Ограничение компьютера на доступ в синтаксисе sddl
Для корректной работы OPC серверов необходимо настроить сетевые параметры и параметры безопасности DCOM.
Настройка OpcEnum не требуется, поскольку данная служба автоматически настраивается при установке "OPC Core Components".
Пример настройки параметров приведен для тестового OPC сервера "Теst OPC Server" (является 32-х битным приложением). Настройка параметров DCOM выполняется с помощью панели управления "Службы компонентов" Windows. В зависимости от разрядности операционной системы и приложения OPC сервера необходимо запускать соответствующую версию панели управления:
- Версия Windows 32-х битная - команда "dcomcnfg" (рис. 19.1).
- Версия Windows 64-х битная, исполняемый файл OPC сервера 64-х битный - команда "dcomcnfg" (рис. 19).
- Версия Windows 64-х битная, исполняемый файл OPC сервера 32-х битный - команда "mmc comexp.msc /32" (рис. 20).
Для выполнения команды нажмите на клавиатуре Win + R, чтобы открыть окно запуска программ из командной строки.
Рис. 19.1 Запуск службы компонентов (вариант 1)
Рис. 20 Запуск службы компонентов (вариант 2)
Вопросы безопасности
В этом разделе описывается, как злоумышленник может использовать функцию или ее конфигурацию, как реализовать контрмеры, а также возможные негативные последствия контрмеры.
Местонахождение
Конфигурация компьютера\Windows Параметры\Security Параметры\Local Policies\Security Options
Уязвимость
Многие приложения COM включают определенный код для безопасности (например, для вызова CoInitializeSecurity), но в них используются слабые параметры, которые позволяют неавентированному доступу к процессу. Администраторы не могут переопределять эти параметры для обеспечения более строгой безопасности в более ранних версиях Windows без изменения приложения. Злоумышленник может попытаться использовать слабую безопасность в отдельном приложении, атакуя его с помощью com-вызовов.
Кроме того, инфраструктура COM включает службы удаленного вызова процедур (RPCSS), системную службу, которая выполняется во время и после запуска компьютера. Эта служба управляет активацией com-объектов и запущенной таблицы объектов и предоставляет дополнительные службы для перенаправки DCOM. Он предоставляет интерфейсы RPC, которые можно назвать удаленно. Поскольку некоторые серверы на основе com позволяют неавентированному удаленному доступу, эти интерфейсы могут быть вызваны любыми пользователями, включая неавентированных пользователей. В результате RPCSS могут атаковать вредоносные пользователи, которые используют удаленные, неавентированные компьютеры.
Управление политикой
В этом разделе описываются функции и средства, которые можно использовать для управления этой политикой.
Уязвимость
При захвате сеанса используются средства, позволяющие злоумышленникам, которые имеют доступ к той же сети, что и клиентские устройства или сервер, прервать, закончить или украсть сеанс. Злоумышленники потенциально могут перехватывать и изменять неподписаемые пакеты SMB, а затем изменять трафик и переназначить его, чтобы заставить сервер выполнять нежелательные действия. Кроме того, злоумышленник может представлять себя как сервер или клиентский компьютер после законной проверки подлинности и получить несанкционированный доступ к данным.
SMB — это протокол обмена ресурсами, поддерживаемый многими версиями Windows операционной системы. Это основа многих современных функций, таких как дисковые пространства Direct, служба хранилища Replica и SMB Direct, а также множество устаревших протоколов и инструментов. Сигнатуры SMB сдают проверку подлинности пользователей и серверов, на которые хозяйют данные. Если одна из сторон не справилась с процессом проверки подлинности, передача данных не происходит.
Уязвимость
Многие приложения COM включают определенный код для безопасности (например, для вызова CoInitializeSecurity), но в них используются слабые параметры, которые позволяют неавентированному доступу к процессу. Невозможно переопрепредить эти параметры, чтобы заставить более надувную безопасность в более ранних версиях Windows без изменения приложения. Злоумышленник может попытаться использовать слабую безопасность в отдельном приложении, атакуя его с помощью com-вызовов.
