností: This Key Only (Pouze tento klí³). Uplatní oprávnµní pouze pro vybraný klí². This Key And Subkeys (Tento klí³ a podklí³e). Uplatní oprávnµní pro vybraný klí² a všechny jeho podklí²e. Jinými slovy, oprávnµní budou použita pro celou vµtev. Subkeys Only (Pouze podklí³e). Uplatní oprávnµní pro všechny podklí²e, ale ne pro samotný klí². 6. V seznamu Permissions (Oprávnµní) ozna²te zaškrtávací polí²ko Allow (Povolit) nebo Deny (Odep½ít) pro každé oprávnµní, které chcete povolit nebo zakázat: Full Control (Úplné ¾ízení). Všechna následující oprávnµní. Query Value (Hodnota dotazu). Ìtení hodnoty z klí²e. Set Value (Nastavit hodnotu). Nastavení hodnoty v klí²i. Create Subkey (Vytvo¾it podklí³). Vytvá½ení podklí²¾ v klí²i. Enumerate Subkeys (Vytvá¾et vý³ty podklí³¿). Ur²ení podklí²¾ klí²e. Notify (Oznámit). P½íjem oznámení událostí z klí²e. Create Link (Vytvá¾et propojení). Vytvá½ení symbolických odkaz¾ v klí²i. Delete (Odstranit). Odstranµní klí²e nebo jeho hodnot. Write DAC (Zapsat DAC). Zápis libovolného seznamu ACL klí²e. Write Owner (Zapsat vlastníka). Zmµna vlastníka klí²e. Read Control (¤ízení ³tení). Ìtení libovolného seznamu ACL klí²e.
Na tomto místµ se musíme zmínit o dµdi²nosti. Je-li dµdi²nost povolena, podklí²e zdµdí oprávnµní svých nad½azených klí²¾. Jinými slovy, pokud dá klí² skupinµ úplné ½ízení, bude mít tato skupina kontrolu i nad všemi podklí²i tohoto klí²e. Když zobrazíte seznamy ACL podklí²¾, je zaškrtávací polí²ko Allow (Povolit) vedle možnosti Full Control (Úplné ½ízení) pro danou skupinu neaktivní, protože nem¾žete zmµnit zdµdµná oprávnµní. Pro konfiguraci dµdi²nosti m¾žete u²init dvµ vµci. M¾žete zabránit tomu, aby podklí² zdµdil oprávnµní svého nad½azeného klí²e: V dialogovém oknµ Advanced Security Settings For Klí¶ zrušte ozna²ení zaškrtávacího polí²ka Inheritable Permission (Zdµdµná oprávnµní). M¾žete také nahradit seznamy ACL podklí²¾, ²ímž efektivnµ obnovíte celou vµtev tak, aby odpovídala seznamu ACL klí²e: Ozna²te zaškrtávací polí²ko Replace Permission Entries On All Child Objects With Entries Shown Here That Apply To Child Objects (Nahradit položky oprávn¶ní ve všech pod¾ízených objektech zde zobrazenými položkami platnými pro pod¾ízený objekt).
8.2 Mapování výchozích oprávngní Seznámení s výchozími oprávnµními registru je užite²né, pokud jste IT profesionálem, který nasazuje software. Budete-li vµdµt, zda ²lenové skupiny Users mohou mµnit ur²itá nastavení, pom¾že vám to testovat aplikace p½ed zavedením a zjistit, zda budou s výchozími oprávnµními fungovat. Jestliže zjistíte, že aplikace pracuje s výchozími oprávnµními správnµ, je p½ipravena k zavedení. Pokud tomu tak nebude, musíte buÅ opravit program, nebo zmµnit p½íslušná oprávnµní klí²e. Nejjednodušším zp¾sobem je samoz½ejmµ použití šablon zabezpe²ení. Nejd½íve musíte znát t½i základní skupiny v systému Windows: Users, Power Users a Administrators. Prost½ednictvím tµchto skupin nabízí systém Windows r¾zné úrovnµ p½ístupu v závislosti na pot½ebách každé ze skupin: Users. Tato skupina má nejvyšší úrove¹ zabezpe²ení, protože její výchozí oprávnµní neumož¹ují ²len¾m mµnit data opera²ního systému nebo jiná uživatelská nastavení. Uživatelé v této skupinµ obecnµ nemohou mµnit nastavení opera²ního systému a aplikací. Obvykle mezi nµ pat½í programy ur²ené pro systém Windows, které správci nasadí do po²íta²¾ uživatel¾. Tato skupina také dává svým uživatel¾m úplnou kontrolu nad vším v uživatelských profilech, v²etnµ podregistr¾ profil¾ (HKCU). IT profesionálové se ²asto vyhýbají za½azení uživatel¾ do této skupiny, protože její ²lenové obvykle nemohou spouštµt starší aplikace. Než abyste za½azovali uživatele do jiné skupiny, mµli byste tento problém ½ešit uplatnµním kompatibilní šablony zabezpe²ení (viz ²ást „Zavedení šablon zabezpe²ení“ dále v této kapitole). Power Users. Tato skupina poskytuje zpµtnou kompatibilitu pro spuštµné programy, které nejsou certifikovány pro systém Windows. Výchozí oprávnµní dávají této skupinµ schopnost zmµnit mnoho nastavení opera²ního systému a program¾. Pokud používáte starší aplikace, které uživatelé nemohou spouštµt jako ²lenové skupiny Users, a nechystáte se využít šablony zabezpe²ení, mµli byste uživatele p½idat do skupiny Power Users a umožnit tak spouštµní aplikací. Tato skupina však má dostate²ná oprávnµní pro instalaci vµtšiny aplikací; ²lenové nemohou zmµnit soubory opera²ního systému nebo instalovat služby.
217
Registr ve správ?
Mapování výchozích oprávngní
218
Kapitola 8 – Konfigurace zabezpedení systému Windows
Oprávnµní p½idµlená ²len¾m skupiny Power Users jsou zhruba uprost½ed mezi skupinami Users a Administrators. Podobá se skupinµ Users v systému Microsoft Windows NT 4.0, ovšem ²lenové této skupiny se opravdu nemohou sami p½idat do skupiny Administrators. Administrators. Tato skupina poskytuje úplnou kontrolu nad celým po²íta²em. Její ²lenové mohou zmµnit soubory opera²ního systému a aplikací. Mohou zmµnit všechna nastavení v registru. Také mohou p½evzít vlastnictví nad klí²i a zmµnit seznam ACL klí²e. IT profesionálové mají ²asto tendence p½idat uživatele do této skupiny, aby se vyhnuli potížím p½i zavedení aplikací, jejichž instalace by jinak byla složitá. To byste však nemµli dµlat. Protože uživatelé v této skupinµ mohou na sv¾j po²íta² cokoli instalovat nebo zmµnit libovolné nastavení, mají viry široké pole p¾sobnosti a zárove¹ m¾že dojít k lidské chybµ. Abyste zabezpe²ili po²íta²e v podnikovém prost½edí a zkrátili dobu ne²innosti, ponechejte tuto skupinu pro skute²né správce. P½estože jste sami správcem, používejte ze stejných d¾vod¾ sv¾j po²íta² jako ²len skupiny Power Users. Pot½ebujete-li provést ur²itý úkol správy, použijte sekundární p½ihlášení pro spuštµní programu jako ²len skupiny Administrators: stisknµte klávesu Shift a p½itom klepnµte pravým tla²ítkem myši na zástupce programu, zvolte p½íkaz Run As a poté zadejte jméno a heslo ú²tu, který chcete použít ke spuštµní programu. Tabulka 8.1 popisuje výchozí oprávnµní registru po ²isté instalaci systému Windows. (Tato oprávnµní neplatí pro ½adi²e domény serveru Windows 2003 Server.) Nezapomínejte, že výsledná oprávnµní se liší v p½ípadµ, že p½echázíte ze starší verze systému Windows na verzi Windows XP nebo Windows Server 2003. Uvádµná oprávnµní jsou ze šablony zabezpe²ení, kterou použijete k obnovení systému Windows. Zamµ½il jsem se na skupiny Users a Power Users, protože jsou primárním aspektem. Ve vµtšinµ tµchto p½ípad¾ má skupina Administrators úplné ½ízení, stejnµ jako vestavµné ú²ty Creator Owner a System. Vµtšinou – ne však vždy – nahrazují oprávnµní klí²e všechna oprávnµní podklí²¾. Dµje se tak díky dµdi²nosti, s kterou jste se seznámili v p½edchozí ²ásti. Když ve sloupci Power Users uvidíte slovo Special, znamená to, že skupina má v daném klí²i zvláštní oprávnµní (a vµtšinou v podklí²ích) a obvykle se jedná o schopnost upravovat hodnoty. Skupina Power Users však nezíská oprávnµní Full Control (Úplné ½ízení), Create Link (Vytvo½it propojení), Change Permissions (Oprávnµní) nebo Take Ownership (P½evzít vlastnictví) pro nµkterý z klí²¾ v registru. Na této tabulce je zajímavé to, že systém Windows dává skupinµ Users oprávnµní Read a skupinµ Power Users speciální oprávnµní pro všechny položky HKLM\SOFTWARE. Zbývající údaje v tabulce jsou výjimkou tohoto pravidla, které omezují p½ístup k ur²itým klí²¾m v HKLM\SOFTWARE. TABULKA 8.1: V˝chozÌ opr·vnÏnÌ registru v systÈmu Windows Vgtev
Users
Power Users
hklm\software
Read
Special
hklm\software\classes
Read
Special
hklm\software\classes\.hlp
Read
Read
hklm\software\classes\helpfile
Read
Read
Vgtev
Users
Power Users
hklm\software\microsoft\ads\providers\ldap\extensions
Read
Read
hklm\software\microsoft\ads\providers\nds
Read
Read
hklm\software\microsoft\ads\providers\nwcompat
Read
Read
hklm\software\microsoft\ads\providers\winnt
