19 Några ord om säkerhet och tillförlitlighet

Transkript

1 19 Några ord om säkerhet och tillförlitlighet Vad är säkerhet Säkerhet skulle kunna sägas vara att uppfylla följande två mål: Säkerställa rätt tillgång till resurser för egna användare Utestänga alla andra från samma resurser Det grundläggande behovet vårt nätverk försöker möta är ju att ge människor tillgång till resurser i nätverket. Resurser är delade mappar och skrivare, elpost, webb-servrar och mycket mera. Det räcker inte att vi använder konton, grupper och behörighetslistor, vi måste också se till att användarna inte kan stängas ute från resurserna och att de hindras från att använda dem på grund av någon annans försök att störa åtkomst. Att utestänga andra från användarnas resurser handlar både om behörighet och att inte ge dem möjlighet att störa användarna genom att åstadkomma onormal last på servrar och i nätverket. Idag verkar många intrångsförsök gå ut på att låta datorer och annan utrustning jobba med fel saker, s.k. Denial of Serviceattacker (DoS). Kunskap ger säkrare system Man brukar ju säga att okunskap är ett gott skydd (eng. Security by obscurity). Tänk bara på vad som skulle hända i nätverken om användarna fick för sig att prova olika saker. På samma sätt gäller omvändningen: med kunskap om ett system kan du göra det säkrare. I den isländska Eddan (poetiska Eddan) finns det en strof som lyder: det finns ingen värre vägsäck än kunskap liten, ingen bättre börda än kunskap mycken (jag har dock inte kunnat hitta strofen ). 733

2 19 Några ord om säkerhet och tillförlitlighet Hela denna bok handlar om säkerhet Jag drivs mycket av en passion för kunskap: jag vill veta hur det egentligen fungerar. Med ett tyskt uttryck: Wissen ist schön (fritt översatt: kunskap skänker glädje). Beväpnad med kunskap om Windows NT och hur de olika delarna samverkar tror jag att du kan åstadkomma ett ganska säkert nätverk åtminstone så länge alla datorer i nätet använder Windows NT. Goda skrifter, råd och dåd om säkerhet Till de flestas stora glädje är det inte så att Alla på Internet alltid försöker åstadkomma skada, det finns en mycket stor grupp människor som försöker både förhindra att skada uppstår och lindra när den ändå uppstår. Mycket av det arbete som dessa människor och organisationer lägger ned görs tillgängligt för alla, ofta utan kostnad. NT Security: Freuently Asked Questions, FAQ Den av många sedd som den mest heltäckande genomgången av säkerhetsfrågor för Windows NT finns i Stockholm på NT Server Security, Petteri Laamanen Petteri Laamanen på Department of Computer Science (Helsinki University of Technology) har skrivet en alldeles utmärkt översikt om säkerhet i Windows NT Server. Du finner den på Herr Laamanens elpostadress är petteri.laamanen@iki.fi. Site Security Handbook omfattande gratisskrift om säkerhet I kapitel 34 finns det information om goda böcker, även böcker om säkerhet i Windows NT-nätverk. Jag vill dock här slå ett slag för en god bok som du inte kan köpa eftersom den är gratis: Site Security Handbook. Denna bok döljer sig i RFC 2196 (RFC betyder Reuest for Comments och är det sätt på vilket Internet drivs framåt, skulle man kunna säga). För att öka din aptit återger jag här förordet från Site Security Handbook: This handbook is a guide to developing computer security 734

3 Genomgående i de flesta skrifter om säkerhet policies and procedures for sites that have systems on the Internet. The purpose of this handbook is to provide practical guidance to administrators trying to secure their information and services. The subjects covered include policy content and formation, a broad range of technical system and network security topics, and security incident response. Du finner RFC:er på (ett nytt ställe sedan våren 1998): / Windows NT Security: Step-by-Step Enligt doumentet själv är det ett arbete av 77 säkerhetsexperter från stora organisationer och företag. Du finner det på / Windows NT Security Guidelines, Steve Sutton Windows NT Security Guidelines är en slutrapport från ett projekt som Steve Sutton vid Trusted Systems Services, Inc utfört åt National Security Agency (det inte helt okända NSA) i USA. Rapporten är fritt tillgänglig i Adobe Acrobat-format på (Steve Sutton är författare till Windows NT Security Guide, vilken du kan läsa om i kapitel 34.) Windows NT Security Issues, Frank Ramos Frank Ramos står bakom Somarsoft (ramos somar). När Windows NT inte var så gammalt skrev han denna artikel. Du finner den på Herr Ramos skriver att den börjar bli en smula överspelad, men att den fortfarande innehåller en del nyttig information. Jag är mer benägen att hålla med om det senare, han är alltför blygsam. Genomgående i de flesta skrifter om säkerhet I de flesta skrifter om säkerhet med tillämpning på Windows NT finns det något som ständigt återkommer: det mesta finns redan inbyggt i Windows NT. Du behöver alltså inte köpa till vare sig utrustning eller program för att nå en rimligt hög säkerhet i en Windows NT-domän (Windows NT i arbetsgrupper kan man 735