Кроме того, инфраструктура COM включает службу удаленного вызова процедур (RPCSSS), системную службу, которая запускается во время запуска компьютера и всегда выполняется после этого. Эта служба управляет активацией com-объектов и запущенной таблицы объектов и предоставляет дополнительные службы для перенаправки DCOM. Он предоставляет интерфейсы RPC, которые можно назвать удаленно. Так как некоторые серверы на основе COM позволяют неавентированной удаленной активации компонентов, эти интерфейсы могут быть вызваны любыми пользователями, включая неавентированных пользователей. В результате RPCSS может быть атакован вредоносными пользователями с помощью удаленных, неавентированных компьютеров.
Необходимость перезапуска
Нет. Изменения в этой политике становятся эффективными без перезапуска компьютера при локальном сбережении или распространении через групповую политику.
Вопросы безопасности
В этом разделе описывается, каким образом злоумышленник может использовать компонент или его конфигурацию, как реализовать меры противодействия, а также рассматриваются возможные отрицательные последствия их реализации.
Location
Конфигурация компьютера\Windows Параметры\Security Параметры\Local Policies\Security Options
Возможные значения
Это представляет, как локализованная политика безопасности удаляет ключ для обеспечения соблюдения политики. Это значение удаляет политику, а затем задает ее значение Not defined. Пустое значение замещается с помощью редактора ACL, чтобы очистить список, а затем нажать кнопку ОК.
Пользовательский ввод представления SDDL групп и привилегий
При указании пользователей или групп, которые должны быть предоставлены разрешения, поле дескриптора безопасности заполняется представлением языка определения определения безопасности этих групп и привилегий. Пользователям и группам могут быть предоставлены явные привилегии разрешить или запретить как локальный доступ, так и удаленный доступ.
Значения по умолчанию
В следующей таблице перечислены фактические и эффективные значения по умолчанию для этой политики. Значения по умолчанию также можно найти на странице свойств политики.
Тип сервера или объект групповой политики | Значение по умолчанию |
---|---|
Default Domain Policy | Пустое |
Политика контроллера домена по умолчанию | Пустое |
Параметры по умолчанию для автономного сервера | Пустое |
Dc Effective Default Параметры | Не определено |
Действующие параметры по умолчанию для рядового сервера | Не определено |
Действующие параметры по умолчанию для клиентского компьютера | Не определено |
Рекомендации
Противодействие
Чтобы защитить отдельные приложения или службы на основе COM, установите параметр DCOM: Machine Access Restrictions in Security Descriptor Definition Language (SDDL) для соответствующего параметра ACL на всем устройстве.
Местонахождение
Конфигурация компьютера\Windows Параметры\Security Параметры\Local Policies\Security Options
4.1 Настройка параметров по умолчанию
Рис. 21 Свойства
Рис. 22 Безопасность COM
Кликните по кнопке №1 (рис. 22). В появившемся диалоговом окне (рис.23):
- Кликните на кнопке "Добавить";
- Добавьте группу пользователей "Пользователи DCOM", выполнив действия, аналогичные показанным на рисунках 7 – 9;
- Установите для нее права доступа;
- Сохраните изменения, кликнув по кнопке "OK".
Рис. 23 Настройка прав доступа
Повторите действия в диалоговом окне "Разрешение на запуск и активацию" (рис.24), которое появляется при клике на кнопке №2 "Изменить умолчания" (рис.22).
Рис. 24 Настройка разрешений на запуск
На закладке "Набор протоколов" (рис.25) удалите все протоколы, кроме TCP/ IP и нажмите "OK" для того чтобы сохранить изменения в диалоговом окне "Свойства: Мой компьютер".
Рис. 25 Настройка разрешений на запуск
Возможные значения
Пользовательский ввод представления SDDL групп и привилегий
При указании пользователей или групп, которые должны быть предоставлены разрешения, поле дескриптор безопасности заполняется языком определения безопасности для этих групп и привилегий. Пользователям и группам могут быть предоставлены явные привилегии разрешить или запретить локальный доступ и удаленный доступ.
