Лекция 23. Шаблоны безопасности. Аудит. Утилиты командной

Лекция 23. Шаблоны безопасности. Аудит. Утилиты командной строки.
Доверительные отношения
Шаблоны безопасности
Шаблоны безопасности (security templates) позволяют определить политику
безопасности для сети. Являясь единой точкой, где могут быть определены вес аспекты безопасности системы, шаблоны безопасности не вносят новых параметров
защиты, они просто собирают все существующие атрибуты безопасности в одно
место для упрощения администрирования. Импорт шаблона безопасности в объект
групповой политики (Group Policy object, GPO) облегчает администрирование домена, позволяя сразу настроить безопасность для домена или ОП.
Шаблоны безопасности позволяют задать:
• политику учетных записей;
• политику паролей;
• политику блокировку учетных записей;
• политику Kerberos;
• локальную политику;
• политику аудита;
• управление правами пользователя;
• параметры безопасности;
• параметры системных журналов: Application, System и Security;
• ограниченные группы; членство в группах, важных с точки зрения безопасности;
• параметры запуска и права доступа системных служб;
• права доступа к разделам реестра;
• права доступа к папкам и каталогам.
Шаблоны хранятся в виде текстового файла .inf. Это позволяет легко копировать, импортировать или экспортировать все или некоторые атрибуты шаблона.
Кроме IP Security (IPSec) и политики открытых ключей, все атрибуты безопасности
могут храниться в одном шаблоне безопасности. В Windows Server 2003/ХР есть
набор стандартных шаблонов, реализующих различные уровни безопасности и
предназначенных для:
• повторной установки параметров по умолчанию;
• реализации среды с высокой степенью защиты;
• реализации менее защищенной, но более совместимой среды;
• защиты корня системы.
Вы можете создать новый шаблон безопасности либо использовать стандартные. Так, шаблон ≪Setup security.inf≫ позволяет задать значения параметров безопасности по умолчанию; он создается в процессе установки ОС на каждом компьютере и должен применяться локально. Прежде чем изменять параметры безопасности, проверьте действие измененных параметров в тестовой среде.
Управление политикой
Group Policy Management Console (GPMC), планируемая как бесплатное расширение к Windows Server 2003, предоставит новую архитектуру управления групповой политикой. GPMC упростит применение групповой политики, что позволит
эффективнее использовать Active Directory. Так, GPMC обеспечивает резервное копирование и восстановление GPO, импорт/экспорт и копирование GPO, генерацию
отчетов о параметрах GPO и данных Resultant Set of Policy (RSoP), применение
шаблонов для управления конфигурацией, а также управление всеми операциями
GPMC из сценариев. Кроме того, GPMC позволяет управлять политикой множества
доменов и сайтов внутри данного леса, предоставляя для этого упрошенный пользовательский интерфейс с поддержкой технологии drag-and-drop. А если леса связаны доверительными отношениями, вы сможете с одной консоли управлять групповой политикой в нескольких лесах. GPMC может управлять групповой политикой
в доменах Windows 2000/.NET. Хотя объекты групповой политики могут быть связаны только с сайтами, доменами или ОП внутри данного леса, доверительные отношения между лесами в Windows .NET Server позволяют реализовать ряд новых
сценариев групповой политики, так, пользователь из леса А может войти на компьютер из леса В, имеющего собственные правила политики. Альтернативно параметры GPO могут ссылаться на серверы других лесов, например, на точки распространения ПО. Эти сценарии поддерживаются групповой политикой в Windows
Server 2003. Инструмент RSoP позволяет просмотреть эффект применения групповой политики к пользователю или компьютеру. RSoP служит для планирования и
управления групповой политикой, а также исправления проблем в ее настройке.
RSoP — это инфраструктура и инструмент, реализованный в виде оснастки ММС,
позволяющий определять и анализировать текущие правила политики в режиме
регистрации и режиме планирования. Первый позволяет определить текущие результаты применения политики к заданной цели, второй — посмотреть возможные
результаты изменений групповой политики до реального внесения изменений.