4 19 Några ord om säkerhet och tillförlitlighet inte göra så mycket åt). En annan sak som återkommer är att det blir ofantligt mycket enklare att förbättra säkerheten om alla datorer använder Windows NT (Windows NT Workstation/Windows NT Server). Med Windows NT på alla datorer kan vi kasta bort mycket av den barlast som Windows NT släpar på för att kunna serva andra Windows. Barlasten utgörs i många fall av sådant som infördes med Microsoft LAN Manager, bl.a. har Windows NT två uppsättningar lösenord: ett för Windows NT och ett för LAN Manager. Lösenordet för LAN Manager är krypterat med en äldre och mindre säker metod vilket gör att det inte krävs lika mycket kraft och tid att knäcka dem. En tredje sak: Windows NT 4.0 innehåller de bästa möjligheterna för att ordna hög säkerhet. Även om ett flertal rättningar finns för Windows NT 3.51 kommer de ofta senare. Inbrottsverktyg (säkerhetsverktyg) För tillfället finns det tre större inbrottsverktyg (säkerhetsverktyg) som kan användas mot Windows NT. Det är ju så med flera verktyg att de blir inbrottsverktyg först i orätta händer (tänk bara på vad kofoten använts till genom tiderna). I datorsammanhang finns dessa verktyg (listan kommer att bli längre): L0pthcrack Back Orifice Netbus (Netbus intar en särställning eftersom det skrivits av en svensk, Carl-Fredrik Neikter.) Brandväggar för Windows NT Server Det finns ett flertal brandväggar för Windows NT: Alta Vista Firewall, DEC Check Point Firewall-1 Guardian Firewall, NetGuard KyberPASS

5 Anti-virusprodukter Microsof Proxy Server 2.0 Raptor Eagle, Axent Microsoft Proxy Server Microsoft Proxy Server är en mjuk brandvägg mellan intranät och Internet (eller mellan olika intranät och extranät). Såsom Proxy Server (ombud) hanterar den interna IP-adresser på den ena sidan och vanliga (Internet-dugliga) IP-adresser på den andra sidan. Ofta behövs en enda vanlig IP-adress till Proxy Server-datorn nätkort som har anslutning till Internet. För att nätbusar inte skall kunna ta sig genom Proxy-datorn är det viktigt att det inte förekommer någon routing mellan det nätverkskort som har kontakt med Internet och det nätverkskort som har kontakt med det inre nätverket. Proxy Server är ombud för webb-program (Web Proxy) och program som använder WinSocks (WinSock Proxy). Åtkomst kan styras på portnivå för både UDP och TCP. Ett gott råd vad gäller Windows NT Server på Proxy-datorn är ta bort alla tjänster som inte behövs från det nätverkskort som har kontakt utåt. Så till exempel kan tjänsten//service Server tas bort från detta (det görs med bindningar för nätverkstjänster). Certifiering av brandväggar International Computer Security Association, ICSA, säger sig vara ett oberoende organ för datorsäkerhet. I sin verksamhet certifierar de säkerhetsprodukter, bl.a. brandväggar. Ett gott tips är att besöka deras webb-ställe, (även leder dit, de har väl bytt från amerikansk (national) till internationell inriktning). Anti-virusprodukter Förutom alla andra åsikter man kan ha om datorvirus tycker att jag inte om dem därför att de stökar till felsökning. Otaliga är de gånger som jag undrar om ett datorproblem i själva verket kan vara orsakat av virus. För en supportingenjör är det aldrig roligt att behöva be en kund att undersöka om datorn blivit smittad av virus det känns som om man skyller ifrån sig. Det finns ett antal anti-virusprodukter för nätverksanvändning, några av dem finner du i listan nedan: 737