Read
Read
hklm\software\microsoft\command processor
Read
Read
hklm\software\microsoft\cryptography
Read
Read
hklm\software\microsoft\cryptography\calais
None
None
hklm\software\microsoft\driver signing
Read
Read
hklm\software\microsoft\enterprisecertificates
Read
Read
hklm\software\microsoft\msdtc
None
None
hklm\software\microsoft\netdde
None
None
hklm\software\microsoft\non-driver signing
Read
Read
hklm\software\microsoft\ole
Read
Read
hklm\software\microsoft\protected storage system provider
None
None
hklm\software\microsoft\rpc
Read
Read
hklm\software\microsoft\secure
Read
Read
hklm\software\microsoft\systemcertificates
Read
Read
hklm\software\microsoft\upnp device host
Read
None
hklm\software\microsoft\windows nt\currentversion\accessibility
Read
Read
hklm\software\microsoft\windows nt\currentversion\aedebug
Read
Read
hklm\software\microsoft\windows nt\currentversion\asr\commands
Read
Read
hklm\software\microsoft\windows nt\currentversion\classes
Read
Read
hklm\software\microsoft\windows nt\currentversion\drivers32
Read
Read
hklm\software\microsoft\windows nt\currentversion\efs
Read
Read
hklm\software\microsoft\windows nt\currentversion\font drivers
Read
Read
hklm\software\microsoft\windows nt\currentversion\fontmapper
Read
Read
hklm\software\microsoft\windows nt\currentversion\ image file execution options
Read
Read
hklm\software\microsoft\windows nt\currentversion\inifilemapping
Read
Read
hklm\software\microsoft\windows nt\currentversion\perflib
None
None
hklm\software\microsoft\windows nt\currentversion\perflib\009
None
None
hklm\software\microsoft\windows nt\currentversion\profilelist
Read
Read
hklm\software\microsoft\windows nt\currentversion\secedit
Read
Read
hklm\software\microsoft\windows nt\currentversion\setup\recoveryconsole
Read
Read
219
Registr ve správ?
Mapování výchozích oprávngní
220
Kapitola 8 – Konfigurace zabezpedení systému Windows
Vgtev
Users
Power Users
hklm\software\microsoft\windows nt\currentversion\svchost
Read
Read
hklm\software\microsoft\windows nt\currentversion\terminal server\install\software\microsoft\windows\currentversion\runonce
Read
Read
hklm\software\microsoft\windows nt\currentversion\time zones
Read
Read
hklm\software\microsoft\windows nt\currentversion\windows
Read
Read
hklm\software\microsoft\windows nt\currentversion\winlogon
Read
Read
hklm\software\microsoft\windows\currentversion\explorer\ user shell folders
Read
Read
hklm\software\microsoft\windows\currentversion\group policy
None
None
hklm\software\microsoft\windows\currentversion\installer
None
None
hklm\software\microsoft\windows\currentversion\policies
None
None
hklm\software\microsoft\windows\currentversion\reliability
Read
Read
hklm\software\microsoft\windows\currentversion\runonce
Read
Read
hklm\software\microsoft\windows\currentversion\runonceex
Read
Read
hklm\software\microsoft\windows\currentversion\telephony
Read
Special
hklm\software\policies
Read
Read
hklm\system
Read
Read
hklm\system\clone
None
None
hklm\system\controlset001
None
None
hklm\system\controlset001\services\dhcp\configurations
Read
Read
hklm\system\controlset001\services\dhcp\parameters
Read
Read
hklm\system\controlset001\services\dhcp\parameters\options
Read
Read
hklm\system\controlset001\services\dnscache\parameters
Read
Read
hklm\system\controlset001\services\mrxdav\encrypteddirectories
None
None
hklm\system\controlset001\services\netbt\parameters
Read
Read
hklm\system\controlset001\services\netbt\parameters\interfaces
Read
Read
hklm\system\controlset001\services\tcpip\linkage
Read
Read
hklm\system\controlset001\services\tcpip\parameters
Read
Read
hklm\system\controlset001\services\tcpip\parameters\adapters
Read
Read
hklm\system\controlset001\services\tcpip\parameters\interfaces
Read
Read
hklm\system\controlset002
None
None
hklm\system\controlset003
None
None
hklm\system\controlset004
None
None
hklm\system\controlset005
None
None
hklm\system\controlset006
None
None
Vgtev
Users
Power Users
hklm\system\controlset007
None
None
hklm\system\controlset008
None
None
hklm\system\controlset009
None
None
hklm\system\controlset010
None
None
hklm\system\currentcontrolset\control\class
None
None
hklm\system\currentcontrolset\control\keyboard layout
Read
Read
hklm\system\currentcontrolset\control\keyboard layouts
Read
Read
hklm\system\currentcontrolset\control\network
Read
Read
hklm\system\currentcontrolset\control\securepipeservers\winreg
None
None
hklm\system\currentcontrolset\control\session manager\executive
None
Special
hklm\system\currentcontrolset\control\timezoneinformation
None
Special
hklm\system\currentcontrolset\control\wmi\security
None
None
hklm\system\currentcontrolset\enum
None
None
hklm\system\currentcontrolset\hardware profiles
None
None
hklm\system\currentcontrolset\services\appmgmt\security
None
None
hklm\system\currentcontrolset\services\clipsrv\security
None
None
hklm\system\currentcontrolset\services\cryptsvc\security
None
None
hklm\system\currentcontrolset\services\dnscache
Read
Read
hklm\system\currentcontrolset\services\ersvc\security
None
None
hklm\system\currentcontrolset\services\eventlog\security
None
None
hklm\system\currentcontrolset\services\irenum\security
None
None
hklm\system\currentcontrolset\services\netbt
Read
Read
hklm\system\currentcontrolset\services\netdde\security
None
None
hklm\system\currentcontrolset\services\netddedsdm\security
None
None
hklm\system\currentcontrolset\services\remoteaccess
Read
Read
hklm\system\currentcontrolset\services\rpcss\security
None
None
hklm\system\currentcontrolset\services\samss\security
None
None
hklm\system\currentcontrolset\services\scarddrv\security
None
None
hklm\system\currentcontrolset\services\scardsvr\security
None
None
hklm\system\currentcontrolset\services\stisvc\security
None
None
hklm\system\currentcontrolset\services\sysmonlog\log queries
None
None
hklm\system\currentcontrolset\services\tapisrv\security
None
None
hklm\system\currentcontrolset\services\tcpip
Read
Read
hklm\system\currentcontrolset\services\w32time\security
None
None
hklm\system\currentcontrolset\services\wmi\security
None
None
221
Registr ve správ?
Mapování výchozích oprávngní
222
Kapitola 8 – Konfigurace zabezpedení systému Windows
Vgtev
Users
Power Users
hku\.default
Read
Read
hku\.default\software\microsoft\netdde
None
None
hku\.default\software\microsoft\protected storage system provider
None
None
hku\.default\software\microsoft\systemcertificates\root\protectedroots None
None
ZjišÆování klí²¾, které aplikace používá, je ²áste²nµ vµda, ale spíše umµní. Nµkdy jednoduše otev½u binární soubor programu v textovém editoru a vyhledám ½etµzce vypadající jako klí²e. Ke sledování aktivity p½i spuštµní programu nej²astµji používám nástroj, jako je Winternals Registry Monitor (Regmon), s nímž se seznámíte v kapitole 10, „Vyhledávání nastavení v registru“. Poté zaznamenám r¾zné klí²e, na které program odkazuje, a zjistím, zda pro dané klí²e mµla požadovaná oprávnµní skupina Users nebo Power Users. Dob½e fungující aplikace hlásí chyby, když nemohou ²íst nebo zapisovat hodnotu do registru. Na toto chování bych se však p½íliš nespoléhal, protože nesprávnµ pracující programy pokra²ují ve své ²innosti i po zjištµní chyby v registru.
8.3 Pevzetí vlastnictví klíd Systém Windows implicitnµ p½i½azuje vlastnictví k HKLM a HKCU následujícím zp¾sobem: Správci vlastní všechny podklí²e v HKLM. Uživatelé vlastní všechny podklí²e ve svých podregistrech profil¾, HKCU. Máte-li úplnou kontrolu nad klí²em (což správci obvykle mají), m¾žete p½evzít jeho vlastnictví, pokud již nejste vlastníkem: 1. V nástroji Regedit klepnµte na klí², jehož vlastnictví chcete p½evzít. 2. V nabídce Edit (Úpravy) zvolte p½íkaz Permissions (Oprávnµní); poté klepnµte na tla²ítko Advanced (Up½esnit). 3. Na kartµ Owner (Vlastník) vyberte nového vlastníka a klepnµte na tla²ítko OK.
