Инструментарий: Новые продукты для ИТ-профессионалов

Среди приложений этого месяца инструменты для защиты доступных из Интернета веб-сайтов, расшифровки кодов ошибок и организации и хранения имен пользователей и паролей.

Грег Стин

В этом разделе автор выражает свое мнение, которое совершенно не обязательно совпадает с мнением Microsoft. Все цены указаны по состоянию на момент написания статьи и могут меняться.

ThreatSentry

Общедоступный веб-сайт может быть очень серьезным источником риска, особенно если требуется тесное взаимодействие большого числа сервисов. Наличие многих «линий обороны» критически важно для обнаружения и предупреждения возможных рисков. Один из инструментов защиты, который наверняка вам пригодится, — ThreatSentry от PrivacyWare, отделения компании PWI Inc., в котором занимаются вопросами безопасности.

ThreatSentry является брандмауэром веб-приложений, основное предназначение которого — оперативно классифицировать запросы на доверенные и нет на основе политик, сигнатур и эвристического анализа и блокировать недоверенные запросы до того, как их станет обрабатывать IIS. Приложение работает как расширение IIS ISAPI и доступно в 32- и 64-разрядных версиях для IIS версий 5, 6, 7 и 7.5.

Для классификации запросов ThreatSentry использует обычный механизм правил, а также механизм распознавания поведения. Механизм правил содержит сконфигурированный набор правил для обнаружения известных эксплойтов и характерных признаков атак. Также есть определяемый набор правил для обнаружения характерных атак на домены и конкретные приложения. Среди настраиваемых правил есть правила запросов, определяющие разрешенные операции (get, post, head, search, propfind и другие), целевые URL-адреса (блокировка запросов .php), параметры и заголовочную информацию запросов.

Правила также можно определять на основе частоты запросов и длине параметров. Есть также правила IP-адресов, позволяющие фильтровать трафик по отдельным адресам или целым диапазонам. В каждом правиле задается действие по умолчанию: «блокировать», «уведомлять» или «разрешить».

Помимо сохранения действий в журнале в Microsoft SQL Server, ThreatSentry предлагает ряд других вариантов уведомления. Можно создавать визуальные или звуковые уведомления, уведомления по электронной почте или на основе SMS-сообщений, записывать события в журнале событий или отправлять визуальное уведомление в Microsoft Messenger. Приложение может по умолчанию блокировать недоверенные запросы, отвечать ошибкой 404 на запросы с заблокированных IP-адресов, автоматически добавлять недоверенные IP-адреса в список блокированных, закрывать все порты на машине для обращений с заблокированных IP-адресов или даже останавливать IIS.

Есть риск автоматической блокировки «легального» трафика из-за неверной интерпретации его как вредоносного или по причине неверной настройки правил. ThreatSentry позволяет минимизировать этот риск, предоставляя режим обучения, который позволяет предварительно изучить существующую среду и характерные схемы запросов. Можно также напрямую загрузить журналы IIS в базу данных шаблонов, чтобы приложение ThreatSentry могло ознакомиться с особенностями поведения вашего веб-сайта.

Управлять ThreatSentry можно стандартными средствами MMC-консоли (рис. 1). Оснастку ThreatSentry можно добавить в любую пользовательскую MMC-консоль, которую вы используете для администрирования сервера. Можно также настроить несколько серверов на запись информации в один экземпляр SQL Server для агрегирования и консолидации данных. В MMC-консоли можно видеть текущее состояние службы, изменять текущие политики фильтрации, настраивать пользовательские наборы правил и просматривать журнал событий безопасности. Приложение также предоставляет HTML-отчеты о своей работе, а также, благодаря тому, что данные о событиях записываются в базу данных SQL Server, на их основе можно создавать любые возможные пользовательские представления.

Цена на ThreatSentry начинается с 649 долларов на сервер, сюда включена годовая поддержка. Есть 30-дневная и бесплатная пробные версии, которые можно загрузить с веб-сайта компании. Если вам нужен дополнительный уровень защиты от атак с внедрением SQL-кода, использованием межсайтовых сценариев и DoS-атак, возможно ThreatSentry позволит эту задачу.

Рис. 1. Окно ThreatSentry

Windows Error Lookup Tool

Вы, несомненно, наблюдали сведения о кодах ошибок и предупреждениях в журналах событий. Эти коды ошибок никогда не содержат по-настоящему полезной информации, которая позволяет понять, что произошло. Поэтому очень ценным будет инструмент, который позволит быстро преобразовать эти коды в разумное сообщение.

Один из таких инструментов — Error Lookup Tool компании Gunner Inc. (рис. 2). Это легкая (размером 24 КБ) переносимая программа, не требующая установки. Ее легко можно запустить с флеш-карты. Windows Error Lookup Tool преобразовывает десятичные или шестнадцатеричные коды ошибок HRESULT, NTSTATUS и STOP во внятное описание на английском языке. Надо просто указать номер ошибки в текстовом поле, выбрать ее тип и нажать Enter.

Помимо описания на английском можно видеть статус ошибки, компонент и результирующий код ошибки (полезен для преобразования в шестнадцатеричную форму). Есть также простейший раздел Notes для размещения информации о том, что привело к ошибке, или любые другие сведения, которые на ваш взгляд могут быть полезны при просмотре кода ошибки в следующий раз.

Рис. 2. Окно Windows Error Lookup Tool

Password Safe

У разных приложений или веб-сайтов, где требуется имя пользователя и пароль, разные и, зачастую, противоречащие требования по безопасности, что заставляет помнить десятки комбинаций имен пользователей и паролей. Эту проблему можно решить, воспользовавшись одним из многих приложений для хранения паролей, например таким, как бесплатная программа Password Safe (рис. 3).

Password Safe можно установить в одном из двух режимов: Regular и Green. В первом режиме параметры хранятся в реестре, что удобно при использовании на стационарном компьютере. Во втором режиме в реестр ничего не пишется, что можно использовать в мобильных сценариях использования. При стандартной установке можно также сворачивать программу в значок на панели уведомлений при загрузке Windows. Это отличный способ быстрого доступа к паролям на основной машине.

После установки программы надо настроить ее и заполнить базу данных паролей. Файл базы данных надо зашифровать. Это должен быть очень надежный пароль, так как он защищает все остальные пароли. Password Safe предупредит, если выбранный вами пароль недостаточно надежный. После этого можно переходить к созданию записей с сочетаниями имен пользователей и паролей, которые надо хранить. Стандартная запись состоит из заголовка, имени пользователя, пароля (и подтверждения), URL-адреса, адреса электронной почты и поля примечания.

Записи можно объединять в группы. Группы можно объединять в иерархию, поэтому если у вас масса записей, их можно разместить в многоуровневом дереве. Можно также задавать другие параметры, такие как история от 1 до N паролей, срок действия пароля и правила создания случайных паролей. В параметрах создания паролей можно задать длину, количество строчных и заглавных букв, цифр и символов, которые должны быть в пароле. Можно также заставить программу создавать только «читабельные» [например, не использовать символы «l» (строчная буква «L») и «1» (единица)] или «произносимые» пароли.

Password Safe также позволяет копировать записи в буфер обмена. Можно также задать формулу автоматического ввода, перейти по URL-адресу, скопировать примечания в буфер обмена, минимизировать приложение при копировании, выполнить команду, отправить сообщение электронной почты, просмотреть или отредактировать запись.

В приложении ряд полезных команд контекстного меню. Password Safe может отображать части пароля в качестве подсказки, выполнять автоматический ввод или экспортировать запись как текст или XML, а также стандартные команды редактирования, переименования, удаления, дублирования или создания ярлыка. Можно также «защитить» запись, то есть закрыть ее для редактирования или удаления, чтобы случайно не удалить или не изменить ее.

Password Safe также автоматически минимизируется при отсутствии активности определенное время, чтобы кто-то не мог подсмотреть пароль, когда вы на короткое время отлучитесь от компьютера. В приложении предусмотрен настраиваемый график резервного копирования для защиты от повреждения базы данных и ошибок. Можно настроить приложение на автоматическое создание резервной копии после каждого изменения записей. Можно настроить приложение на автоматическое создание резервной копии после каждого обновления. Можно задать имя файла резервной копии, суффикс, позволяющий создавать много резервных копий, и папку, в которую помещать резервные копии.

Если вам надоело запоминать массу имен учетных записей и паролей или вы просто ищете альтернативу своему средству управления паролями, попробуйте бесплатное приложение с открытым кодом Password Safe.

Рис. 3. Окно Password Safe

Грэг Стин (Greg Steen)— профессионал в области технологий, предприниматель и энтузиаст. Он всегда в поиске новых инструментальных средств, способных облегчить работу обслуживающих подразделений, отдела контроля качества ПО и разработчиков.