6 19 Några ord om säkerhet och tillförlitlighet Inoculan LANDesk Virus Protect Dr. Solomon's Anti-Virus Toolkit F-Prot Datorvirus räknas till hot mot säkerheten eftersom de utför en Denial of Service-attack. Resurser Blandade WWW-länkar Samtliga är John Vranesevich driver AntiOnline för att föra en sansad diskussion om säkerhetsfrågor [min tolkning] Försäljare av säkerhetsprodukter Försäljare av säkerhetsprodukter USA:s Energiministerium (Department of Energy, DOE) försöker hålla reda på sådant som har med säkerhet att göra Säkerhetsprodukter, m.m. Säkerhetsprodukter Företag som leds av Bruce Schneier, författare till Applied Cryptography Här skriver Bill Stout om säkerhet och håller reda på vilka attacker Windows NT varit utsatt för Great Circle Associates är tidigare arbetsplats för Brent Chapman, medförfattare till Building Internet Firewalls Intrusion Detection Inc. säljer Kane Security Suite, som bl.a. används för att automatiskt upptäcka säkerhetsluckor Trots.net är detta ett företag, Internet 738

7 Resurser Security Systems, Inc., som säljer produkter för ökad säkerhet L0pth (stavas med en nolla) är en samling datorintresserade människor som intresserar sig mycket för säkerhet. De har tillverkat l0pthcrack vilken synbarligen enkelt kan knäcka LAN Manager-lösenordet i Windows NT Kallar sig själva ett av Sveriges ledande företag inom datasäkerhet. Arbetar bl.a. med säkrare virtuella privata nätverk, VPN. Här har en part i målet försökt samla vetande om säkerhet (god information) Här finner du NT Research och Tom Sheldon, författare till Windows NT Security Handbook Aelita Software Group, program för ökad säkerhet, bland dem ERDisk och EventAdmin. Här kan du också hitta RedButton The Place On The Net for NT Security News, försöker följa med i de attacker som sker Säkerhetsprodukter Säkerhetsprodukter SANS Institute sysslar med många saker inom säkerhet. Bl.a. konferenser om säkerhet och den ovan nämnda Windows NT Security: Step-by-Step. En Garde Systems försöker här samla information och länkar angående säkerhet Gateway to Information Security. Blandad säkerhetsinformation Frank Ramos som skrivit DumpACL och DumpReg Trusted Systems Services Inc. Det är här Steve Sutton huserar. Hem för verktyget SuperCACLs, m.m. Home of Mnemonix. Denne Mnemonix har en del information om hur man hackar sig in i Windows NT Säkerhetsprodukter 739

8 19 Några ord om säkerhet och tillförlitlighet Verktyg Ägare av Asmodeus Security Scanner, en produkt för att automatiskt finna säkerhetsluckor Flera av de företag vars URL förekommer i tabellen över wwwresurser erbjuder olika verktyg och andra lösningar på säkerhetsproblem. Du gör klokt i att besöka dem på webben. Gruppost Dessa gruppostlistor har det gemensamt att de är modererade (d.v.s. man kan inte fritt skicka vad som helst till mottagarna) vilket gör att man aldrig behöver bekymra sig om erbjudanden att tjäna snabba pengar och annat lyckobringande (spam). Ett mycket kraftigt förslag från min sida är att du blir medlem i dessa gruppostlistor. Du kommer att märka att de flesta som skriver (andra medlemmar) är insatta i ämnet och även att personal från Microsoft är aktiva medlemmar. Notera också att Microsoft i juli 1998 började med en ny tjänst kallad Microsoft Security Notification Service vilken syftar till tidig information om säkerhetsproblem i Microsofts produkter. Erfarenheterna så långt är mycket goda. Listnamn Firewall-wizards Innehåll Brandväggar och slikt (inte begränsad till Windows NT) Vart vänder du dig Listnamn Microsoft Security Notification Service Innehåll Tidig varning om säkerhetsproblem i Microsofts produkter från Microsoft själva Vart vänder du dig subscribe.htm Listnamn NTBugTra Innehåll Information om nyfunna felaktigheter i Windows NT Vart vänder du dig 740

