Bezpečnost v sítích Peer– to- Peer Centrum pro virtuální a moderní metody a formy vzdělávání na Obchodní akademii T.G. Masaryka, Kostelec nad Orlicí Autor: horak@oakostelec.cz 7.4.2017

Úvod Bezpečnostní rizika pro data a provoz počítače se jeho připojením do sítě výrazně zvyšují, správnou konfigurací počítače je můžeme výrazně snížit. Ukážeme si tato nebezpečí: Konfiguraci vzdálené plochy (terminálový přístup) Pravidla pro tvorbu hesel a přihlašovacích jmen Nastavení Windows Update Celkovou kontrolu bezpečnosti programem MBSA Konfigurace sítě musí být ještě doplněna o: antimalware program firewall

Terminálový přístup Umožňuje pracovat na vzdáleném počítači prostřednictvím terminálové konzole Z terminálu se zadávají příkazy, které se zpracovávají na terminálovém serveru Zpět na konzolu se přenášejí pouze výsledky Z hlediska bezpečnosti je terminálem možné ovládnout vzdálený počítač

Terminal server - princip Z klienta vyjde požadavek RDP TCP/IP Terminal Server My Documents My Computer My Network Places Internet Explorer Recycle Bin Start 12:00 PM Zpět se přenese pouze obrazovka s výsledky Veškeré výpočty se provedou na serveru

Terminal server - klienti

Terminálové služby Windows Terminálový server je zabudován ve Windows XP Professional, Vista a Server 2003, 2008 U desktopových operačních systémů je možné pouze jedno vzdálené připojení, přičemž se zamkne lokální konzole počítače – je možné pracovat buď z terminálu nebo místně – ne současně U Windows Serveru existují dva režimy: Administrátorský, kdy je možné současné připojení 2 terminálových klientů (a současná běžná práce na PC) Aplikační, kdy je možná současná práce více klientů, ale je nutné dokoupit licence (jinak provoz nefunguje) a na každého klienta počítat s 256 MB operační paměti na serveru

Povolení vzdáleného přístupu povolení přístupu je nebezpečné – terminálové služby běží na protokolu TCP/IP a jsou přístupné i z Internetu, vzdálený přístup je potenciálně nebezpečný, proto je po instalaci Windows XP zakázán Povolíme jej Pravá klávesa myši / Tento počítač / Vlastnosti karta Vzdálený přístup, zaškrtnout políčko Povolit připojení vzdálených…(otevřeme port TCP 3389) přístup ke vzdálené ploše nemá každý, ale pouze člen skupiny Remote Desktop Users a přístup musí být povolen (automaticky jsou v této skupině a členové skupiny administrators) Můžeme také vybrat uživatele, kteří budou mít přístup (jsou ze skupiny Remote Desktop Users) – stiskem tlačítka Vybrat vzdálené uživatele. uživatel připojující se ke vzdálené ploše nesmí mít prázdné heslo!!!

Připojení ke vzdálené ploše Start / Všechny programy / Příslušenství / komunikace / Připojení ke vzdálené ploše Musíme zadat jméno, nebo IP adresu počítače k němuž se připojujeme. Po připojení je nutné zadat jméno a heslo k existujícímu účtu na vzdáleném PC

Cvičení – vzdálená plocha Nastavte Windows XP vaší VM takto: Pojmenujte VM svým příjmením Zařaďte svoji VM do skupiny I2 Povolit vzdálený přístup Přístup bude povolen uživateli: VZDALENY, heslo bude 100

Přístupová jména a hesla Základní prvek bezpečnosti Heslo: Jednoduché Složité – bezpečné: musí obsahovat minimálně 3 ze 4 prvků, jde tedy o kombinaci prvků: malých písmen, velkých písmen, čísel speciálních znaků. Délka minimálně 7 ÷ 8 znaků Měnit, interval okolo 30 dnů Příklad bezpečného hesla: JaR58/*u Historie hesel – heslo se nebude opakovat Uzamykání účtů při opakovaných pokusech o přihlášení Prakticky: nepoužívat y, z , používat: */-+

Přístupová jména a hesla Po instalaci Windows XP nejsou nastavena silná hesla Po připojení Windows XP do domény se automaticky přebírá konfigurace silného hesla od řadiče domény

Nastavení parametrů hesla Místní nastavení zabezpečení – konzola v Nástrojích pro správu, nebo Zásady skupiny (gpedit.msc)

Cvičení Nastavte prostředí pro hleslo vaší VM: Bude povoleno Silné heslo Jeho délka bude 9 znaků Stáří heslo bude 30 dnů Heslo nebude možné změnit prvních 10 dnů po předešlé změně hesla Systé m si bude pamatovat 9 posledních hesel Po 4 neúspěšných pokusech o přihlášení se účet zamkne na 40 minut Po 40 minutách se také vynuluje čítač neúspěšných pokusů

Microsoft Update Jde o pravidelné bezpečnostní opravy „záplatování“ operačního systému ve formě: opravných balíčků - odstraňuje jednu chybu Windows konsolidovaných Service Pack (všechny balíčky za určité období + často rozšíření funkčnosti OS) Celá metodika (nahrávání, organizace) – Microsoft Update

