Дыры в ОС: ФСТЭК дал новые рекомендации по настройке безопасности Windows и Linux
В начале февраля ФСТЭК дал новые рекомендации по устранению ошибок общесистемного и прикладного программного обеспечения (ПО), в частности, для ОС Windows и Linux. Настройки касаются слабых пользовательских паролей, управления СУБД, удаленного доступа к устройствам и др. Подробнее о рекомендациях и ошибках в ОС Windows и Linux в материале SecPost.
Федеральная служба по техническому и экспортному контролю (ФСТЭК) 9 февраля опубликовала новые рекомендации по устранению типовых ошибок общесистемного и прикладного ПО, в частности для операционных систем (ОС) Windows и Linux.
Ошибки и настройки продуктов Microsoft
В документе ФСТЭК указывает, что использование слабых пользовательских паролей создает угрозы осуществления атак «грубой силы» и компрометацию учетных записей. Для этого служба рекомендует устанавливать парольную политику на уровне ОС и обеспечить обязательную сложность паролей.
Так, для американской Windows ФСТЭК рекомендует установить политику паролей с использованием утилиты gpedit.msc на уровне локального компьютера или через Group Policy Object (GPO) в домене (в случае использования Active Directory), подробную инструкцию как именно установить политику можно посмотреть в исходном документе службы.
В разделе «Политика паролей» для ОС Windows ФСТЭК предлагает установить следующие параметры.
| Параметр | Значение |
| Пароль должен отвечать требованиям сложности | Включить — требует минимум: 1 строчную, заглавную, цифру, спецсимвол |
| Минимальная длина пароля | Рекомендуется ≥ 15 символов (по умолчанию — 0) |
| Максимальный срок действия пароля | 60–90 дней (обязывает менять пароль периодически) |
| Минимальный срок действия пароля | 1–2 дня (чтобы избежать мгновенной смены на старый) |
| История паролей | Не менее 5–10 (запрещает повторное использование) |
| Хранить пароли, используя обратимое шифрование | Отключить (иначе существует возможность расшифровать пароль) |
Следующее, что отмечает ФСТЭК для продуктов Microsoft, это отсутствие обязательной аутентификации для доступа к базам данных, которое создает угрозы получения несанкционированного доступа и утечки информации.
Для Microsoft SQL Server (система управления реляционными базами данных (СУБД), прим ред) ФСТЭК предлагает выполнить следующие шаги: в целях проверки возможности входа в SQL Server с анонимным или пустым паролем необходимо подключиться к SQL Server Management Studio (SSMS), далее выполнить команду на языке SQL: «SELECT name, is_disabled, type_desc», FROM sys.sql_logins», «WHERE name NOT IN (‘sa’)»; найти учетные записи без пароля, а также с общими именами (guest, test, user, anon); отключить или удалить найденные учетные записи (отключение пользователя производится командой ALTER LOGIN [имя_пользователя] DISABLE, удаление пользователя производится командой DROP LOGIN [имя_пользователя]); осуществить проверку настройки аутентификации в СУБД путем просмотра в разделе «Properties» — «Security», что выбран режим SQL Server and Windows Authentication mode.
Следом необходимо удалить гостевые учетные записи СУБД, ограничить IP-адреса, с которых возможен доступ, с помощью средств межсетевого экранирования или параметров «bind-address» и включить режим «TLS/SSL» для клиентских соединений.
Еще одним не защищенным элементом в ОС Windows ФСТЭК отмечает использование устаревшего протокола SMBv1 (сетевой протокол прикладного уровня для удалённого доступа к файлам, принтерам и другим сетевым ресурсам, а также для межпроцессного взаимодействия). Из-за этого, говорится в документе, создаются риски для проникновения вирусов, таких как EternalBlue и WannaCry.
Для предотвращения это уязвимости служба рекомендует отключить протокол SMBv1 с использованием оболочки выполнения сценариев Windows «PowerShell» командой: Disable-WindowsOptionalFeature -Online -FeatureName «SMB1Protocol». Далее необходимо убедиться, что используется протокол SMBv2 или SMBv3.
Также ФСТЭК обнаружил, что Windows использует устаревший протокол NTLMv1 (используется в операционных системах Windows для проверки подлинности пользователя при доступе к сетевым ресурсам), который также создает риски несанкционированного доступа. В связи с этим ФСТЭК рекомендует установить политику, отключающую использование протокола NTLMv1, с использованием утилиты gpedit.msc на уровне локального компьютера или через Group Policy Object (GPO) в домене (в случае использования Active Directory).
Помимо этого в документе ФСТЭК нашла уязвимость в ОС от Microsoft в хранении учетных данных в открытом виде, в активированном автовыходе пользователя на сервере, отсутствие назначенных прав доступа на файлы и директории и др.
Ошибки и настройки Linux
В операционных системах на основе Linux ФСТЭК также обнаружила уязвимость, связанную с использованием слабых паролей. В связи с этим рекомендуется установить политику паролей с использованием файла /etc/login.defs или модулей Pluggable Authentication Modules (PAM).
В разделе «Nano» для ОС на основе Linux ФСТЭК предлагает установить следующие параметры.
| Параметр | Назначение | Рекомендованное значение |
| PASS_MAX_DAYS | Максимальный срок действия пароля | 90 |
| PASS_MIN_DAYS | Минимальное число дней между сменами пароля | 1–7 |
| PASS_WARN_AGE | За сколько дней до истечения срока показать предупреждение | 7–14 |
| PASS_MIN_LEN | Минимальная длина пароля (не во всех дистрибутивах) | 15 |
| ENCRYPT_METHOD | Метод шифрования пароля (SHA512, YESCRYPT, BCRYPT) | SHA512 или YESCRYPT |
Как и в случае продукции от Microsoft служба рекомендует проверить в системе Linux, отключен ли протокол SMBv1 в Samba.
Хранение учетных данных в открытом виде создает риск утечки аутентификационных данных, говорится в документе. Для этого на ОС на основе Linux рекомендуется ограничить доступ к конфигурационным файлам, содержащим учетные данные. Ограничить доступ можно с помощью введения списка доступа (ACL) с использованием утилиты chmod для операционных систем Linux.
Помимо этого было обнаружено, что SSH-сервер (криптографический сетевой протокол, разработанный для безопасного удалённого управления компьютерными системами и защищённой передачи данных через незащищённые сети) разрешает вход по паролю и привилегированный доступ (root), что создает угрозу получения несанкционированного доступа.В целях предотвращения указанных угроз безопасности информации ФСТЭК рекомендует на ОС Linux организовать мониторинг событий SSH-доступа и анализ полученных событий.
Служба приводит основные файлы, содержащие записи событий.
| Файл | Назначение | Дистрибутив |
| /var/log/auth.log | Аутентификация, включая SSH | Debian, Ubuntu |
| /var/log/secure | Аналогично (аутентификация, sudo) | RHEL, CentOS, Rocky |
| journalctl -u ssh | Лог systemd-юнита SSHD | Все systemd-дистрибутивы |
Также в документе ФСТЭК сообщает, что на системах Linux отсутствуют назначенные права доступа на файлы и директории, как и в случае с Windows в ОС есть неиспользуемые службы и компоненты и др. Помимо Linux и Windows в документе ФСТЭК обозначены рекомендации по настройке безопасности MySQL (MariaDB), PostgreSQL и др.
Читайте также