Это представляет, как локализованная политика безопасности удаляет ключ для обеспечения соблюдения политики. Это значение удаляет политику, а затем задает ее как "Не определено". Пустое значение замещается с помощью редактора ACL, чтобы очистить список, а затем нажать кнопку ОК.
Групповая политика
Параметры реестра, созданные в результате включения параметров DCOM: Machine Access Restrictions in Security Descriptor Definition Language (SDDL), при настройке этого параметра политики имеют приоритет перед предыдущими настройками реестра. Служба удаленного вызова процедур (RPC) проверяет новые ключи реестра в разделе Политики для ограничений компьютера, и эти записи реестра имеют приоритет над существующими ключами реестра в OLE. Это означает, что ранее существующие параметры реестра перестают быть эффективными, и при внесении изменений в существующие параметры разрешения доступа к устройствам для пользователей не меняются. Используйте заботу при настройке списка пользователей и групп.
Если администратору отказано в разрешении на доступ к приложениям DCOM из-за изменений, внесенных в DCOM в операционной системе Windows, администратор может использовать ограничения доступа к компьютерам DCOM: Machine Access в параметре политики синтаксиса SDDL для управления доступом DCOM к компьютеру. Администратор может использовать этот параметр, чтобы указать, какие пользователи и группы могут получить доступ к приложению DCOM на компьютере локально и удаленно. Это восстановит управление приложением DCOM администратору и пользователям. Для этого откройте параметр синтаксиса DCOM: Machine Access Restrictions in Security Descriptor Definition Language (SDDL) и нажмите кнопку Изменить безопасность. Укажите пользователей или группы, которые необходимо включить, и разрешения на доступ к компьютеру для этих пользователей или групп. Это определяет параметр и задает соответствующее значение SDDL.
Возможное влияние
Windows при их установке реализуется по умолчанию com ACLs. Изменение этих ALS по умолчанию может привести к сбойу некоторых приложений или компонентов, которые взаимодействуют с помощью DCOM. Если вы реализуете сервер на основе com и переопределите параметры безопасности по умолчанию, подтвердите, что разрешения на вызовы, которые назначает ACL, являются правильными разрешениями для соответствующих пользователей. Если этого не происходит, необходимо изменить разрешение ACL, определенное для приложения, чтобы предоставить соответствующим пользователям права на активацию, чтобы приложения и Windows, которые используют DCOM, не сдались.
В этой статье описываются лучшие практики, расположение, значения, управление политикой и соображения безопасности для сетевого клиента Майкрософт: параметры политики безопасности SMBv3 и SMBV2 в цифровом формате подписывают параметры политики безопасности для smBv3 и SMBv2.
Значения по умолчанию
В следующей таблице перечислены значения по умолчанию для этой политики. Значения по умолчанию также можно найти на странице свойств политики.
Тип сервера или объект групповой политики | Значение по умолчанию |
---|---|
Default Domain Policy | Отключено |
Политика контроллера домена по умолчанию | Отключено |
Параметры по умолчанию для автономного сервера | Отключено |
Dc Effective Default Параметры | Отключено |
Действующие параметры по умолчанию для рядового сервера | Отключено |
Действующие параметры по умолчанию для клиентского компьютера | Отключено |
Возможные значения
Значения по умолчанию
В следующей таблице перечислены фактические и эффективные значения по умолчанию для этой политики. Значения по умолчанию также можно найти на странице свойств политики.
Тип сервера или объект групповой политики | Значение по умолчанию |
---|---|
Default Domain Policy | Пустое |
Политика контроллера домена по умолчанию | Пустое |
Параметры по умолчанию для автономного сервера | Пустое |
Dc Effective Default Параметры | Не определено |
Действующие параметры по умолчанию для рядового сервера | Не определено |
Действующие параметры по умолчанию для клиентского компьютера | Не определено |
4.2 Настройка параметров для OPC сервера
Рис. 26 Настройка DCOM для OPC сервера
Поскольку все параметры были настроены для всего компьютера, то необходимо убедиться, что OPC сервер использует параметры по умолчанию.
