Общие черты построения системы безопасности на базе Win2003
 

Доброго времени суток.

Ситуация собственно следующая. Есть сервер, который крутится на платформе win2003. На нём подняты MSSQL, FTP (Serv-U), Apache и игровой сервер Lineage. Моя цель - сделать его как можно более защищённым. У меня есть кое-какие мысли и я бы хотел ими с вами поделится. Я буду премного благодарен, если вы предложите решения на некоторые вопросы. Собсно, начнём =).

На компьютере на данный момент есть 2 пользователя - администратор (A) и юзер (U). Оба они входят в группу Remote Desktop Users, т.е. имеют удалённый доступ к серверу. Вопрос номер один. Что бы вы посоветовали, использовать стандартное подключение к удалённому рабочему столу, или установить средства удалённого урпавления, типа радмин? Идём дальше. Игровой сервер на данный момент запускается из-под привелегий А. Сама же серверная часть игры тесно сотрудничает с базой данных MSSQl. MSSQL делает ежечасный бэкап бд на другой логический диск. Столкнусь ли я с какими-либо проблемами, если запрещу U доступ ко всем папкам, кроме папки игрового сервера, и буду запускать сервер игры и сервис MSSQl от имени U? Немного на счёт повышения безопасности MSSQL. Пользователь sa удалён, остался только тот, который напрямую работает с игровой бд. Про бэкапы я уже рассказал. Удалённое подключение к бд разрешено (иначе никак). Если есть какие-либо решения, которые могут теоретически и практически повысить уровень секьюрности, я готов их выслушать. На машине параллельно крутится фтп-сервер. Его баннеры я изменил. Что я ещё могу сказать.... Крутится NOD с запланированными обновлениями и сканами. Было желание установить Outpost, но что-то руки никак не дошли =). Какие плагины посоветуете для него? Или вообще его не стоит ставить? Стоит ли в данном случае придерживаться правила "всё что не разрешено - запрещено"? Если нет, то какие порты прикрыть наглухо и какие открыть? Следющий вопрос на счёт аудита событий\логов. Есть ли более удобный фишки, чем то, что по дефолту стоит в винде? Интересуют фичи как отправка потенциально опасных на email, и т.д.. На повестке ещё один - стоит ли поднимать на сервере ханейпоты? Если мне не изменяет память, honeyd есть и под винду. Или под винду накодили уже более извращённые ханейпоты =))? Так же есть желание жестоко разграничить права доступа, т.е. фтп сервер запускать из-под пользователя ftp, апач из под apache и т.д.. Но опять траблы - фтп не хочет работать даже из под Powered User. Так же на сервере стоит монитор, который проверяет доступность фтп и апача и при надобности перезапускает эти сервисы.

ну в общем-то всё, ситуация описана, вопросы заданы.

Если у вас есть что сказать, дополнить, предложить - я буду только рад.

Заранее спасибо.

ПС
В HKLM\SYSTEM\CURRENTCONTROLSET\CONTROL\LSA у параметра restrictanonymous стоит значение 0. Стоит его изменить на 1?

Наверное, нужно разрешить запись в раздел куда будут бэкапиться MSSQL.
Насчет файрвола. ИМХО, нужно разграничить доступ к твоим сетевым ресурсам. Допустим, чтобы к фтп-верверу могли подключиться только из локалки.
Ханейпоты ставятся, чтобы ловить скрипткидиссов. В твоем случае не стоит ставить его.

Насчёт удалённого десктопа (понятия не имею как работает лайэйдж и зачем УД юзеру) поменял бы первым делом порты.

Столкнёшся, потому что любой юзер имеет право делать с базой всё что угодно. Юзер должен иметь доступ только туда - куда ему необходимо, все остальные задачи для этого юзера поидее должны выполнять другие юзеры. Так , юзер mssql запускает базу и заботиться чтобы она работала для конкретного игрока (его ведь ты назвал User?). Иначе бреха полная.
Это вобще-то делается сразу после установки системы, а то у другого кого-нибудь руки дойдут. ))
Я бы сказал - всё что не нужно - запрещено.

А вобще обычно ставят перед основным сервером - экранирующие.

Кстати вот статейка, там про IIS, но интересно http://www.osp.ru/text/302/380020/_p2.html

Спасибо за советы или предложения.
Что подразумевается под сетевыми ресурсами? А настроить возможные подключения к фтп я могу и в конфигах самого демона.

Посмотрел на этт вопрос с другой стороны и дейсвительно понял, что ханейпот тут нахрен на нужен =)). Лучше поставлю какую-нить скриптовую IDS...

Не совсем верное утверждение.

Сервер игры взаимодействует с бд через SQL auth, а не через Win. Т.е. в мссиквеле есть юзер, у которого фул акцесс на бд игры. В конфигах игры просто и банально прописаны имя и пасс этого пользователя. Настройки GP в данном случае имеют роль только для запуска службы MSSQL.
Аутпост это ИМХО не серверное решение, поэтому руки и не доходили. Я склонялся к исе, но т.к. сервер игры жрет немерно ресурсов, этот вариант канул в Лету (иса тоже довольно требовательная зараза).
Я бы сказал не обычно, а иногда =). В данной реализации это, к сожалению, не возможно.

ПиСи
За доки по иису отдельное спасибо. Почитаем для общего развития.

Установи, если не хочешь, чтобы анонимные пользователи просматривали удаленно учетные записи и расшаренные ресурсы.
FTP, MSSQL, игровой сервер, Apache, удаленный доступ к серверу и т.д.
Наверное, лучшее решение - Snort.

Респект. Где-где, но в реестре я полный нуль =)).

Были проведены тех работы. Нынешнее положение - разграниченны права и уровни доступа к бд. Был поставлен фаер. Но блиа по счастливому стечению обстоятельств рулесы у него слетели после 3-го ребута (хз, то ли мистика, то ли что). В итоге был потерян акцесс к серверу (пришлось юзать KWM доступ =)). От фаера решили отказаться до того момента как не найдется стабильное серверное решение.

Разгарничение уровней доступа для запуска различного серверного ПО провести не удалось. Ну не запускаются демоны и все =(. Пробовал прочекать ПО, которое не запускается, FileMonitor`oм, не добился ничего. Ошибок нет, ровно как и нет работающего сервиса.

Про замену стандартного виндового евент вьювера никто ничего не посоветовал =(.

В общем если есть у кого какие добавления я буду рад выслушать.

Попробуй еще и RegMon от sysinternals.com. Может проблема в реестре. Некоторые софтины работают только из-под аккаунта администратора. Решением может быть создание аккаунта с праванми админа для этого демона с последующем запрещением доступа к тем папкам и ключам реестра, которые ему не нужны. Например, создаем аккаунт для FTP-демона и запрещаем ему доступ к папке backup (запретительная политика > чем разрешительная, т.е. группе админов доступ к папке разрешен, а ftp-демону нет).