8.4 Auditování pístupu k registru Auditování p½ístupu k registru je skvµlý zp¾sob sledování nastavení v registru a jde také o jednu z metod, které se budeme vµnovat v kapitole 10, „Vyhledávání nastavení v registru“. M¾žete tak sledovat p½ístup k citlivým nastavením. Problémem p½i auditování registru je to, že musíte p½íslušný klí² ur²it velmi specificky nebo obµtovat výkon kv¾li auditování velké ²ásti registru. Je to kompromis mezi získáním pot½ebných informací a dlouhotrvajícím procházením registru. Auditování klí²e je t½ífázový proces. Nejd½íve musíte povolit možnost Audit Policy. M¾žete tak u²init v síti prost½ednictvím Group Policy, to však velmi ovlivní výkon. Pokud vám auditování slouží jako nástroj p½i ½ešení potíží nebo ke zjišÆování nastavení, zapnµte možnost Audit Policy místnµ. V oknµ Control Panel – Ovládací panely (zobrazení Classic) otev½ete složku Administrative Tools (Nástroje pro správu) a spusÆte Local Security Policy (Místní zásady zabezpe²ení). Local Security Policy
Auditování pístupu k registru
223
nenaleznete na ½adi²i domény. V levém podoknµ pod položkou Local Policies (Místní zásady) klepnµte na Audit Policy (Zásady auditu). V pravém podoknµ poklepejte na možnost Audit Object Access (Auditovat ²innosti s objekty) a poté ozna²te zaškrtávací polí²ka Success (Úspµšný) a Failure (Neúspµšný). Poté co povolíte Audit Policy, použijte Regedit k auditování jednotlivých klí²¾ následujícím zp¾sobem:
3. Na kartµ Auditing (viz obrázek 8.3) klepnµte na tla²ítko Add (P½idat). 4. V dialogovém oknµ Select Users, Computers, Or Groups (Vyberte uživatele, po²íta²e nebo skupiny) klepnµte na možnost Locations (Umístµní) a vyberte po²íta², doménu nebo organiza²ní jednotku pro vyhledání skupiny nebo uživatele, jehož chcete auditovat. 5. Do pole Enter The Object Names To Select (Zadejte názvy objekt¾ k výbµru) zadejte jméno uživatele nebo skupiny pro p½idání do seznamu auditování klí²e. Potom klepnµte na tla²ítko OK.
OBRÁZEK 8.3: Auditování klí:S provád?jte jen zdídka, protože tím mSžete zna:n? ovlivnit výkon.
6. V dialogovém oknµ Auditing Entry For Název ozna²te v seznamu Access obµ zaškrtávací polí²ka Successful a Failed vedle ²inností, u kterých chcete auditovat úspµšné i neúspµšné pokusy. Tyto možnosti odpovídají oprávnµním, s nimiž jste se seznámili v ²ásti „P½i½azování speciálních oprávnµní“ d½íve v této kapitole:
Full Control (Úplné ½ízení) Query Value (Hodnota dotazu) Set Value (Nastavit hodnotu) Create Subkey (Vytvo½it podklí²)
Enumerate Subkeys (Vytvá½et vý²ty podklí²¾) Notify (Oznámit)
Registr ve správ?
1. V nástroji Regedit klepnµte na klí², který chcete auditovat. 2. V nabídce Edit (Úpravy) zvolte p½íkaz Permissions (Oprávnµní); poté klepnµte na tla²ítko Advanced (Up½esnit).
224
Kapitola 8 – Konfigurace zabezpedení systému Windows
Create Link (Vytvá½et propojení) Delete (Odstranit) Write DAC (Zapsat DAC) Write Owner (Zapsat vlastníka) Read Control (£ízení ²tení) Když povolíte Audit Policy a auditujete ur²ité klí²e, zkontrolujte výsledky pomocí prohlíže²e Event Viewer (Prohlíže² událostí). V oknµ Control Panel (zobrazení Classic) otev½ete složku Administrative Tools a spusÆte Event Viewer. V levém podoknµ klepnµte na možnost Security. V pravém podoknµ uvidíte všechny položky, p½i²emž ty nejnovµjší jsou v horní ²ásti seznamu. Pro zobrazení dalších informací poklepejte na kteroukoli z položek. Dialogové okno Event Properties udává, jaký typ p½ístupu systém Windows zjistil, typ objektu a proces, který p½istoupil ke klí²i nebo hodnotµ. V kapitole 10, „Vyhledávání nastavení v registru“, se dozvíte, jak tyto informace využít ke zjištµní, kde systém Windows nebo program ukládá ur²itá nastavení v registru.
8.5 Zamezení místnímu pístupu k registru S tématem zabezpe²ení registru vyvstává nevyhnutelná otázka, jak zabránit uživatel¾m v p½ístupu k registru. Není to možné. Nezapomínejte, že registr obsahuje nastavení, která musí být uživateli k dispozici, aby systém Windows pracoval správnµ. Uživatelé také musí mít úplnou kontrolu nad svými podregistry profil¾, aby aplikace a opera²ní systém mohly ukládat jejich nastavení. Nem¾žete zabránit p½ístupu – ani to nechcete. P½i nejlepším byste mµli doufat, že se poda½í omezit možnost uživatel¾ upravovat registr prost½ednictvím nástroje Regedit nebo jiných editor¾ registru. Nejvhodnµjším zp¾sobem zamezení p½ístupu k nástroji Regedit je povolení zásady Prevent access to registry editing tools. Když uživatel spustí Regedit, uvidí pouze chybovou zprávu s informací „Registry editing has been disabled by your administrator“. Problémem této zásady je to, že ne všechny editory registru tuto zásadu respektují. Odhodlanému uživateli nic nezabrání ve stažení a používání sharewarového editoru registru, kterých je k dispozici mnoho. Další možností je využití zásad Software Restriction Policies (Zásady omezení softwaru), o nichž se více dozvíte v nápovµdµ Help and Support Center. Ani to však nezabrání uživatel¾m ve spouštµní sharewarových editor¾ registru, pokud nepoužijete zásady Software Restriction Policies, díky kterým lze vytvo½it krátký seznam p½ípustných aplikací.
8.6 Zamezení vzdálenému pístupu k registru Zabezpe²ení místního p½ístupu k registru Windows je jedna vµc; zabezpe²ení vzdáleného p½ístupu vµc druhá. Windows nabízí ²len¾m místních skupin Administrators a Backup Operators vzdálený p½ístup k registru. Protože skupina Domain Admins je ²lenem každé z místních skupin Administrators, mohou se všichni správci domén
Zavedení šablon zabezpedení
225
p½ipojit k registru kteréhokoli po²íta²e p½ipojeného k doménµ. Systém Windows nyní také omezuje vzdálený p½ístup k registru více než starší verze.
UpozornÏnÌ Kv˘li zabezpeËenÌ nezp¯ÌstupÚujte registr vöech poËÌtaˢ neuv·ûen˝m p¯id·v·nÌm skupin do seznamu ACL klÌËe winreg. Pokud tak uËinÌte, zp˘sobÌte dostateËn˝ prostor velkÈmu mnoûstvÌ vir˘ (tzv. Trojan˘), kterÈ ohrozÌ systÈm Windows a zajistÌ hacker˘m p¯Ìstup do vaöÌ infrastruktury. NejlepöÌ je omezit vzd·len˝ p¯Ìstup k registr˘m pouze na spr·vce domÈn.
8.7 Zavedení šablon zabezpedení K vytvá½ení a uplatnµní šablon slouží mnoho r¾zných nástroj¾. Šablony zabezpe²ení nejd½íve použijete k vytvo½ení a úpravµ šablon. K uplatnµní šablon pak použijete konzolu Security Configuration And Analysis nebo Group Policy. Tato ²ást vás provede procesem použití tµchto nástroj¾, po²ínaje vytvo½ením konzoly Microsoft Management Console (MMC), která bude sloužit k úpravám šablon, a kon²e zavedením šablon v síti. Za²neme vysvµtlením r¾zných nastavení zabezpe²ení v šablonµ. Následující seznam uvádí kategorie nastavení, s kterými se setkáte v šablonµ zabezpe²ení. Za jednotlivými kategoriemi naleznete možnosti, které v kategoriích m¾žete definovat. Account Policies. Password Policy, Account Lockout Policy a Kerberos Policy (Zásady ú²t¾ – Zásady hesel, Zásady uzam²ení ú²t¾, Zásady modulu Kerberos) Local Policies. Audit Policy, User Rights Assignment a Security Options (Místní zásady – Zásady auditu, P½i½azení uživatelských práv, Možnosti zabezpe²ení) Event Log. Nastavení Application, System a Security Event Log (Protokol událostí – Aplikace, Systém, Zabezpe²ení) Restricted Groups. Ìlenství ve skupinách citlivých na zabezpe²ení (Skupiny s omezeným ²lenstvím) System Services. Spouštµní a oprávnµní pro systémové služby (Služby systému) Registry. Oprávnµní pro klí²e registru (téma této ²ásti) File System. Oprávnµní pro soubory a složky (Souborový systém) Šablony zabezpe²ení nejsou ni²ím jiným než textovými soubory s p½íponou .inf. M¾žete je kopírovat, upravovat atd. Soubor INF se podobá souboru INI. M¾žete vytvo½it vlastní šablony zabezpe²ení, což vám však nedoporu²uji, protože je to náro²ná práce s velkým rizikem. Máte také možnost upravit jednu z p½eddefinovaných šablon, které
Registr ve správ?