Рис. 27 Общие свойства OPC сервера
Рис. 28 Свойства безопасности
Рис. 29 Конечные узлы
Рис. 30 Удостоверение
На закладке "Удостоверение" необходимо указать имя пользователя, который был создан ранее, от имени которого будет запускаться OPC сервер.
Замечание 1. Перед изменением настроек OPC сервера необходимо убедиться, что он не запушен и отсутствует в списке активных процессов. Или перезапустить OPC сервер после изменения настроек.
Замечание 2. Для некоторых OPC серверов необходимо, чтобы они были запущены хотя бы один раз с правами администратора, для того чтобы зарегистрироваться в системе и инициализировать параметры OPC сервера. Только после такой инициализации они будут доступны для обнаружения через OpcEnum и подключения.
Вопросы безопасности
В этом разделе описывается, каким образом злоумышленник может использовать компонент или его конфигурацию, как реализовать меры противодействия, а также рассматриваются возможные отрицательные последствия их реализации.
Справочники
Этот параметр политики похож на параметр синтаксиса DCOM: Machine Access Restrictions in Security Descriptor Definition Language (SDDL), который позволяет определить дополнительные элементы управления на компьютере, которые управляют доступом ко всем приложениям на основе DCOM на устройстве. Однако acLs, указанные в этом параметре политики, контролируют локальные и удаленные запросы на запуск COM (а не запросы доступа) на устройстве. Простой способ управления доступом — это дополнительный контроль доступа, выполняемый с ACL на всем устройстве при каждом запуске любого сервера на основе COM. Если проверка доступа не удается, вызов, активация или запрос на запуск отказано. (Эта проверка является дополнением к любой проверке доступа, которая проводится в отношении acLs, определенного для сервера.) По сути, он предоставляет минимальный стандарт авторизации, который должен быть передан для запуска любого сервера на основе COM. Параметр политики синтаксиса DCOM: Machine Access Restrictions in Security Descriptor Definition Language (SDDL) отличается тем, что обеспечивает минимальную проверку доступа, которая применяется к попыткам получить доступ к уже запущенным com-серверу.
Эти acLs для всего устройства предоставляют способ переопределения слабых параметров безопасности, заданных приложением с помощью параметров безопасности CoInitializeSecurity или определенных приложений. Они предоставляют минимальный стандарт безопасности, который должен быть пройден, независимо от параметров определенного сервера на основе COM. Эти ALS предоставляют администратору централизованное расположение для определения общей политики авторизации, которая применяется ко всем серверам на основе COM. Параметр DCOM: Machine Launch Restrictions in the Security Descriptor Definition Language (SDDL) syntax allows you to specify an ACL in two ways. Вы можете ввести дескриптор безопасности в SDDL или предоставить пользователям и группам разрешения локального доступа и удаленного доступа. Рекомендуется использовать встроенный пользовательский интерфейс для указания содержимого ACL, которое необходимо применить в этом параметре. Параметры ACL по умолчанию различаются в зависимости от версии Windows запущенной версии.
Возможное влияние
Windows при их установке реализуется по умолчанию com ACLs. Изменение этих ALS по умолчанию может привести к сбойу некоторых приложений или компонентов, которые взаимодействуют с помощью DCOM. Если вы реализуете сервер на основе COM и переопределите параметры безопасности по умолчанию, подтвердите, что разрешения ACL, назначимые для конкретного приложения, включают разрешения на активацию для соответствующих пользователей. Если этого не происходит, необходимо изменить разрешение ACL на запуск для определенных приложений, чтобы предоставить соответствующим пользователям права на активацию, чтобы приложения и Windows, которые используют DCOM, не сдались.
Управление политикой
В этом разделе описываются функции и средства, доступные для управления этой политикой.
Необходимость перезапуска
Нет. Изменения в этой политике становятся эффективными без перезапуска устройства при локальном сбережении или распространении с помощью групповой политики.