9 Framtiden hör Kerberos och kryptering till Listnamn Innehåll Vart vänder du dig NT Security Säkerhetsfrågor i och kring Windows NT Zero Administration Initiative och Zero Administration Kit, ZAK Zero Administration Initiative har ett underbart lovande namn: det är ju precis dit som alla administratörer strävar. Ett himmelrike där man inte behöver slita med lösenord som blivit för gamla och behörighetslistor som blivit fel. Som en försmak på detta har Microsoft i Zero Administration Kit sammanställt exempel på vad du redan i dag kan göra med Windows NT 4.0 (och till viss del med Windows 95/98). När du undersöker innehållet i ZAK märker du att man flitigt använder tre olika saker: Profiler Systemprinciper//system policies Lokal behörighet Budskapet är tydligt: det finns möjlighet att göra Windows NT bättre. (Tyvärr använder Microsoft den där gruppen jag inte vill ta i med tång ens: Alla på Internet//Everyone.) Framtiden hör Kerberos och kryptering till Framtiden för Windows NT (med början i Windows NT 5.0) kommer att gå i Kerberos tecken, allt kommer att krypteras och alla säkerhetsproblem kommer att vara försvunna (åtminstone torsdagar i udda veckor mellan och halv elva). För att lära dig mer om Windows NT 5.0 finns det redan ett antal alldeles utmärkta dokument på Microsofts webb-ställe ( Kerberos På sidan står det att Kerberos är ett protokoll för att medge eller neka användare tillgång till resurser i nätverk ( a network authentication protocol). Det har utvecklats för att använda pålitliga metoder för godkännande. Kerberos använder i sitt arbete kryptografiska nycklar (i Kerberos 741

10 19 Några ord om säkerhet och tillförlitlighet fall är det inte publika nycklar utan hemliga nycklar). En stor skillnad mot idag är att Kerberos medger att inte endast klienten behöver visa fram sina papper servern måste också göra det. Mer information (mycket mer) om Kerberos finner du länkar till på sidan (I grekisk mytologi är Kerberos en trehövdad hund vilken vaktar utgången från dödsriket så att inga själar kan lämna det. Den är också satt att avvisa ovidkommande besökare, såsom dem som fortfarande lever, vilket inte alltid lyckats ) Lösenord I min värld har administratörer målet att göra det så enkelt för användarna som möjligt. Jag brukar säga att den enda skyldighet som användarna har i ett nätverk är att använda goda lösenord i övrigt skall de inte behöva bry sig om datorfrågor utan ägna sig åt sina egna uppgifter. Många är kallade vad gäller goda råd om lösenord, låt mig bara foga ytterligare ett till listan: Använd svenska bokstäver i lösenorden Windows NT har inga som helst problem att använda svenska bokstäver i lösenord (och ingen annanstans heller). Detta kopplat med att de flesta nätbusar på Internet inte är svenskkunniga och inte ens tänker på att det kan finnas svenska bokstäver i lösenord gör att det tar längre tid att knäcka slika lösenord (det går säkert att bevisa med statistik). Vad gäller lösenord finns det inget bättre skydd än att verkligen medvetandegöra användarna om hur viktiga lösenord är och hur förtvivlat oskyddade hemmamappar och andra resurser är om en nätbuse får tillgång till kontonamn och lösenord. Kom ihåg: det räcker inte att under fem minuter på ett personalmöte förklara hur viktigt det är med lösenord budskapet måste nötas in så att det blir en betingad reflex att sträva efter goda lösenord. Jag verkar vara den som tycker illast om Alla//Everyone De flesta förslag och föreskrifter om ökad säkerhet handlar om att använda lokal behörighet som ett medel. Alla som jag 742