Existuje jen omezený po²et p½ípad¾, kdy budete chtít umožnit vzdálený p½ístup k registr¾m po²íta²¾. Nap½íklad v Active Directory m¾žete vytvo½it skupinu správc¾ pro každou organiza²ní jednotku a umožnit jí úpravu registr¾ po²íta²¾, které náleží do p½íslušné organiza²ní jednotky. Chcete-li ur²ité skupinµ povolit vzdálený p½ístup k registru, p½idejte ji do seznamu ACL klí²e HKLM\SYSTEM\CurrentControlSet\Control\ SecurePipeServers\winreg. Problém tohoto postupu spo²ívá v tom, že a²koli p½idání skupiny do klí²e winreg umožní vzdálený p½ístup, seznam ACL každého klí²e stále ur²uje, které klí²e m¾že skupina zmµnit. Abyste tedy povolili vzdálenému uživateli nebo skupinµ zmµnit nastavení v po²íta²i, p½idejte daného uživatele ²i skupinu do místní skupiny Users, Power Users nebo Administrators.
226
Kapitola 8 – Konfigurace zabezpedení systému Windows
jsou k dispozici v systému Windows. Tento druhý postup je rozhodnµ vhodnµjší, protože je pro vaši práci témµ½ vše p½ipraveno. Pamatujte si, že oprávnµní mµnit výchozí šablonu zabezpe²ení (%SystemRoot%\Security\Templates) má pouze skupina Administrators, a jen správci tedy mohou upravovat a uplat¹ovat šablony zabezpe²ení. DalöÌ informace Ke skriptov·nÌ zmÏn v zabezpeËenÌ registru m˘ûete pouûÌt n·stroj Regini.exe dod·van˝ spoleËnÏ se systÈmem Windows. Jeho pouûitÌ je snadnÈ a nÏkdy uûiteËnÈ k provedenÌ zmÏn v seznamech ACL klÌˢ z p¯ihlaöovacÌch skript˘. Jde o staröÌ n·stroj, kter˝ vöak postupnÏ nahrazujÌ v˝konnÏjöÌ funkce zabezpeËenÌ v systÈmu Windows. VÌce informacÌ o n·stroji Regini.exe naleznete na internetov˝ch adres·ch http://support.microsoft.com/kb/264584 a http://support.microsoft.com/?kbid=237607.
Vytvoení konzoly pro správu zabezpedení Abyste si usnadnili práci, vytvo½te konzolu MMC, která nabízí všechny nástroje pot½ebné pro upravování, analýzy a uplatnµní šablon zabezpe²ení: 1. Klepnµte na tla²ítko Start a zvolte p½íkaz Run; poté zadejte mmc a klepnµte na tla²ítko OK. 2. V nabídce File (Soubor) zvolte p½íkaz Add/Remove Snap-in (P½idat nebo odebrat modul snap-in). 3. V dialogovém oknµ Add/Remove Snap-in (P½idat nebo odebrat modul snap-in) klepnµte na tla²ítko Add (P½idat). 4. V dialogovém oknµ Add Standalone Snap-in (P½idat samostatný modul snap-in) vyberte možnost Security Templates (Šablony zabezpe²ení) a klepnµte na tla²ítko Add (P½idat). 5. Zvolte položku Configuration And Analysis (Konfigurace a analýzy) a klepnµte na tla²ítko Add (P½idat). 6. Klepnµte na tla²ítko Close (Zav½ít) a poté na tla²ítko OK. Po vytvo½ení uložte konzolu do souboru pro rychlý p½ístup. V nabídce File zvolte p½íkaz Save. Soubor m¾žete nazvat nap½íklad Templates.msc. MMC uloží váš soubor do složky Administrative Tools. Budete-li chtít soubor rychle otev½ít, klepnete na tla²ítko Start, p½ejdete na All Programs, Administrative Tools a poté zvolíte položku Templates (podle vámi zvoleného názvu). Obrázek 8.4 ukazuje konzolu vytvo½enou podle popisu v této ²ásti.
Výbgr peddefinované šablony zabezpedení V systému Windows je k dispozici nµkolik p½eddefinovaných šablon zabezpe²ení. Témµ½ nikdy nemusíte vytvá½et novou šablonu, protože obvykle sta²í upravit jednu z tµchto p½eddefinovaných šablon a uložit ji do jiného souboru. Slouží jako výchozí bod pro uplat¹ování zásad zabezpe²ení v r¾zných p½ípadech, aÆ již se to týká jednoho, stovky nebo tisíce po²íta²¾. Následující p½eddefinované zásady zabezpe²ení implicitnµ naleznete ve složce %SystemRoot%\Security\Templates: Default security (Setup security.inf). Tato šablona obsahuje výchozí nastavení zabezpe²ení, která jsou uplatnµna p½i instalaci systému Windows. Pat½í sem také oprávnµní pro systém soubor¾ a registr. Pot½ebujete-li informace o výchozích oprávnµních opera²ního systému, naleznete je zde. Tuto šablonu m¾žete
Zavedení šablon zabezpedení
227
Registr ve správ?
použít k obnovení p¾vodních nastavení zabezpe²ení Windows prost½ednictvím Security Configuration And Analysis, nenasazujte ji však pomocí Group Policy.
OBRÁZEK 8.4: Šablony vytvádíte v SecurityTemplates a poté je analyzujete a uplatGujete prostdednictvím Security Configuration And Analysis
Compatible (Compatws.inf). Tato šablona obsahuje nastavení zabezpe²ení, která uvol¹ují omezení pro skupinu Users tak, aby uživatelé mohli spouštµt starší aplikace. Jde o vhodnµjší postup než p½e½azení uživatel¾ ze skupiny Users do skupiny Power Users, nebo dokonce Administrators. Tato šablona zmµní oprávnµní pro systém soubor¾ a registr p½idµlená skupinµ Users tak, že jsou konzistentní se staršími a jinými aplikacemi, které nejsou certifikované pro systém Windows. Šablona také p½edpokládá, že správce nechce za½azovat uživatele do skupiny Power Users, a proto p½emisÆuje uživatele ze skupiny Power Users do skupiny Users. Tato šablona je ur²ena pouze pro pracovní stanice a nemµli byste ji uplat¹ovat pro servery. DC Security (DC Security.inf). Tato šablona se vytvo½í, když je server povýšen na ½adi² domény. Odráží výchozí nastavení zabezpe²ení soubor¾, registru a systémových služeb. Pokud tuto šablonu znovu uplatníte, nastavení se vrátí na p¾vodní hodnoty. Šablona však m¾že potla²it oprávnµní u nových soubor¾, klí²¾ registru a systémových služeb vytvo½ených jinými programy. Secure (Secure*.inf). Tyto šablony jsou spojeny s nastaveními zabezpe²ení, která nejménµ ovliv¹ují kompatibilitu aplikací. Šablona Securedc.inf je ur²ena pro ½adi²e domén a šablona Securews.inf se používá pro pracovní stanice. Uplat¹uje nap½íklad nastavení využívání hesel, uzam²ení a auditování. Omezuje také uživatele ovµ½ovacích protokol¾ LAN Manager a Windows NT LAN Manager (NTLM) konfigurací systému Windows tak, aby odesílal pouze odpovµdi NTLM version 2 (NTLMv2), a konfigurací server¾, aby odmítaly odpovµdi protokolu LAN Manager. Tato šablona zabra¹uje anonymním uživatel¾m, aby zjišÆovali názvy ú²t¾, sdílené položky a p½ekládali identifikátory SID (Security
228
Kapitola 8 – Konfigurace zabezpedení systému Windows
Identifier) (viz kapitola 1, „Základy registru“). P½ed zavedením tuto šablonu pe²livµ otestujte. Highly Secure (Hisec*.inf). Tyto šablony jsou nad½azené všem p½edchozím šablonám a uplat¹ují ještµ více omezení. Šablona Hisecdc.inf je ur²ena pro ½adi²e domény a šablona Hisecws.inf pro pracovní stanice. Tato šablona nap½íklad nastavuje úrovnµ šifrování a podepisování, které systém Windows vyžaduje pro ovµ½ování a p½emisÆování dat prost½ednictvím zabezpe²ených kanál¾. Vyžaduje výkonné šifrování a podepisování. Odebírá ²leny ze skupin Power Users a zajišÆuje, aby ke ²len¾m místní skupiny Administrators pat½ily pouze skupiny Domain Admins a Administrators. Otestujte šablony, abyste zajistili kompatibilitu s vaší infrastrukturou a aplikacemi, protože po uplatnµní této šablony bude pravdµpodobnµ možné spouštµt pouze certifikované aplikace. System root security (Rootsec.inf). Tato šablona definuje ko½enová oprávnµní pro systém soubor¾ Windows. Neobsahuje žádná oprávnµní registru. Uplat¹uje oprávnµní pro ko½enovou jednotku %SystemDrive%. Tuto šablonu m¾žete použít k obnovení tµchto oprávnµní ko½enové jednotky systému nebo k uplatnµní stejných oprávnµní na dalších svazcích. No Terminal Server user SID (Notssid.inf). Tato šablona odebírá nepot½ebné identifikátory Terminal Server SID ze systému soubor¾ a registru, pokud je spuštµn Terminal Server v kompatibilním režimu aplikací. Je-li to možné, spusÆte Terminal Server radµji v režimu úplného zabezpe²ení, ve kterém není identifikátor Terminal Server SID použit v¾bec. Tyto šablony zabezpe²ení jsou vµtšinou p½ír¾stkové. Upravují výchozí nebo existující nastavení zabezpe²ení v po²íta²i, jsou-li tato nastavení již nakonfigurovaná. Na rozdíl od šablony Setup Security nekonfigurují výchozí nastavení zabezpe²ení p½ed zmµnou konfigurace zabezpe²ení po²íta²e. Šablony zabezpe²ení také nelze použít k zabezpe²ení systému Windows v p½ípadµ, že používáte systém soubor¾ FAT. Šablony tohoto typu m¾žete zobrazit v konzole MMC. V levém podoknµ poklepejte na šablonu zabezpe²ení, ²ímž ji otev½ete. Šablony jsou implicitnµ uloženy ve složce C:\Windows\Security\Templates, jak je vidµt v uzlu Security Templates v konzole. M¾žete jim však p½idµlit jinou cestu. Klepnµte pravým tla²ítkem myši na šablonu Security Templates a zvolte p½íkaz New Template Search Path. V oblasti Security Templates uvidíte p½edchozí i novou cestu. Chcete-li odebrat cestu ze složky Security Templates, klepnµte na ni pravým tla²ítkem myši a vyberte p½íkaz Delete.
