Безопасные шары

Степан Ильин aka Step

Xakep, номер #065, стр. 065-032-1

(step@real.xakep.ru)

Учимся защищать родные ресурсы

Расшаренные ресурсы представляют собой потенциальную угрозу безопасности машины, особенно если ресурсы эти расшарены не по уму. А очень часто именно так и бывает. Только что подключившиеся к локалке пользователи, находясь в состоянии эйфории, так и норовят открыть свободный доступ к своим файлам, папкам или даже, черт возьми, целым дискам. Впрочем, несерьезным подходом к этой операции порой грешат и их более опытные товарищи. Удивительно, как мало людей задумываются о том, что нет ничего хорошего, когда на твоей машине тусуется не только сосед Вася (и еще пара-тройка ответственных пацанов), а все кому не лень. Тем более что последствия подобного легкомыслия, как правило, бывают самыми плачевными.

Немного теории

Еще во времена Windows 95/98/Me пользователь мог устанавливать на расшаренные ресурсы пароль, чтобы к ним могли обращаться лишь избранные юзеры. Но народные умельцы быстро нашли способ обхода этой защиты. На свет появилась небезызвестная утилита xIntruder, которая, используя характерную для указанных систем дыру в реализации SMB протокола, позволяла за довольно короткий срок подобрать брутфорсом ключ к запароленному объекту.

В Windows 2000 за обеспечение шар защитой (да и за безопасность системы в целом) разработчики взялись куда более основательно. У каждого объекта появился специальный список управления доступом Access Control List (ACL), в котором пользователь при определенном желании мог конкретно описать политику безопасности. Проще говоря, любому сетевому ресурсу стали строго указывать, какие юзеры и на каком уровне могут с ним общаться. Единственный нюанс - эта система сильно зависит от технологии управления сетью. Так подключенный к рабочей группе компьютер, по сути, является сам себе хозяином. Его владелец может самостоятельно создавать аккаунты удаленным юзерам и использовать их, чтобы прописать права на свои шары. Но если комп подключен к домену, вся система выглядит совершенно по-другому. В этом случае все учетные записи централизованно хранятся в одном-единственном месте – на машине с установленным контролером домена (сервере). Эти данные применяются как для входа компьютера в сеть, так и для установки разрешений на допуск к его открытым ресурсам. Разница очевидна. Второй вариант, естественно, гораздо предпочтительнее и с точки зрения удобства, и с точки зрения уровня безопасности сети, так как практически сводит к нулю вероятность проникновения в локалку посторонних пользователей.

В WinXP добавился еще один, более простой метод создания общих папок – Simple File Sharing. Его функции предельно ограничены: он не предусматривает установку каких-либо паролей и ограничений, а в списке возможных разрешений значатся всего два пункта: чтение и полный доступ. При наличии включенного гостевого аккаунта, имеющегося по умолчанию в любой NT-based системе, расшаренные подобным образом объекты могут быть использованы каждым юзером LAN. Самое неприятное заключается в том, что этот метод, как правило, включен в XP по умолчанию.