11 Jag verkar vara den som tycker illast om Alla//Everyone har läst har en annan syn på användningen av specialgruppen Alla//Everyone än vad jag har. När jag över huvudtaget inte vill använda Alla//Everyone i något annat sammanhang än för granskning//auditing så föreslår att andra att man använder den gruppen allt som oftast i behörighetslistor och för att tilldela användarrättigheter. Jag står fast vid min åsikt om Alla//Everyone: den är en eldsprutande drake vi släpper in i kvarteret, det enda som skyddar oss är staketet runt huset med den fina grinden (kontot Gäst//Guest som är inaktivt//disabled). Dessutom passar jag på tillfället att be och böna Microsoft: snälla, gör så att jag själv kan ställa in vilken förvald behörighet som skall gälla vid utdelning av resurser jag kan inte förstå varför det är en god idé att ge Alla på Internet//Everyone on the Internet Fullständig behörighet//full Control till mina delade resurser. Säkerhetskriterier för databehandling, C2 och E3 Du har säkert hört talas om C2 som ett samling föreskrifter för säker databehandling. C2 är en uppfinning av USAs militär, det är ganska lätt att förstå att de har krav på säker databehandling. Den institution i USA som sammanställt C2 och andra krav heter National Computer Security Center. Kraven för att ett system skall uppfylla nivå A, B, C eller D är sammanställda i Trusted Computer System Evaluation Criteria (ofta kallad Orange Book efter omslagets färg) som utges av just National Computer Security Center. Det enda europeiska organ som hörs i säkerhetskretsar är det brittiska ITSEC, vilkas säkerhetsnivå E3 bäst motsvarar den amerikanska C2. Enligt uppgift pågår arbete för att harmoniera de båda. Det är viktigt att veta att det är hela databehandlingssystemet som certifieras enligt C2, aldrig en enskild del. Med andra ord: Windows NT kan inte C2-certifieras i sig, det kan ingå i system som är C2-certifierade. Den certifiering som Windows NT uppnått innebär endast det: kan ingå som en del i ett databehandlingssystem som i sin helhet är C2-certifierat. 743

12 19 Några ord om säkerhet och tillförlitlighet Vad innebär C2 Kraven för att ett operativsystem skall vara certifierbart enligt C2 (mer om certifierbarhet nedan) är bl.a: De som använder systemet måste använda konton, måste logga in Objekt skall kunna åsättas behörighetslistor (eng. discretionary access control) Objekt skall ha ägare Ägandeskap skall inte kunnas ge till någon, det måste tas över När objekt tas bort skall deras innehåll inte kunna återställas (innehållet i borttagna filer, ex.) När nya objekt upprättas måste de nollställas (nya filer får inte tillåtas innehålla data från borttagna filer) Händelser skall journalföras Systemet skall inte kunna användas om inte händelser journalföres Nästa nivå uppåt, nivå B, anger bl.a. tvingande behörighet (Mandatory Access Control). Vilka produkter är C2-certifierade National Computer Security Center sammanställer listor över de produkter som certifierats för C2-system. Listan finns naturligtvis på webben, du finner deras Evaluated Products List på / Sommaren 1998 finns det två olika Windows NT-produkter på listan: Windows NT Workstation 3.5 SP 3 Windows NT Server 3.5 SP 3 En viktig kommentar: båda systemen är testade (evaluerade) utan nätverk. Skulle du använda någon av dem som klient eller server i ett nätverk gäller inte längre deras C2-status. Det står så här på webb-stället ovan: Because the evaluated configuration does not include a network environment, both products are considered stand-alone workstations. Microsoft, för sin del, driver linjen att eftersom metoden att 744

13 Enkla saker för att höja säkerheten hantera tjänster i Windows NT ingår i de testade produkterna och nätverksdelarna bara är tjänster borde de behålla sin C2-status med nätverket igång. Vi får se NetWare 4.11 är C2-certifierat Intressant att notera är att Novell NetWare är C2-klart. På webbstället ovan står att läsa att: Novell IntranetWare [NetWare 4.11] with IntranetWare Support Pack 3A and Directory Services Update DS.NLM v5.90, DSREPAIR.NLM v4.48, RollCall.NLM v4.10 har uppnått C2-status. Mer om C2 På webb-stället finner du mycket information om C2. Det är studenter som uppenbarligen skrivit av alla böcker i den s.k. Rainbow Series (alla böcker har färgade omslag). C2Config i Resource Kit Ett bekvämt hjälpmedel för att höja säkerheten på en Windows NT-dator är verktyget C2Config.Exe i Microsoft Resource Kit. Enkla saker för att höja säkerheten Bryt dig in i ditt eget nätverk Uppträda under falsk flagg På engelska finns det en term, social engineering, som bygger på att man snappar upp kontonamn och lösenord på olika vägar. Kontonamn kan ex. framgå av elpostadresser, lösenord gissas utgående från användarens eget namn, makes namn eller barns namn. Om en datorbuse lyckas komma över elpost där en användare skriver om vardagliga saker kan hon lära sig en hel del. En annan, med framgång provad angreppsmetod, är att ringa en användare och säga: Hej, det är Lisa från IT, det är något problem med ditt konto och jag måste ha ditt lösenord för att prova kontot. Låt gärna någon pålitlig person med en obekant röst prova detta i er egen organisation, ring då inte internt utan via växeln. En variant på temat är att inte ens veta vad personen 745