Vytvoení vlastní šablony zabezpedení Vlastní šablonu zabezpe²ení m¾žete vytvo½it složitým postupem: 1. Ve složce Security Templates (Šablony zabezpe²ení) klepnµte pravým tla²ítkem myši na složku, ve které chcete vytvo½it novou šablonu, a zvolte p½íkaz New Template (Název šablony). 2. Do pole New Template (Název šablony) zadejte název nové šablony a do pole Description (Popis) napište stru²ný, ale užite²ný popis nové šablony. Poté klepnµte na tla²ítko OK.
Zavedení šablon zabezpedení
229
3. V levém podoknµ poklepejte na novou šablonu zabezpe²ení pro její otev½ení. Vyberte oblast zabezpe²ení, nap½íklad Registry, a v pravém podoknµ nakonfigurujte nastavení zabezpe²ení dané oblasti.
1. Ve složce Security Templates poklepejte na položku C:\Windows\Security\ Templates. 2. Pravým tla²ítkem myši klepnµte na p½eddefinovanou šablonu, kterou chcete upravit. Klepnµte na tla²ítko Save As, zadejte nový název pro šablonu zabezpe²ení a klepnµte na tla²ítko Save. 3. V levém podoknµ poklepejte na novou šablonu zabezpe²ení pro její otev½ení. Vyberte oblast zabezpe²ení, nap½íklad Registry, a v pravém podoknµ nakonfigurujte nastavení zabezpe²ení dané oblasti. Protože tato kniha pojednává o registru, mµli byste se dozvµdµt podrobnµjší informace o konfiguraci zabezpe²ení registru v šablonµ. V levém podoknµ Security Templates poklepejte na svou šablonu a poté zvolte možnost Registry. V pravém podoknµ se zobrazí seznam klí²¾ registru. Pro p½idání klí²e do seznamu klepnµte pravým tla²ítkem myši na Registry a zvolte p½íkaz Add Key. Protože jsou v seznamu uvedeny všechny klí²e HKLM, p½idejte výjimky k nastavení, která šablona definuje pro HKLM\SOFTWARE a HKLM\SYSTEM. P½i úpravµ nastavení poklepejte na klí² a vyberte jednu z následujících možností: Configure This Key Then (Zkonfigurovat tento klí³ a provést následující akci). Po výbµru této položky vyberte jednu z následujících možností: Propagate Inheritable Permissions To All Subkeys (Použít zd¶d¶ná oprávn¶ní na všechny podklí³e). Podklí²e zdµdí nastavení zabezpe²ení klí²e za p½edpokladu, že nastavení zabezpe²ení podklí²¾ neblokují dµdi²nost. V p½ípadµ konfliktu potla²í oprávnµní podklí²e zdµdµná oprávnµní od nad½azeného klí²e. Replace Existing Permissions On All Subkeys With Inheritable Permissions (Nahradit existující oprávn¶ní ke všem soubor¿m a podsložkám d¶di³nými oprávn¶ními). Oprávnµní klí²e potla²í oprávnµní všech podklí²¾. Jinými slovy, oprávnµní každého z podklí²¾ budou identická s oprávnµními nad½azeného klí²e. Zvolíte-li tuto možnost a uplatníte šablonu, zmµna je trvalá, pokud ji nezmµníte prost½ednictvím jiné šablony v registru. Do Not Allow Permissions On This Key To Be Replaced (Nepovolit p¾epis oprávn¶ní k tomuto klí³i). Tuto možnost vyberte, pokud nechcete konfigurovat oprávnµní klí²e nebo jeho podklí²¾. Chcete-li upravit oprávnµní, která má šablona uplatnit v klí²i, klepnµte na Edit Security. M¾žete tak u²init ve stejném dialogovém oknµ Security For Název, které jste vidµli d½íve v této kapitole. Máte možnost p½idávat a odebírat skupiny. M¾žete po-
Registr ve správ?
Tento postup však podle mého názoru není vhodný. P½edevším je p½íliš náro²ný na laboratorní testování a navíc je náchylný k chybám. Nejlepším zp¾sobem vytvo½ení šablony zabezpe²ení je využít jednu z p½eddefinovaných šablon, uložit ji do nového souboru a poté ji upravit – opatrnµ. P½i své práci jsem vµtšinou za²ínal souborem šablony Compatws.inf a upravil ji podle pot½eby, aby i starší aplikace mµly dostatek prostoru ke své práci. Postupujte takto:
230
Kapitola 8 – Konfigurace zabezpedení systému Windows
volit nebo zakázat oprávnµní pro r¾zné uživatele a skupiny k provádµní r¾zných úkol¾. Lze také auditovat p½ístup uživatel¾ a skupin ke klí²i. M¾žete zmµnit vlastnictví klí²e. Když uplatníte šablonu pro po²íta² nebo ji nasadíte prost½ednictvím Group Policy, klí² obdrží oprávnµní definovaná v tomto dialogovém oknµ.
Analýza konfigurace podítade Jakmile máte p½ipravenou vlastní šablonu, m¾žete ji použít k analýze konfigurace zabezpe²ení po²íta²e. Nástroj Security Configuration And Analysis (Konfigurace a analýza zabezpe²ení) vám umož¹uje porovnat aktuální stav konfigurace zabezpe²ení po²íta²e s nastaveními definovanými v šablonµ. Tento nástroj m¾žete použít k provedení okamžitých zmµn v konfiguraci po²íta²e, nap½íklad p½i ½ešení potíží. M¾že také sloužit ke sledování a zajištµní ur²ité úrovnµ zabezpe²ení jako sou²ást programu rizikového ½ízení podniku prost½ednictvím zjišÆování vzniklých mezer v zabezpe²ení. Nástroj Security Configuration And Analysis m¾žete k analýze zabezpe²ení po²íta²e použít následujícím zp¾sobem: 1. Pravým tla²ítkem myši klepnµte na nástroj Security Configuration And Analysis, který jste p½idali do konzoly v ²ásti s názvem „Vytvo½ení konzoly pro správu zabezpe²ení“ d½íve v této kapitole, a klepnµte na tla²ítko Open Database. 2. V dialogovém oknµ Open Database máte dvµ možnosti: Pro vytvo½ení nové databáze pro analýzu zadejte do pole File Name název nové databáze a klepnµte na tla²ítko Open. V dialogovém oknµ Import Template vyberte šablonu a klepnµte na tla²ítko Open. Pro otev½ení existující databáze pro analýzu zadejte do pole File Name název existující databáze a klepnµte na tla²ítko Open. 3. Pravým tla²ítkem myši klepnµte na nástroj Security Configuration And Analysis, zvolte p½íkaz Analyze Computer Now a poté p½ijmµte výchozí cestu souboru protokolu nebo ur²ete jinou. Nástroj Security Configuration And Analysis porovná aktuální zabezpe²ení po²íta²e s databází pro analýzu. Pokud do databáze importujete více šablon (klepnutím pravým tla²ítkem myši na nástroj Security Configuration And Analysis a zvolením p½íkazu Import Template), nástroj slou²í všechny šablony do jedné. Jestliže zjistí konflikt, má p½ednost šablona, kterou jste na²etli jako poslední. Poté co nástroj Security Configuration And Analysis provede analýzu po²íta²e, zobrazí výsledky, kterými m¾žete procházet. Uspo½ádání tµchto výsledk¾ je stejné jako v šablonách zabezpe²ení. Rozdíl spo²ívá v tom, že nástroj Security Configuration And Analysis zobrazuje následující indikátory, které ukazují, zda aktuální nastavení odpovídá nebo je nekonzistentní s nastavením definovaným v šablonµ: ervené X. Nastavení je v databázi pro analýzu a v po²íta²i, tyto dvµ verze se však neshodují. Projdµte nastaveními, u kterých je ²ervené X, abyste ur²ili rozsah daného problému. Zelené zaškrtnutí. Nastavení je v databázi pro analýzu a v po²íta²i a tyto verze se shodují.