Možnosti Microsoft Update 1) Internet, automatická práce: zdroj oprav je na serveru v Internetu, jejich instalace je víceméně automatická 2) ruční práce: Stáhneme balíčky, uložíme jako soubory a standardně je „ručně“ instalujeme 3) WSUS – server pro automatické opravy, stáhne opravu 1x a distribuuje ji po celé síti Windows Server Update Services

Konfigurace Microsoft Update Předpokladem je připojení PC k Internetu, musíte být ve skupině Administrators! Pravým tlač. myši na ikoně Tento počítač / Vlastnosti / Automatické aktualizace Automaticky – aktualizace se stáhne automaticky a zároveň se automaticky nainstaluje (a hrozí automatický restart PC) Stahovat automaticky, ale čas… aktualizace se stáhne automaticky, ale instalaci stanovíme ručně (nehrozí ztráta dat při restartu PC) Oznamovat, ale… - pouze oznámí, že je k dispozici nová aktualizace, nestahuje ji ani neinstaluje (vhodné u pomalého telefonního připojení) Vypnout – NEDOPORUČUJI!!!

Jaké aktualizace jsou již nainstalovány? Spustíme Microsoft Update (Start/Všechny programy), v prohlížeči zvolíme Zobrazení historie aktualizací a vidíme: seznam všech aktualizací informaci o průběhu aktualizace (zda se zdařila, či ne),    = Úspěšně  = Zrušeno   = Neúspěšně Je nutné zobrazit si aktualizace podle sloupečku Stav !!! a zjistit tak, které aktualizace se neprovedly úspěšně.

Jaké aktualizace jsou již nainstalovány?

Cvičení Nastavte Aktualizace na „Stahovat automaticky, instalovat ručně“ Zkontrolujte a případně doinstalujte všechny aktualizace vaší VM Windows XP Pokud je nějaká aktualizace špatná, odeberte ji a znovu nainstalujte

Odebrání aktualizace Je možné z ovládacího panelu Přidat nebo odebrat programy Zde je nutné zatrhnout okénko Zobrazit aktualizace V aktualizacích se orientujeme podle jejich čísla KB xxxxxxxx Klepnutím na aktualizaci se zpřístupní tlačítko Odebrat

Odebrání aktualizace Číslo aktualizace

MBSA Program pro kontrolu bezpečnosti PC Je volně ke stažení na www Microsoftu Po instalaci je mezi ostatními programy nabídky Start

Vstupní obrazovka MBSA Prohlídka dřívějších výsledků kontroly Prohlídka 1. PC Prohlídka několika PC

MBSA – kontrola jednoho počítače Prohlídka tohoto PC Prohlídka jiného PC Jméno reportu (není třeba měnit) Počet administrátorů Kontrola slabosti hesla Kontrola Update (IIS a SQL jsou aplikace MS)

MBSA - Průběh kontroly Nejdříve je z Internetu stažena databáze Microsoft Update – což chvíli trvá, je nutné připojení k Internetu!!! Pak se provádí vlastní kontrola PC Po skončení kontroly se objeví report (zpráva s výsledkem)

MBSA - Report Základní údaje o kontrolovaném PC Výsledky kontroly Update

MBSA report - základy Kontrolovaná oblast je nebezpečná Popis toho co (a proč) bylo kontrolována Kontrolovaná oblast má drobné nedostatky Detailní výsledky kontroly Kontrolovaná oblast je bezpečná Jak chybu odstranit?

MBSA - Report Kontrola administrátorské zranitelnosti Kontrola hesel uživatelských účtů Kontrola zapnutí automatického Update Kontrola Update Kontrola – je zapnutý Windows Firewall? Rozebrat detaily jednotlivých kontrol podle What was scanned Kontrola souborového systému Je zapnutý účet Guest? Je zapnuta restrikce anonymního uživatele? Kontrola počtu administrátorů

MBSA Report Další systémové informace Kontrola nebezpečných služeb Kontrola sdílených složek Verze operačního systému Nastavení zón IE Ochrana proti automatickému spouštění maker

Cvičení Nastavte svoje PC tak, aby byl přístup na jeho vzdálenou plochu pro uživatele acer, heslo bude reca Nastavte svoji VM tak, aby při přihlašování bylo nutno zadat silné heslo s těmito parametry: Délka hesla 9 znaků Doba platnosti hesla 35 dnů Heslo bude možné opětovně měnit po 5 dnech Systém si bude pamatovat posledních 20 hesel Pokud se někdo 4 x špatně přihlásí k vašemu PC, tak se jeho účet zamkne na 1.hod Nastavte automatické aktualizace tak, aby se automaticky stahovaly a instalovaly Proveďte kontrolu nastavení vašeho PC prostřednictvím MBSA, případné chyby analyzujte a opravte

Nastavení zón Internet Exploreru IE má předdefinované zóny Pro každou zónu je předdefinované určité bezpečnostní nastavení (vysoké, středně vysoké, střední, středně nízké, nízké) Pokud se skutečné nastavení liší, jde z hlediska MBSA o chybu

Centrum pro virtuální a moderní metody a formy vzdělávání na Obchodní akademii T.G. Masaryka, Kostelec nad Orlicí Použité materiály: www.microsoft.cz Jaroslav Horák: Bezpečnost malých počítačových sítí 7.4.2017