Безопасность

Как защититься от атаки

Систему можно защитить от атак несколькими способами. Неважно, какой способ вы выберете, главное – обеспечить безопасность информации. Труднее бороться с теми угрозами, которые себя никак не обнаруживают.

Инициатива защиты Windows

В ответ на тот факт, что атаки компьютерных систем стали обыденными событиями, компания Microsoft реализовала так называемую инициативу защиты Windows (Secure Windows Initiative, SWI). SWI является внутренней концепцией Microsoft, повышающей уровень защищенности продуктов компании от вредоносных атак. Команда SWI дает разработчикам консультации, помогающие им в создании более защищенных программ. В дополнение к определению программ, потенциально подверженных атакам на переполнение буфера, SWI использует и другие технологии безопасности, например, шифрование. Несмотря на то, что язык C оставляет возможность реализации атак на переполнение буфера, проблемы безопасности, связанные с ним, уже хорошо изучены. Для предотвращения проявления угроз лучше всего руководствоваться правилами безопасного программирования.

Перечисленные аспекты безопасности стали неотъемлемой частью процесса разработки Windows Server 2003, именно поэтому IIS 6 более защищен по сравнению с предыдущими версиями компонента.

Устанавливать обновление или нет?

Несмотря на то, что следует серьезно относиться к обновлениям, связанным с безопасностью, не следует устанавливать абсолютно все, появляющееся на рынке. Перед установкой нового патча хорошенько подумайте. Нужно быть абсолютно уверенным, что риск от того, что вы не установите это обновление, будет больше, чем риск, связанный с его установкой. Выясните эффективность и пользу от применения патча, а также чем можно поплатиться, если патч не будет установлен.

Рассмотрите также срочность установки обновления. Например, устранение в программе конкретной ошибки, создающей уязвимое место в системе, является необходимым обновлением, и установка его нужнее, чем, скажем, обновления, обеспечивающего дополнительную функциональность.

Установка обновлений в системе

К сожалению, ни одна программа с длиной кода в миллионы строк не может быть идеальной, и в ней всегда найдутся уязвимые места. Один из лучших способов обеспечения безопасности – установка в системе самых последних обновлений. Вирусы и черви редко используют абсолютно все новые уязвимые места; чаще всего их атаки направлены на известные "бреши", для которых уже существуют обновления и "заплатки". Обычно пользователи при обнаружении уязвимости сообщают о ней в Microsoft, после чего создается "заплатка", которая выходит в свет вместе с сообщением о новой уязвимости.

Процесс администрирования и установки обновлений

При администрировании среды с критичными для бизнеса функциональными возможностями крайне необходимо использовать контролируемый процесс при обновлении системы. Ниже приведены некоторые рекомендации, которые помогут приступить к процедуре обновления.

Использование контроля изменений. Первым и самым главным шагом должен быть контроль за изменением системы. Этот процесс обеспечивает следующее:

• определение владельцев системы, обновлений и приложений;
• связь со всеми, кто имеет отношение к обновлению;
• период ожидания, во время которого заинтересованные стороны могут высказать возражения или задать вопросы; рекомендуется получить разрешение от каждого из владельцев приложения перед установкой обновления;
• журнал аудита и план восстановления;
• назначенное время установки и определенное окно регистрации.

Будьте объективны. При установке обновлений убедитесь, что к каждому серверу применен одинаковый уровень обновлений (если нет веских причин пренебречь этим). Необходимо соблюдать особую внимательность при работе с контроллерами доменов, так как несинхронизированные обновления вызывают сбои при репликации и аутентификации между контроллерами доменов.

Ознакомьтесь с документацией. Всегда полностью читайте документацию по обновлению перед его установкой, чтобы понять, какие действия будут выполнены. Таким образом, вы определите, не произойдет ли отключение нужной функции, не возникнут ли проблемы с оборудованием или программным обеспечением системы. Вы узнаете также, какие обновления необходимы в первую очередь, а какие – наименее важны.