Zavedení šablon zabezpedení
231
Otazník. Nastavení není v databázi pro analýzu a nebylo analyzováno. To m¾že také znamenat, že uživatel, který spustil nástroj Security Configuration And Analysis, k tomu nemµl pot½ebné oprávnµní. Vyk¾i³ník. Nastavení je v databázi pro analýzu, p½itom však není v po²íta²i. Klí² registru m¾že existovat v databázi, ale ne v po²íta²i. Co udµlat s nesrovnalostmi zjištµnými mezi nastaveními v databázi pro analýzu a v po²íta²i? Nejd½íve m¾žete provést aktualizaci databáze poklepáním na problémové nastavení registru a následným klepnutím na tla²ítko Edit Security (viz obrázek 8.5). Tím však aktualizujete databázi a ne šablonu. Nezmµní se také nastavení po²íta²e. Postup p½i zmµnµ nastavení po²íta²e naleznete v následující ²ásti. Do po²íta²e m¾žete také importovat vhodnµjší šablonu nebo aktualizovat šablonu v databázi a poté znovu spustit analýzu. Abyste se vyhnuli potížím vzniklým slou²ením šablon v p½ípadµ použití nové nebo aktualizované šablony, zvažte vytvo½ení nové databáze.
Úprava konfigurace podítade Po vytvo½ení šablony zabezpe²ení a jejím následném ovµ½ení prost½ednictvím analýzy po²íta²¾ pomocí nástroje Security Configuration And Analysis m¾žete šablonu uplatnit: 1. Pravým tla²ítkem myši klepnµte na nástroj Security Configuration And Analysis a zvolte p½íkaz Open Database. 2. V dialogovém oknµ Open Database máte dvµ možnosti: Pro vytvo½ení nové databáze zadejte do pole File Name název nové databáze a klepnµte na tla²ítko Open. V dialogovém oknµ Import Template vyberte šablonu a klepnµte na tla²ítko Open. Pro otev½ení existující databáze zadejte do pole File Name název existující databáze a klepnµte na tla²ítko Open. Pokud jste upravili databázi bez aktualizace šablony, na které je založena, otev½ete existující databázi. 3. Pravým tla²ítkem myši klepnµte na nástroj Security Configuration And Analysis, zvolte p½íkaz Configure Computer Now a p½ijmµte výchozí cestu souboru protokolu nebo ur²ete jinou.
Zavedení šablon zabezpedení v síti V p½edchozí ²ásti, „Úprava konfigurace po²íta²e“, jste se nau²ili, jak uplatnit šablonu zabezpe²ení v po²íta²i ru²nµ. Tento postup je vhodný pro jednorázové akce, nejde však o zp¾sob zavedení šablon zabezpe²ení ve více po²íta²ích v síti. Chcete-li nasadit šablony v síti, použijte Group Policy: vytvo½te nový objekt GPO a poté jej upravte. V editoru Group Policy Editor klepnµte pravým tla²ítkem myši na položku Security Settings a zvolte p½íkaz Import Policy. Vyberte šablonu, kterou chcete použít, a klepnµte na tla²ítko Open. Zní to jednoduše, ale nemµli byste tuto metodu brát na lehkou váhu – zavedení šablon zabezpe²ení v síti vyžaduje pe²livé plánování. Nejd½íve musíte ur²it šablony vyžadované ve vaší síti. Poté musíte stanovit, které organiza²ní jednotky získají p½íslušné šablony zabezpe²ení. Pokud nap½íklad obchodní oddµlení používá starší
Registr ve správ?
Bez indikátoru. Nastavení není v databázi nebo v po²íta²i.
232
Kapitola 8 – Konfigurace zabezpedení systému Windows
aplikace vyžadující, aby skupina Users mµla úplnou kontrolu nad ur²itými klí²i registru, zdokumentujte a otestujte šablonu zabezpe²ení a následnµ ji importujte do objektu GPO, který p½i½adíte organiza²ní jednotce obchodního oddµlení. V ideálním p½ípadµ budete se šablonami zabezpe²ení po²ítat již v procesu plánování zavedení. Ìasto se stává, že se IT profesionálové snaží prost½ednictvím šablon zabezpe²ení ½ešit potíže vzniklé chybµjící p½edvídavostí a nedostate²ným pe²livým plánováním.
OBRÁZEK 8.5: V dialogovém okn? Properties si mSžete prohlédnout a upravovat nastavení.
8.8 Konfigurace nových funkcí zabezpedení V opravném balí²ku Microsoft Windows XP SP2 jsou k dispozici nová rozší½ení zdokonalující správu a možnosti zabezpe²ení klí²¾ v osobních po²íta²ích. K tµmto rozší½ením pat½í následující: Nová funkce Windows Security Center (Centrum zabezpe²ení Windows) vám oznamuje stav t½ech hlavních sou²ástí zabezpe²ení: Windows Firewall, Automatic Updates a Virus Protection (Brána Firewall systému Windows, Automatické inovace, Antivirová ochrana). Windows Security Center ur²uje, zda jsou funkce zabezpe²ení klí²¾ zapnuté a aktuální. Windows Security Center vám oznamuje, že je nutná aktualizace nebo musíte provést další kroky pro zdokonalení zabezpe²ení po²íta²e. Správu Windows Security Center m¾žete provádµt prost½ednictvím nastavení Active Directory Group Policy. Nástroj Windows Security Center je v doménových prost½edích implicitnµ vypnutý.
Konfigurace nových funkcí zabezpedení
233
Následující ²ásti popisují zp¾sob konfigurace funkcí zabezpe²ení Windows XP SP2 a Windows Server 2003 SP1. K tµmto funkcím pat½í Windows Security Center (Windows XP) a Windows Firewall. Od vydání opravného balí²ku SP2 jsem byl ²asto tázán, jak lze tyto dvµ funkce konfigurovat.
Nástroj Windows Security Center zobrazuje výstrahy v p½ekryvných oknech v p½ípadµ, že konfigurace brány firewall, zjišÆování vir¾ nebo funkce Automatic Updates není správná (nebo je neaktuální). Tyto výstrahy se zobrazují v oznamovací oblasti na hlavním panelu. Výstrahy m¾žete vypnout pomocí registru. Tabulka 8.2 popisuje hodnoty REG_DWORD pro každý typ výstrahy. Hodnoty nastavujete v klí²i HKLM\SOFTWARE\ Microsoft\Security Center. (Pokud v registru neexistuje, vytvo½te klí² a nastavení.) Chcete-li nap½íklad zabránit zobrazování výstrah nástroje Windows Security Center, když není povolena brána Windows Firewall (konfigurace, kterou spole²nost Microsoft nedoporu²uje), nastavte FirewallDisableNotify na 0x01.
Windows Firewall V opravných balí²cích Windows XP SP2 a Windows Server 2003 SP1 je k dispozici nová brána Windows Firewall. Vµtšina spole²ností a mnoho nadšenc¾ bude chtít upravit bránu Windows Firewall bµhem instalace. Spole²nost Microsoft k tomu nabízí t½i metody. Nejlepším zp¾sobem správy nastavení Windows Firewall v podnikovém prost½edí je použití nových nastavení Windows Firewall Group Policy. Tento postup vyžaduje adresá½ovou službu Active Directory s ½adi²i domén Windows 2000 nebo Windows Server 2003. Více informací naleznete na internetové adrese http://www. microsoft.com/technet/prodtechnol/winxppro/deploy/depfwset/wfsp2wgp.mspx . TABULKA 8.2: NastavenÌ n·stroje Security Center Název
Typ
AntiVirusDisableNotify
REG_DWORD
Hodnoty 0x00 – Zakázat výstrahy antivirového programu. 0x01 – Zobrazovat výstrahy antivirového programu.
AntiVirusOverride
REG_DWORD
0x00 – Windows Security Center sleduje antivirový program. 0x01 – Windows Security Center nesleduje antivirový program.
FirewallDisableNotify
REG_DWORD
0x00 – Zakázat výstrahy brány firewall.
FirewallOverride
REG_DWORD
0x00 – Windows Security Center sleduje bránu firewall.
0x01 – Zobrazovat výstrahy brány firewall.
0x01 – Windows Security Center nesleduje bránu firewall. UpdatesDisableNotify
REG_DWORD
0x00 – Zakázat výstrahy funkce Automatic Update. 0x01 – Zobrazovat výstrahy funkce Automatic Update.
Registr ve správ?
Výstrahy nástroje Security Center
234
Kapitola 8 – Konfigurace zabezpedení systému Windows
Následující seznam popisuje metody, které nevyžadují Group Policy: Soubor unattend.txt. Soubor unattend.txt pro Windows XP SP2 nabízí možnosti ke konfiguraci nastavení Windows Firewall p½i spuštµní bezobslužné instalace opravného balí²ku Windows XP SP2. Soubor Netfw.inf. Soubor Netfw.inf pro Windows XP SP2 m¾že konfigurovat bránu Windows Firewall ur²ením sady nastavení registru shodující se s možnostmi dostupnými v sou²ásti Windows Firewall v oknµ Control Panel a prost½ednictvím nastavení Windows Firewall Group Policy, když uživatel provádí interaktivní instalaci opravného balí²ku Windows XP SP2. Skript Netsh. Po instalaci opravného balí²ku SP2 v systému Windows XP m¾že být nutné, aby uživatelé spustili soubor skriptu, jako je nap½íklad soubor .BAT nebo .CMD, který obsahuje ½adu p½íkaz¾ Netsh.exe ke konfiguraci opera²ního režimu, povolených program¾, povolených port¾ atd. v bránµ Windows Firewall. Vlastní konfigura³ní programy. Po instalaci opravného balí²ku SP2 v systému Windows XP m¾že být nutné, aby uživatelé spustili vlastní konfigura²ní program, který používá nové konfigurace API brány Windows Firewall ke konfiguraci opera²ního režimu, povolených program¾, povolených port¾ a dalších nastavení. Další informace o tµchto možnostech naleznete na internetové adrese http://www. microsoft.com/technet/prodtechnol/winxppro/deploy/depfwset/wfsp2ngp.mspx . Windows Firewall m¾žete zakázat prost½ednictvím registru. Nastavení jsou v klí²i HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall. (Pokud klí² a hodnoty v registru nejsou, vytvo½te je.) V tomto klí²i jsou dva podklí²e: DomainProfile a StandardProfile. Nastavení v podklí²i DomainProfile se uplat¹ují v p½ípadµ, že je po²íta² aktuálnµ p½ipojený k doménµ. Nastavení v podklí²i StandardProfile se uplat¹ují,
když po²íta² není aktuálnµ p½ipojený k doménµ (nap½íklad odpojený p½enosný po²íta²). V obou tµchto klí²ích vytvo½te hodnotu EnableFirewall. Chcete-li bránu firewall zakázat, nastavte tuto hodnotu na 0x00, v opa²ném p½ípadµ nastavte 0x01.
8.9 Nastavení utajení osobních údaj v prohlížedi Internet Explorer Od verze prohlíže²e Microsoft Internet Explorer 6 je k dispozici karta Privacy, která uživatel¾m dává vµtší kontrolu nad soubory cookie. V zónµ Internet existují r¾zné úrovnµ soukromí, které jsou v registru uloženy tam kde zóny zabezpe²ení. M¾žete také p½idat webový server, u kterého povolíte nebo zablokujete soubory cookie, bez ohledu na zásady soukromí na webovém serveru. Klí²e registru se ukládají do klí²e HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\P3P\ History. V tomto klí²i vidíte domény, které byly p½idány jako spravované weby. Tyto domény jsou nastaveny na jednu z následujících hodnot: 0x00000005. Vždy blokovat 0x00000001. Vždy povolit
Zóny zabezpedení v prohlížedi Internet Explorer
235
8.10 Zóny zabezpedení v prohlížedi Internet Explorer Nastavení zón zabezpe²ení prohlíže²e Internet Explorer se ukládají do klí²¾ HKLM\ SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings a HKCU\SOFTWARE\ Microsoft\Windows\CurrentVersion\Internet Settings. Nastavení zón zabezpe²ení se implicitnµ ukládají do HKCU. Nastavení pro jednoho uživatele neovliv¹ují nastavení pro jiného uživatele. Klí² Internet Settings obsahuje následující podklí²e: TemplatePolicies Zones Je-li v Group Policy povoleno nastavení Security Zones: Use only machine settings nebo je v klí²i HKLM\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings p½ítomna hodnota REG_DWORD s názvem Security_HKLM_only, jsou použita pouze nastavení místního po²íta²e a všichni uživatelé mají stejná nastavení zabezpe²ení. Pokud je povolena zásada Security_HKLM_only, bude prohlíže² Internet Explorer používat hodnoty HKLM, hodnoty HKCU však budou p½esto zobrazeny v nastavení zón na kartµ Security v prohlíže²i Internet Explorer. Jestliže v Group Policy není povoleno nastavení Security Zones: Use only machine settings nebo neexistuje hodnota REG_DWORD s názvem Security_HKLM_only, p½ípadnµ je nastavena na 0, jsou použita nastavení po²íta²e spolu s uživatelskými nastaveními. V oknµ Internet Options se však zobrazí pouze uživatelská nastavení. Pokud nap½íklad tato hodnota REG_DWORD neexistuje nebo je nastavena na 0, jsou ²tena nastavení HKLM spolu s HKCU, v oknµ Internet Options se však zobrazí pouze nastavení HKCU.
TemplatePolicies Klí² TemplatePolicies ur²uje nastavení výchozích úrovní zón zabezpe²ení (Low, Medium Low, Medium a Hight). Výchozí nastavení úrovnµ zabezpe²ení m¾žete zmµnit. Nem¾žete však p½idávat žádné další úrovnµ zabezpe²ení. Klí²e obsahují hodnoty, které stanovují nastavení pro zónu zabezpe²ení. Každý klí² obsahuje ½etµzcové hodnoty Description a Display Name, jež ur²ují text zobrazený na kartµ Security pro každou z úrovní zabezpe²ení.
ZoneMap Klí² ZoneMap obsahuje následující klí²e: Domains. Klí² Domains obsahuje domény a protokoly, které byly p½idány pro zmµnu chování z výchozího nastavení. Po p½idání domény se do klí²e Domains p½idá klí². Poddomény se zobrazují jako klí²e pod doménou, ke které náleží. Každý klí² uvádµjící doménu obsahuje hodnotu REG_DWORD s názvem p½íslušného protokolu. Hodnota REG_DWORD se shoduje s ²íselnou hodnotou zóny zabezpe²ení, do níž je doména p½idána. ProtocolDefaults. Klí² ProtocolDefaults definuje výchozí zónu zabezpe²ení použitou pro konkrétní protokol (ftp, http nebo https). Chcete-li zmµnit výchozí nastavení, m¾žete buÅ p½idat protokol do zóny zabezpe²ení klepnutím na tla-
Registr ve správ?
ZoneMap
236
Kapitola 8 – Konfigurace zabezpedení systému Windows
²ítko Sites na kartµ Security nebo p½idat hodnotu REG_DWORD do klí²e Domains . Název hodnoty REG_DWORD se musí shodovat s názvem protokolu a nesmí obsahovat žádné dvojte²ky (:) nebo lomítka (/). Klí² ProtocolDefaults obsahuje také hodnoty REG_DWORD, které definují výchozí zóny zabezpe²ení, v kterých je použit protokol. Ke zmµnµ tµchto hodnot nelze použít ovládací prvky na kartµ Security. Toto nastavení se používá v p½ípadµ, že ur²itý webový server nespadá do zóny zabezpe²ení. Ranges. Klí² Ranges obsahuje rozsahy adres TCP/IP. Každý definovaný rozsah TCP/IP se zobrazí v libovolnµ nazvaném klí²i. Tento klí² obsahuje ½etµzcovou hodnotu (:Range) s ur²eným rozsahem TCP/IP. Pro každý protokol je p½idána hodnota REG_DWORD obsahující ²íselnou hodnotu zóny zabezpe²ení pro stanovený rozsah IP. Když soubor Urlmon.dll použije ve½ejnou funkci MapUrlToZone k p½ekladu ur²ité adresy URL na zónu zabezpe²ení, provede tak prost½ednictvím jedné z následujících metod: Pokud URL-adresa obsahuje úplný název domény (FQDN), je zpracován klí² Domains. V této metodµ potla²í p½esná shoda webu ²áste²nou shodu. Jestliže URL-adresa obsahuje adresu IP, je zpracován klí² Ranges. Adresa IP adresy URL je porovnána s hodnotou :Range, která je sou²ástí každého libovolnµ nazvaného klí²e v klí²i Ranges. Pozn·mka Protoûe jsou klÌËe s libovoln˝mi n·zvy zpracov·v·ny v po¯adÌ, v jakÈm byly p¯id·ny, m˘ûe tato metoda najÌt d¯Ìve Ë·steËnou shodu neû p¯esnou shodu. Pokud se tak stane, m˘ûe b˝t URL-adresa pouûita v jinÈ zÛnÏ zabezpeËenÌ, neû do kterÈ je bÏûnÏ p¯i¯azena.
Zones Klí² Zones obsahuje klí²e, které p½edstavují jednotlivé zóny zabezpe²ení definované pro po²íta². Implicitnµ je stanoveno následujících pµt zón (²íslovaných od nuly do ²ty½ky): 0. My Computer 1. Local Intranet Zone 2. Trusted Sites Zone 3. Internet Zone 4. Restricted Sites Zone Pozn·mka ZÛna My Computer (Tento poËÌtaË) se implicitnÏ nezobrazuje v poli Zone na kartÏ Security.