RSoP использует способность WMI собирать данные из разных источников. Инструмент, работающий в среде ММС, поддерживает расширения оснастки для отображения результатов в зависимости от целевого объекта. Мастер установления цели
задает границы действия инструмента RSoP. Этот мастер проведет администратора
по всем этапам создания подходящего целевого объекта, генерации данных RSoP и
запуска инструмента RSoP для использования этих данных. WMI генерирует для
целевого компьютера большой объем информации, такой как список аппаратных и
программных средств и параметры конфигурации. В качестве источников данных
WMI использует реестр, драйверы, файловую систему, Active Directory, Simple Network Management Protocol (SNMP), службу Windows Installer, язык SQL, сетевую
подсистему и Exchange Server. WMI Filtering в Windows Server 2003 позволяет вам
динамически определять, применять ли GPO на основании запроса к данным WM1.
Эти запросы (называемые также WMI-фильтрами) определяют, какие пользователи
и компьютеры получают параметры политики, указанные в GPO. Данная функциональность позволяет автоматически определять цели групповой политики на основании свойств локального компьютера. Ниже перечислены примеры свойств, на
основании которых можно создавать WMl-фильтры:
• службы: компьютеры, на которых активизирована поддержка протокола DHCP
(Dynamic Host Configuration Protocol);
• реестр: компьютеры, на которых заполнен указанный раздел реестра;
• аппаратные средства: компьютеры с процессором Pentium III (или выше);
• программные средства: компьютеры, на которых установлена Visual Studio
.NET;
• аппаратная конфигурация: компьютеры с сетевыми платами, использующими
3-й уровень прерываний;
• программная конфигурация: компьютеры с активизированной групповой рассылкой (multicasting);
• зависимости: компьютеры, на которых установлены службы, зависимые от
службы SNA (systems network architecture);
• команда Ping: компьютеры, для которых передача эхо-пакетов командной ping
на заданный сервер занимает менее 100 миллисекунд.
Интеграция в редактор объектов групповой политики Web режима отображения облегчает понимание, управление и опенку текущих параметров политики.
Щелчок правила политики отображает текст, описывающий его назначение и ОС,
которые его поддерживают, скажем, только Windows XP или Windows 2000. Это
позволяет быстро просматривать параметры и легко определять пути достижения
той или иной цели политики. В ОС семейства Windows Server 2003 поясняющий
текст был расширен путем включения описания для таких категорий политики, как
меню Пуск и Панель задач.
Утилиты командной строки
Автоматизировать регулярно выполняемые действия позволяют более 60 новых утилит командной строки, в том числе для управления ключевыми компонентами, такими как серверы печати, Internet Information Services (IIS) 6.0 и Active Directory, преимущества, предоставляемые этими утилитами, таковы:
• Готовность к использованию. Предоставляются готовые решения, для использования которых не нужен или нужен лишь небольшой объем дополнительного кодирования. Все утилиты имеют стандартный унифицированный синтаксис, легко
доступную из командной строки подсказку (по ключу /?), а также подробную справочную информацию в виде файла HTML-подсказки ntcrnds.chm (доступен из пункта меню Help and Support Center).
• Поддержка удаленного администрирования. Все новые утилиты поддерживают работу с удаленными серверами с помощью параметра /5, позволяющего задать имя удаленной машины (например, /5 MyServer), и работают в среде Telnet и
Terminal Services. Это обеспечивает все возможности удаленного администрирования из командной строки.
• Сценарии. Из командной строки можно запускать командные файлы иди сценарии для реализации специализированных административных операций и автоматизации часто выполняемых действий.
Утилиты командной строки
Ниже приведен список новых и обновленных утилит командой строки в ОС
Windows Server 2003:
adprep подготавливает домены и леса Windows 2000 при переходе на Windows
Server 2003, Standard Edition, Enterprise Edition или Datacenter Edition;
bootcfg позволяет конфигурировать, просматривать или изменять параметры файла Boot.ini;
choice предлагает пользователю сделать выбор, отображая строку подсказки и
приостанавливая выполнение до тех пор, пока пользователь не выберет один из
предлагаемых вариантов;
clip перенаправляет информацию, выводимую в окно командной строки, в системный буфер обмена;
cmdkey создает, отображает и удаляет сохраненные имена пользователей и пароли;
defrag выполняет дефрагментацию файлов загрузчика, файлов данных и папок на
локальных томах;
diskpart управляет дисками, разделами или томами;
driverquery позволяет вывести список драйверов и их параметров;
dsadd добавляет в Active Directory компьютер, контакт, группу, организационное
подразделение или пользователя;
dsget отображает выбранные атрибуты компьютера, контакта, группы, организационного подразделения, сервера или пользователя из Active Directory;
dsmod изменяет существующий в Active Directory компьютер, контакт, группу, ОП
или пользователя;
dsmove перемещает выбранный объект в другое место Active Directory (если такое
перемещение можно выполнить средствами одного контроллера домена) и переименовывает объект без перемещения по дереву Active Directory;
dsquery позволяет выполнять в Active Directory поиск компьютеров, групп, ОП,
серверов или пользователей по заданному условию;
dsrm удаляет из Active Directory объект заданного типа или произвольный объект:
eventcreate позволяет администратору записать собственное событие в заданный
системный журнал событий;
eventquery выводит события и их параметры из одного или нескольких системных
журналов;
eventtriggers отображает и конфигурирует триггеры событий на локальном или
удаленном компьютере;
forfiles выбирает файлы из каталога или дерева каталогов для пакетной обработки;
freedisk проверяет наличие свободного пространства на диске перед выполнением
установки файлов;
fsutil позволяет управлять точками перенаправления (reparse point) и разреженными файлами; размонтировать или расширять тома;
getmac выводит информацию о МАС-адресе (media access control) и список сетевых протоколов;
gettype устанавливает системную переменную среды %ERRORLEVEL% в значение,
связанное с заданной информацией об ОС Windows;
gpresult отображает параметры групповой политики и результаты применения политики (RSoP) для пользователя или компьютера;
helpctr запускает Help and Support Center;
inuse замещает заблокированные файлы ОС;
tisback создает и управляет резервными копиями конфигурации IIS (метабазой и
схемой) для удаленного или локального компьютера;
iiscnfg импортирует/экспортирует все или части конфигурации IIS на локальном
или удаленном компьютере;
iisftp создает, удаляет и выводит список FTP-сайтов на серверах под управлением
IIS 6.0, а также позволяет запускать, останавливать, приостанавливать и возобновлять работу FTP сайтов;
iisftpdr создает и удаляет виртуальные каталоги FTP-сайтов на серверах под
управлением IIS версии 6.0 или более поздней;
iisvdir создает и удаляет виртуальные каталоги Web-сайтов на серверах под
управлением IIS версии 6.0 или более поздней;
iisweb создает, удаляет и выводит список Web-сайтов на серверах под управлением IIS 6.0, позволяет также запускать, останавливать, приостанавливать и возобновлять работу Web-сайтов;
logman позволяет управлять и планировать сбор данных счетчиков производительности и журнала событий трассировки (event trace log) на локальном или удаленном компьютере;
nib заменяет wlbs.exe для настройки и управления работой средств распределения
загрузки сети;
nlbmgr конфигурирует и управляет кластерами распределения загрузки сети и
всеми кластерными серверами с одного компьютера;
openfiles выводит информацию об открытых файлах и позволяет отключать их;
pagefileconfig отображает и настраивает параметры системного файла страниц
виртуальной памяти;
perfmon позволяет открыть консоль производительности, настраиваемую с помощью файлов параметров Performance Monitor версии для Windows NT 4.0;
prncnfg конфигурирует или отображает информацию о принтере;
prndrvr добавляет, удаляет и выводит список драйверов принтеров на локальном
или удаленном сервере печати;
prnjobs приостанавливает, возобновляет, отменяет и выводит список заданий на
печать;
prnmngr добавляет, удаляет и выводит список локальных или подключенных сетевых принтеров, а также позволяет установить принтер по умолчанию и отобразить информацию о нем;
prnport создает, удаляет и выводит список стандартных портов печати TCP/IP, а
также позволяет отобразить и изменить их конфигурацию;
prnqctl печатает тестовую страницу, приостанавливает или возобновляет работу
принтера, а также очищает очередь печати;