Проводите тестирование. В организации рекомендуется иметь тестовую лабораторию для проверки новых обновлений перед их установкой на основные системы. Если вы полностью удовлетворены положительными результатами тестирования, и каждый сотрудник лаборатории поставил подпись под этими результатами, то вначале установите обновление на наименее критичные системы. При возникновении какие-либо трудностей не устанавливайте обновление, особенно, если оно не является обновлением безопасности, а всего лишь добавляет новую функциональную возможность.

Обеспечьте возможность деинсталляции обновления. По возможности устанавливайте обновления так, чтобы их впоследствии можно было деинсталлировать. При возникновении проблем в системе вы сможете легко выполнить "откат". Обычно в наличии имеются все необходимые средства для деинсталляции. Создайте резервную копию информации о состоянии системы и держите ее под рукой, а также, на всякий случай, полную резервную копию всей системы.

Убедитесь в соответствии обновления системе. Нужно быть уверенным в том, что обновление необходимо для системы. Применение более поздних обновлений WS03, чем SP1, перед установкой SP1, является не очень хорошей идеей. Вам не нужно также устанавливать на сервере обновления клиентов, например, обновления Internet Explorer, поскольку эту программу сервер, скорее всего, не использует. Кроме того, рекомендуется установка целого сервис-пакета вместо большого количества отдельных обновлений, входящих в его состав.

Работа с обновлением Windows

Как узнать об обновлениях Windows?

• Ежедневно посещайте веб-страницу Microsoft Windows Update http://windowsupdate.microsoft.com для проверки обновлений и знакомства с материалами, относящимися к вашей системе.
• С помощью программы Windows Automatic Updating, автоматически устанавливающей обновления.

Системные администраторы, в основном, выполняют большой объем работы, поэтому второй вариант для них более приемлем. Программа Windows Automatic Updating является стандартным элементом WS03; она периодически проверяет сайт Windows Update на наличие доступных обновлений для конкретной системы.

Установка автоматических обновлений

Для настройки Windows на запуск программы Windows Updates выполните следующие действия.

1. Выберите Start\Control Panel, затем щелкните на значке System (Система).
2. В окне System Properties (Свойства системы) откройте вкладку Automatic Updates (Автоматическое обновление). Функция автоматического обновления включена по умолчанию, поэтому убедитесь в том, что отмечена опция Keep My Computer Up To Date (Проверять наличие обновлений) (см. рис. 6.1).
3. Выберите конкретные настройки (о них пойдет речь далее), определяющие время и способ выполнения обновления.
4. После выбора нужных параметров нажмите OK.

Рис. 6.1. Настройка функции Automatic Updates (Автоматическое обновление) в окне System Properties (Свойства системы)

Notify Me Before Downloading (Уведомить перед загрузкой). При выборе опции программа автоматического обновления уведомляет о любых файлах, которые она намеревается загрузить. После разрешения загрузки появится сообщение о готовности к установке обновления. Для окончания установки перезагрузите компьютер.

Download the Updates Automatically (Автоматически загружать обновления). При выборе опции все обновления загружаются автоматически, но перед установкой каждого из них запрашивается подтверждение. Если для окончания установки требуется перезагрузка компьютера, отобразится соответствующий запрос.

Automatically Download and Install (Автоматическая загрузка и установка). При выборе опции обновления автоматически загружаются и устанавливаются в указанное время. Перезагрузка компьютера осуществляется автоматически, независимо от выполняемых в системе действий. Если в этот момент в системе будет находиться администратор, он сможет отменить перезагрузку; в противном случае система отправит уведомление всем подключенным пользователям и перезагрузится.

Работа с веб-сайтом Windows Update

Вы можете при желании посещать сайт Windows Update http://windowsupdate.microsoft.com и проверять наличие обновлений. Сайт Windows Update установит в систему элемент управления ActiveX. Этот элемент осуществляет сканирование компьютера и определяет, какие обновления требуются данному компьютеру. На сайте можно установить расширения продукта.