Každý z tµchto klí²¾ obsahuje následující hodnoty REG_DWORD, které p½edstavují odpovídající nastavení na vlastní kartµ Security: 1001. Download signed ActiveX controls (Stahovat podepsané ovládací prvky Active X)
Zóny zabezpedení v prohlížedi Internet Explorer
237
1004. Download unsigned ActiveX controls (Stahovat nepodepsané ovládací prvky Active X) 1200. Run ActiveX controls and plug-ins (Spouštµt ovládací prvky Active X a moduly plug-in) Hodnota Run ActiveX controls and plug-ins (1200) má zvláštní nastavení s názvem Administrator approved. Je-li toto nastavení zapnuto, hodnota REG_DWORD je 0x00010000 a v klí²i HKCU\Software\Policies\Microsoft\Windows\CurrentVersion \Internet Settings\AllowedControls je vyhledán seznam schválených ovládacích prvk¾.
1206. Allow scripting of Internet Explorer Webbrowser control (Povolit skriptování ovládacího prvku WebBrowser aplikace Internet Explorer) 1400. Active scripting (Aktivní skriptování) 1402. Scripting of Java applets (Skriptování aplet¾ v jazyce Java) 1405. Script ActiveX controls marked as safe for scripting (Skriptování ovládacích prvk¾ Active X ozna²ených jako bezpe²né) 1406. Access data sources across domains (P½ístup ke zdroj¾m dat v jiných doménách) 1407. Allow paste operations via script (Povolit operace vkládání prost½ednictvím skript¾) 1601. Submit non-encrypted form data (Odesílat nezašifrovaná formulá½ová data) 1604. Font download (Stažení písma) 1605. Run Java (Spouštµt jazyk Java) 1606. Userdata persistence (Trvalost uživatelských dat) 1607. Navigate sub-frames across different domains (Navigace díl²ími rámci mezi r¾znými doménami) 1608. Allow META REFRESH (Povolit parametry META REFRESH) 1609. Display mixed content (Zobrazit smíšený obsah) 1800. Installation of desktop items (Instalace sou²ástí pracovní plochy) 1802. Drag and drop or copy and paste files (P½etahování nebo kopírování a vkládání soubor¾) 1803. File Download (Stahování soubor¾) Pro hodnotu File Download (1803) neexistuje nastavení výzvy, protože tato hodnota buÅ je, nebo není povolena. 1804. Launching programs and files in an IFRAME (Spouštµní program¾ a soubor¾ v sekci IFRAME) 1805. Launching programs and files in webview (Spouštµní program¾ a soubor¾ v zobrazení web)
Registr ve správ?
1201. Initialize and script ActiveX controls not marked as safe (Skriptovat ovládací prvky Active X neozna²ené jako bezpe²né)
238
Kapitola 8 – Konfigurace zabezpedení systému Windows
1806. Launching applications and unsafe files (Spouštµní aplikací a nezabezpe²ených soubor¾) 1807. Reserved (Rezervováno) 1808. Reserved (Rezervováno) 1809. Use Pop-up Blocker (Blokovat automaticky otevíraná okna) 1A00. Logon (P½ihlašování) Nastavení Logon (1A00) m¾že mít jednu z následujících hodnot: 0x00000000. Automatically logon with current username and password (Automatické p½ihlášení pod aktuálním uživatelským jménem a heslem) 0x00010000. Prompt for user name and password (Požadovat uživatelské jméno a heslo) 0x00020000. Automatic logon only in the Intranet zone (Automatické p½ihlášení pouze do zóny sítµ intranet) 0x00030000. Anonymous logon (Anonymní p½ihlášení) 1A02. Allow persistent cookies that are stored on your computer (Povolení ukládání soubor¾ cookies na tento po²íta²) 1A03. Allow per-session cookies (not stored) (Povolení soubor¾ cookies v této relaci – bez ukládání) 1A04. Don’t prompt for client certificate selection when no certificates or only one certificate exists (Nezobrazovat výzvu k výbµru klientského certifikátu, jestliže je k dispozici pouze jeden nebo žádný certifikát) 1A05. Allow 3rd party persistent cookies (Povolit trvalé soubory cookies od dodavatel¾ t½etích stran) 1A06. Allow 3rd party session cookies (Povolit do²asné soubory cookies od dodavatel¾ t½etích stran) 1A10. Privacy Settings (Osobní údaje) Nastavení Privacy Settings (1A10) používá jezdec na kartµ Privacy. Hodnoty REG_DWORD jsou následující: 00000003. Block All Cookies (Všechny soubory cookies budou blokovány) 00000001. High (Vysoká) 00000001. Medium High (Vyšší) 00000001. Medium (St½ední) 00000001. Low (Nízká) 00000000. Accept All Cookies (Povolit všechny soubory cookies) 1C00. Java Permissions Nastavení Java Permissions (1C00) m¾že mít následujících pµt binárních hodnot REG_BINARY: 00 00 00 00. Disable Java (Zakázat jazyk Java) 00 00 01 00. High safety (Vysoké zabezpe²ení)
Zóny zabezpedení v prohlížedi Internet Explorer
239
00 00 02 00. Medium safety (St½ední zabezpe²ení) 00 00 03 00. Low safety (Nízké zabezpe²ení) 00 00 80 00. Custom (Volitelné zabezpe²ení) 1E05. Software channel permissions (Oprávnµní programových kanál¾) Nastavení Software channel permissions (1E05) má t½i r¾zné hodnoty: 00010000. High (Vysoká) 00020000. Medium (St½ední) 00030000. Low (Nízká)
2001. Run .NET components signed with Authenticode (Spouštµt .NET komponenty podepsané Authenticode) 2004. Run .NET components not signed with Authenticode (Spouštµt .NET komponenty nepodepsané Authenticode) 2100. Open files based on content, not file extension (Otevírat soubory podle jejich obsahu, nikoli podle jejich p½ípony) 2101. Web sites in less privileged Web content zone can navigate into this zone (Povolení navigace do této zóny pro webové stránky z nižších zón oprávnµní) 2102. Allow script-initiated windows without size or position constraints (Povolit skriptová okna bez omezení velikosti i umístµní) 2200. Automatic prompting for file downloads (Automatická výzva ke stahování soubor¾) 2201. Automatic prompting for ActiveX controls (Automatická výzva ovládacích prvk¾ ActiveX) 2300. Allow Web pages to use restricted protocols for active content (Povolit webovým stránkám použití v aktivním obsahu chránµných protokol¾) {AEBA21FA-782A-4A90-978D-B72164C80120} First Party Cookie {A8A88C49-5EB2-4990-A1A2-0876022C854F} Third Party Cookie Pokud není uvedeno jinak, m¾žete každou z hodnot REG_DWORD nastavit na nulu, jedni²ku nebo trojku. Nastavení na nulu obvykle znamená povolení ur²ité ²innosti, jedni²ka zajistí zobrazení výzvy a trojka znamená nepovolení ur²ité ²innosti. Každá zóna zabezpe²ení obsahuje také ½etµzcové hodnoty Description a Display Name. Text tµchto hodnot se zobrazí na kartµ Security, když klepnete na zónu v poli Zone. Je zde také ½etµzcová hodnota Icon, která nastavuje ikonu pro jednotlivé zóny. Kromµ zóny My Computer obsahuje každá zóna hodnoty REG_DWORD s názvem CurrentLevel, MinLevel a ReccommendedLevel. Hodnota MinLevel p½edstavuje nejnižší nastavení, které lze použít, než se zobrazí varovná zpráva. Hodnota CurrentLevel je aktuální nastavení pro zónu a hodnota RecommendedLevel je doporu²ovaná úrove¹ pro zónu. Následující seznam popisuje nastavení pro tyto hodnoty: 0x00010000. Low Security
Registr ve správ?
1F00. Reserved (Rezervováno) 2000. Binary and script behaviors (Chování skript¾ a binárních soubor¾)
240
Kapitola 8 – Konfigurace zabezpedení systému Windows
0x00010500. Medium Low Security 0x00011000. Medium Security 0x00012000. High Security Hodnota REG_DWORD s názvem Flags ur²uje, zda uživatel m¾že upravovat vlastnosti zóny zabezpe²ení. Pro stanovení hodnoty Flags slou²íte ²ísla p½íslušných nastavení. K dispozici jsou tyto hodnoty Flags: 1. Povolit zmµny vlastních nastavení 2. Uživatel m¾že p½idávat webové servery do této zóny 4. Vyžadovat ovµ½ené webové servery (protokol https) 8. Zahrnout webové servery, které neprocházejí p½es server proxy 16. Zahrnout webové servery, které nejsou uvedeny v jiných zónách 32. Nezobrazovat zónu zabezpe²ení v dialogovém oknµ Internet Properties (výchozí nastavení pro zónu My Computer) 64. Zobrazovat dialogové okno Requires Server Verification 128. S p½ipojeními Universal Naming Connections (UNCs) pracovat podobnµ jako s p½ipojeními k intranetu