Групповая политика
Параметры реестра, созданные в результате этой политики, имеют приоритет над предыдущими настройками реестра в этой области. Служба удаленного вызова процедур (RPC) проверяет новые ключи реестра в разделе Политики на наличие ограничений на компьютер; эти записи имеют приоритет над существующими ключами реестра в OLE.
Если вам отказано в доступе для активации и запуска приложений DCOM из-за изменений, внесенных в DCOM в операционной системе Windows, этот параметр политики можно использовать для управления активацией DCOM и запуска на устройство.
Вы можете указать, какие пользователи и группы могут запускать и активировать приложения DCOM на устройстве локально и удаленно с помощью параметров политики синтаксиса DCOM: Machine Launch Restrictions in Security Descriptor Definition Language (SDDL). Это восстанавливает управление приложением DCOM администратору и указанным пользователям. Для этого откройте параметр синтаксиса DCOM: Machine Launch Restrictions in Security Descriptor Definition Language (SDDL) и нажмите кнопку Изменить безопасность. Укажите группы, которые необходимо включить, и разрешения на запуск устройства для этих групп. Это определяет параметр и задает соответствующее значение SDDL.
Противодействие
Альтернативным контрмером, который может защитить весь сетевой трафик, является реализация цифровых подписей через IPsec. Существуют аппаратные ускорители шифрования и подписи IPsec, которые можно использовать для минимизации влияния производительности на серверы. Нет таких ускорителей для подписания SMB.
4.1 Настройка параметров по умолчанию
Рис. 21 Свойства
Рис. 22 Безопасность COM
Кликните по кнопке №1 (рис. 22). В появившемся диалоговом окне (рис.23):
- Кликните на кнопке "Добавить";
- Добавьте группу пользователей "Пользователи DCOM", выполнив действия, аналогичные показанным на рисунках 7 – 9;
- Установите для нее права доступа;
- Сохраните изменения, кликнув по кнопке "OK".
Рис. 23 Настройка прав доступа
Повторите действия в диалоговом окне "Разрешение на запуск и активацию" (рис.24), которое появляется при клике на кнопке №2 "Изменить умолчания" (рис.22).
Рис. 24 Настройка разрешений на запуск
На закладке "Набор протоколов" (рис.25) удалите все протоколы, кроме TCP/ IP и нажмите "OK" для того чтобы сохранить изменения в диалоговом окне "Свойства: Мой компьютер".
Рис. 25 Настройка разрешений на запуск
Справочники
Реализация цифровых подписей в сетях с высокой безопасностью помогает предотвратить вымысление клиентских компьютеров и серверов, которые называются "захватом сеансов". Неправильное использование этих параметров политики является распространенной ошибкой, которая может привести к сбою доступа к данным.
Начиная с клиентов и серверов SMBv2, подписание может потребоваться или не требуется. ** Если этот параметр политики включен, клиенты SMBv2 будут подписывать все пакеты в цифровом формате. Другой параметр политики определяет, требуется ли подписание для серверных коммуникаций SMBv3 и SMBv2: microsoft network server: Digitally sign communications (always).
Между клиентом SMB и SMB-сервером ведутся переговоры, чтобы решить, будет ли использоваться подписание. В следующей таблице показано эффективное поведение SMBv3 и SMBv2.
Сервер — требуется | Сервер — не требуется | |
---|---|---|
Клиент — необходимый | Signed | Signed |
Клиент — не требуется | Подписанный 1 | Не подписано 2 |
Производительность подписи SMB улучшается в SMBv2. Дополнительные сведения см. в статью Потенциальное влияние.
Возможное влияние
служба хранилища скорости влияют на производительность. Более быстрый диск по источнику и назначению позволяет больше пропускной способности, что приводит к большему использованию ЦП для подписания. Если вы используете сеть Ethernet с объемом 1 Гб или медленную скорость хранения с современным ЦП, производительность ограничена. Если вы используете более быструю сеть (например, 10 ГБ), производительность подписи может быть больше.
Описывает наиболее оптимальные методы, расположение, значения и соображения безопасности для DCOM: Ограничения запуска машин в параметре политики политики безопасности синтаксиса определения дескриптора безопасности (SDDL).