14 19 Några ord om säkerhet och tillförlitlighet heter utan ringa växeln och be dem koppla till Christina nå'nting på marknad som har lämnat ett telefonmeddelande. När den pålitliga blir kopplad till en person efter en del förhandling om vem det kan ha varit som ringde kan hon dra valsen med Lisa från IT igen (kom ihåg att ni denna gång måste ha kontonamnet också). Du kan också låta den pålitliga personen besöka er och antingen själv söka sig fram till och in i serverrummet eller be att få bli visad dit under någon förespegling, varför inte: jag kommer från AB Datakyla och skall träffa datachefen i serverrummet för att diskutera en offert, kan du visa mig dit? Glöm inte IT-avdelningen Kom ihåg: säkerheten börjar och slutar med IT-avdelningen. Ni måste gå i bräschen och se till att ni själva har goda lösenord, att ni inte använder favoritlösenord, att ni byter lösenord när så tarvas, att ni har egna administratörskonton så det går att se i Loggboken//Event Viewer vem som gjort vad, m.m. För att se hur ditt eget folk fungerar kan du låta en anställd uppge att hon har ett problem av sådan art att hon måste få hjälp på plats. Den anställdas uppdrag, från dig, är att försöka uppfatta lösenordet för det konto som personen från IT använder, det borde vara möjligt att åtminstone avgöra hur många tecken som ingår i lösenordet bara genom att lyssna när IT-personen skriver det på tangentbordet. Några frågor med hänsyftning till lösenordet låter sig också ställas har ni alla samma lösenord?, vilket lösenord hade ni tidigare? (jag vet en organisation som använde namn på svampar som lösenord för det gemensamma administratörskontot). Om du lyckas är det inte användarnas fel En sak om du lyckas bryta dig in i ditt eget nätverk är det inte de enskilda användarna som skall hängas ut till allmänt spott och spe. Säkerhetsarbetet börjar högst upp i organisationen se till att de i ledningen blir medvetna om de kostnader som uppstår om en datorbuse verkligen lyckas skaffa sig tillgång till information som finns på era servrar (ofta finns viktig information i användares hemmamappar fråga gärna ledningsgruppen vad de har i hemmamapparna och på sina bärbara datorer.) 746

15 Enkla saker för att höja säkerheten Kryptera viktig information på bärbara datorer En svag länk i säkerhetskedjan är ofta bärbara datorer. Dessa innehas ofta av personer med tillgång till en myckenhet känslig information, information som ofta återfinns i form av filer på datorn. Det finns idag en mängd produkter för att säkra bärbara datorer, bland dem Philips KeyPak 300, Norton Access Control for Windows NT, Protect!, Encryption Plus, m.fl. (Följ länkarna i tabellen ovan.) Endast tillåta användare lokal inloggning på egna datorer Om du studerar användarrättigheter på Windows NT Workstation och fristående Windows NT Server ser du att gruppen Alla/ /Everyone påfallande ofta förekommer i listan över grupper som tilldelats vissa användarrättigheter. Jag föreslår att du byter ut Alla//Everyone mot Domänanvändare//Domain Users (eller Användare//Users) på alla ställen. Det innebär att du endast ger egen domäns användare (alla som har domänkonton i domänen) denna användarrättighet, vilket förmodligen stämmer bättre med våra behov. Endast tillåta användare tillgång till servrar Det har alltid varit möjligt i Windows NT att stänga ute andra än domänens egna användare från servrarna. Det enda du behöver göra är att ta ifrån gruppen Alla//Everyone användarrättigheten Åtkomst till den här datorn från nätverket//access this computer from network och i stället ge den till gruppen Domänanvändare/ /Domain Users (Användare//Users i Microsofts modell). Samma möjlighet finns i Service Pack 3 för Windows NT 4 och sec-fix för Windows NT 3.51, se nedan. Reservera diskettenheten och cd-läsaren för den inloggade användaren En förövare behöver inte fysisk tillgång till en Windows NT-dator hela tiden det kan räcka med att hon matar in en diskett i diskettenheten eller en cd i cd-läsaren och att hon sedan över nätverket skaffar sig tillgång till disketten/cd:n. Med disketten/cd:n på plats kommer hon över känslig information på Windows NT-datorn genom att skriva den till en diskett i datorns diskettenhet och sedan hämta disketten vid ett lämpligt tillfälle (den hamnade i diskettenheten vid ett tidigare lämpligt 747

