Службы
Существует еще один способ защиты административных учетных записей. Он потребует особого внимания к службам, доступным обычным пользователям. Многие системные службы, например планировщик задач или сервер баз данных, предоставляют в распоряжение пользователей механизмы запуска команд, исполнять которые будет сама служба. Некоторые планировщики достаточно "умны" и умеют выполнять команды от имени учетной записи пользователя. Другие этого делать не умеют, и команда выполняется с привилегиями учетной записи самой службы. Например, в состав Microsoft SQL Server входит собственный планировщик задач и SQL-команд, что дает пользователям SQL Server возможность выполнять команды операционной системы. В этом случае существует два способа защиты администраторских полномочий. Во-первых, можно ограничить права пользователей на выполнение команд настройкой самой службы. Большинство служб, таких, как SQL Server и Microsoft Exchange Server, снабжены механизмами аутентификации и контроля доступа. Необходимо убедиться, что такие механизмы корректно сконфигурированы, и следить за их настройкой. Во-вторых, зачастую подобные службы запускаются от имени системной учетной записи Local System Account, которая даже мощнее, чем учетная запись администратора системы. Чтобы этого избежать, нужно создать отдельную учетную запись для службы и предоставить ей только те права и разрешения, которые необходимы для работы. В результате если кто-то и получит возможность работать с данной службой, то у него будут лишь те права доступа к системе, которые предоставлены учетной записи службы.
Такой подход особенно важен применительно к системной службе планировщика NT Scheduler. По умолчанию эта служба работает от имени системной учетной записи. Если это не имеет значения, ее можно запускать от имени непривилегированного пользователя. В любом случае следует иметь в виду, что члены группы Server Operators могут выполнять команды с помощью NT Scheduler, лишь когда значение реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\LSA\SubmitControl равно 1.
Запуск NT Scheduler от имени системной учетной записи или пользователя с административными привилегиями фактически означает, что члены группы Server Operators могут повысить собственные привилегии до уровня администратора системы. Здесь важно убедиться, что значение ключа реестра SubmitControl равно 0.
И последнее замечание относительно конфигурации системных служб: следует помнить о том, что NT уязвима с точки зрения физического доступа. Если злоумышленник сможет загрузить компьютер под управлением DOS или другой операционной системы, он получит неограниченный доступ к системе. Использование пароля на уровне BIOS ограничит возможность локальной загрузки и модификации параметров CMOS. Однако не нужно полностью полагаться только на такую защиту. Взломщик может обойти все подобные уловки, сбросив BIOS, удалив батарейки или просто изъяв из компьютера жесткий диск. Известно, что в Internet можно найти заводские пароли для многих моделей BIOS. Лучшая защита - держать сервер, ленты с резервными копиями данных и диски аварийного восстановления под замком.