Управление политикой
В этом разделе описываются функции и средства, доступные для управления этой политикой.
Необходимость перезапуска
Нет. Изменения в этой политике становятся эффективными без перезапуска компьютера при локальном сбережении или распространении через групповую политику.
4.3 Настройка доступа к OPC серверам "Для всех"
Внимание! Разрешение доступа для всех может снизить уровень безопасности компьютера.
Иногда требуется разрешить доступ к OPC серверу для всех, включая анонимных пользователей. Например, когда компьютер с сервером не включен в домен, а к серверу будут подключаться множество клиентов.
- Компьютер с сервером может быть не включен в домен;
- Не требуется создавать пользователей на компьютере с OPC сервером;
- Пользователи могут запускать OPC клиент от своего имени.
- Угроза безопасности компьютера за счет разрешения удаленного доступа к DCOM для всех.
Если вы хотите дать доступ к OPC серверу для всех, то необходимо настроить индивидуальные права доступа для выбранного OPC сервера.
Откройте настройки DCOM для OPC сервера, как показано в разделе 4.2 и модифицируйте их согласно рис.31 – рис.34. Остальные опции должны соответствовать параметрам, указанным в разделе 4.2.
Рис. 31 Общие свойства
Рис. 32 Свойства безопасности
Рис. 33 Разрешения на запуск и активацию
Рис. 34 Права доступа
Необходимо настроить локальную политику безопасности. Для этого необходимо открыть консоль управления "Локальная политика безопасности". Консоль можно запустить, переместить курсор мыши в угол, выбрать "Параметры" - "Панель управления" - "Система и безопасность" -"Администрирование" - "Локальная политика безопасности". Необходимо перейти в раздел "Локальные политики - Параметры безопасности". И установить состояние правила "Сетевой доступ: разрешать применение разрешений "Для всех" к анонимным пользователям" в состояние "Включено" (рис. 35).
Рис. 35 Свойства политики безопасности
Если после изменения политики безопасности, как показано на рис. 35, OPC клиенты не могут получать список OPC серверов и подключаться к ним, то необходимо настроить и сохранить дополнительные свойства политики безопасности (рис. 36-37).
Этот параметр политики позволяет определить дополнительные элементы управления на компьютере, которые управляют доступом ко всем приложениям на основе распределенных компонентов (DCOM) на устройстве. Эти элементы управления ограничивают запросы на вызовы, активацию или запуск на устройстве. Простой способ думать об этих средствах управления доступом — это дополнительная проверка доступа, которая выполняется в отношении списка управления доступом на всем устройстве (ACL) на каждом вызове, активации или запуске любого сервера на основе com. Если проверка доступа не удается, вызов, активация или запрос на запуск отказано. (Эта проверка является дополнением к любой проверке доступа, которая проводится в отношении acLs, определенного для сервера.) По сути, он предоставляет минимальный стандарт авторизации, который должен быть передан для доступа к любому серверу на основе COM. Этот параметр политики управляет разрешениями доступа для защиты прав на вызовы.
Эти acLs для всего устройства предоставляют способ переопределения слабых параметров безопасности, заданных приложением с помощью функции CoInitializeSecurity или параметров безопасности, определенных приложениям. Они предоставляют минимальный стандарт безопасности, который должен быть пройден, независимо от параметров определенного сервера.
Эти ALS также предоставляют централизованное расположение для администратора, чтобы установить общую политику авторизации, которая применяется ко всем серверам на основе COM на устройстве.
Этот параметр политики позволяет указать ACL двумя различными способами. Вы можете ввести дескриптор безопасности в SDDL или предоставить пользователям и группам разрешения локального доступа и удаленного доступа. Рекомендуется использовать встроенный пользовательский интерфейс для указания содержимого ACL, которое необходимо применить в этом параметре. Параметры ACL по умолчанию различаются в зависимости от версии Windows запущенной версии.
Противодействие
Чтобы защитить отдельные приложения или службы, основанные на com, установите этот параметр политики для соответствующего компьютерного ACL.
Читайте также: