Назад | Перейти на главную страницу

Каковы риски безопасности при выборе «Разрешить исключения для проверки безопасности локальной активации»?

При просмотре событий в диспетчере сервера под Windows Server 2012 R2 у меня появляется много сообщений об ошибках канала, в которых говорится: «Сгенерировано фатальное предупреждение и отправлено на удаленную конечную точку. Это может привести к разрыву соединения. Протокол TLS определил код фатальной ошибки. равно 10. Состояние ошибки Windows SChannel - 1203. " Несколько сайтов предлагать "разрешить локальные исключения для проверки безопасности активации" в качестве решения. Хотя это может уменьшить количество сообщений об ошибках в списке событий, меня интересуют практические риски безопасности, возникающие в результате разрешения этих исключений.

Мой совет - не изменять политику безопасности в вашей ссылке. Для справки, вот политика и ее описание:

Это возможно, но маловероятно, что настройки безопасности решат проблему. Возможно, это вообще не связано. И, как правило, не рекомендуется изменять общесистемную политику безопасности, не зная, решит ли это даже вашу проблему.

Вы видите ошибку из Schannel. Schannel обрабатывает SSL и TLS-соединения по сети. Обычно это веб-сайты в Интернете через HTTPS, но TLS используются во многих различных сервисах.

Код фатальной ошибки протокола TLS - 10.

Этот код ошибки определяется RFC как «неожиданное сообщение»:

Остальные коды предупреждений TLS можно найти Вот.

Состояние ошибки Windows SChannel - 1203.

Эти коды состояния ошибки являются внутренними и не документированы публично, но я могу сказать вам, что 1203 означает, что произошла ошибка при синтаксическом анализе Client Hello. Это означает, что кто-то отправил вам сообщение Client Hello, и вы не смогли его разобрать. Данные были каким-то образом искажены.

Если ничего не сломалось, рассмотрите возможность просто отключить ведение журнала ошибок Schannel:

reg add "HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL" /v "EventLogging" /t REG_DWORD /d 0 /f

Ведение журнала Schannel может быть шумным, и вы можете провести остаток своей жизни, пытаясь отследить каждый узел в сети, приходящий к вам с несовместимыми наборами шифров, или недействительными сертификатами SSL, или отключенными версиями протокола, или сломанными реализациями SSL и т. Д.

А теперь вернемся к исходному вопросу. Я не говорю, что это невозможно, но мне трудно понять, какое отношение эта политика имеет к ошибкам Schannel. Сейчас это кажется мне неуместным.

Последствия для безопасности изменения этой конкретной политики безопасности относительно невелики. Это дает локальным администраторам возможность расширять список лиц, которым разрешено активировать приложения DCOM. Поскольку мы говорим о ACL, которым в любом случае разрешено манипулировать только администраторами, я не вижу большого потенциала для повышения привилегий. Может быть, есть потенциал для стойкости после эксплойтов.

(На мой взгляд, DCOM, возможно, худшая из когда-либо задуманных идей, но это тема для другого дня.)

Приложения DCOM, особенно неправильно настроенные разрешения безопасности на серверах DCOM, являются источником множества загадочных сообщений журнала событий. Но я не считаю их распространенным вектором распространения вредоносных программ или уязвимостей системы безопасности.

Таким образом, я не думаю, что это большая проблема, если вы включите эту политику, но я также сомневаюсь, что это устранит ошибки Schannel.