16 19 Några ord om säkerhet och tillförlitlighet tillfälle). Man kan också tänka sig att hon låter informationen hamna i en nätverksmapp hon har tillgång till. Omvändningen gäller också: ett sätt att starta ett program på en Windows NT-dator kan vara genom att programmet finns på en diskett i diskettenheten. Programmet kan sedan skicka information till förövaren med hjälp av elpostsystemet. Programmet kan vara gjort så att det väntar tills användaren lämnar datorn eller tills det är natt innan det börjar arbeta, går det inte första gången är det bara att försöka igen). Än så länge är det inte vanligt med cd-läsare som kan spela in data, men det är fullt möjligt för en förövare att lägga ett program på en cd och sedan se till att den hamnar i cd-läsaren för att på så sätt kunna starta det över nätverket. Det är möjligt i Windows NT att reservera diskettenhet och cd-läsare för den användare som är inloggad lokalt de blir då inte åtkomliga över nätverket. Förbehålla diskettenheter för den inloggade användaren Genom att lägga till värdet AllocateFloppies till nyckeln (i Registret//Registry) HKey_Local_Machine\ Software\ Microsoft\ Windows NT\ Winlogon\ kan du styra åtkomst av diskettenheter för nätverksanvändare. AllocateFloppies skall vara av typen Strängvärde//String Value (Reg_SZ). När dess värde är 1 är diskettenheterna förbehållna den lokalt inloggade användaren. Alla andra värden och om den inte finns gör diskettenheterna tillgängliga över nätverket. Var noga med att prova detta efter ändring så du inte råkar stava fel. Ändringar kräver ut- och inloggning för att ha verkan. Förbehålla cd-läsare för den inloggade användaren Genom att lägga till värdet AllocateCDRoms till nyckeln (i Registret//Registry) HKey_Local_Machine\ Software\ Microsoft\ 748

17 TechNet gör stor nytta Windows NT\ Winlogon\ kan du styra åtkomst av cd-läsare för nätverksanvändare. AllocateCDRoms skall vara av typen Strängvärde//String Value (Reg_SZ). När dess värde är 1 är cd-läsare förbehållna den lokalt inloggade användaren. Alla andra värden och om den inte finns gör lokala cd-läsare tillgängliga över nätverket. Var noga med att prova detta efter ändring så du inte råkar stava fel. Ändringar kräver ut- och inloggning för att ha verkan. Om cd-läsaren delas ut när AllocateCDRoms är aktivt kommer användaren få besked om att åtkomst nekas (access denied), oavsett vilken behörighet som används. TechNet gör stor nytta TechNet innehåller, som alltid, många nyttiga artiklar om säkerhet. Bland dem finner du Securing Windows NT 4.0 Installation och C2 Security Overview. Båda finns i MS BackOffice and Enterprise Systems/MS BackOffice/MS Windows NT Server/Technical Notes. Ring Microsoft AB, och beställ TechNet idag eller koppla dig nu genast till Microsofts webb-ställe. KnowledgeBase från TechNet finns i sökbar form på Microsofts webb-ställe. Någon gång har jag haft problem att söka efter en viss artikel med känt Q-nummer, men då kunna ange URL:en direkt till artikeln, ex. om du vill nå artikel Q Restricting Information Available to Anonymous Logon Users TechNet-artikel Q143474, Restricting Information Available to Anonymous Logon Users, handlar om ett par viktiga saker för säkerheten som infördes med Service Pack 3 för Windows NT 4.0 (det finns ett hotfix-paket, sec-fix, för Windows NT 3.51). Den ena saken är möjligheten att inte tillåta inloggningar över nätverket utan att uppge kontonamn och lösenord (s.k. Anonymous logons), den andra är att installation av Service Pack 3 begränsar åtkomst till Registret//Registry över nätverket. 749