relog извлекает значения счетчиков производительности из журналов производительности с преобразованием в другие форматы, такие как текст, разделенный табуляциями или запятыми, двоичный или SQL;
rss активизирует Remote Storage для расширения дискового пространства сервера;
sc получает и устанавливает параметры служб. Тестирует и отлаживает программы-службы;
schtasks позволяет запланировать исполнение команд и программ периодически
или в заданное время; добавляет и удаляет задачи из расписания, запускает и
останавливает задачи по требованию, а также позволяет отобразить расписание и
изменить параметры указанных в нем задач;
setx устанавливает локальные или системные переменные среды, не требуя программирования или написания сценариев;
shutdown выполняет останов или перезагрузку локального или удаленного компьютера;
systeminfo позволяет получить базовую информацию о конфигурации компьютера;
takeown позволяет администратору восстановить доступ к файлу, назначив себя
его владельцем;
taskkill завершает одну или несколько задач или процессов;
tasklist отображает список приложений и служб, а также идентификаторы процессов, выполняющихся в данный момент на локальном или удаленном компьютере;
timeout приостанавливает работу командного процессора на заданное число секунд;
tracerpt обрабатывает журналы событий трассировки или трассировки данные,
полученные в реальном времени от специальных аппаратных устройств, и позволяет генерировать отчеты анализа трассировки и файлы в формате CSV (текст,
разделенный запятыми);
tsecimp импортирует информацию из XML-файла в файл защиты сервера ТАР1
(tsec.ini);
typeperf выводит данные счетчика производительности в окно командной строки
или в файл журнала поддерживаемого формата;
waitfor использует сигналы для синхронизации работы нескольких компьютеров в
сети;
where находит и отображает все файлы, соответствующие заданному параметру;
whoami возвращает имя домена или компьютера, имя пользователя, имена групп,
идентификатор пользователя, задействованный при входе в систему, а также привилегии текущего пользователя;
VVMTC упрощает использование WMI и управление компьютерами с его помощью.
Удаленное администрирование
Архитектура Windows Server 2003 включает дополнительные возможности
удаленного управления, такие как Remote Desktop for Administration (часть Terminal Services), Microsoft Management Console (MMC)> Active Directory Services Interface (ADSI), служба Telnet и WMI. Указанные средства могут быть объединены в
две большие группы: встроенные инструменты ОС Windows Server 2003, такие как
Active Directory, групповая политика, диспетчер событий, службы и др.; другая же
группа связана с удаленным подключением к компьютерам через оснастку Remote
Desktop и соединение Remote Desktop. Компьютеры с Windows Server 2003 могут
работать в среде с погашенными огнями. В такой среде сервер может управляться
удаленного без локальных операций, т. е. без использования на сервере клавиатуры, мыши, видеоплаты и монитора. Администратор может управлять и наблюдать
за состоянием многих серверов из одного места, диагностируя и устраняя большинство проблем. За исключением установки или замены оборудования вы сможете выполнять все административные действия удаленно из любого места сети.
Remote Desktop for Administration
Remote Desktop for Administration (ранее известный как Terminal Services в
режиме Remote Administration) предоставляет удаленный доступ к ≪рабочему столу≫ компьютеров, на которых установлена любая из ОС Windows Server 2003, позволяя вам администрировать свой сервер практически с любого компьютера в сети.
Удаленное администрирование серверов с помощью Remote Desktop for Administration возможно с любого компьютера, на котором установлен одна из ОС семейства
Windows Server 2003. Более простой вариант Remote Desktop доступен для Windows XP Professional. Remote Desktop for Administration может значительно удешевить администрирование. Построенный на основе технологии Terminal Services,
Remote Desktop for Administration предназначен специально для управления серверами. Он не поддерживает средства совместного использования приложений,
многопользовательские возможности и исполнение процессов по расписанию, реализованные компонентом Terminal Server (ранее известным как Terminal Services в
режиме Application Server). В результате Remote Desktop for Administration мож но
применять на сильно загруженном сервере, не создавая существенной дополнительной нагрузки на процессор. Это делает Remote Desktop for Administration
удобным и эффективным сервисом удаленного администрирования.
Действующие права доступа
Вкладка Effective Permissions — новая возможность в Windows Server 2003 —
позволяет просмотреть все права доступа участника безопасности к данному объекту, включая права доступа, связанные с членством в группах. Для просмотра
действующих прав доступа для пользователя или группы:
1. на вкладке Effective Permissions щелкните кнопку Select, чтобы открыть диалог
Select User Or Group;
2. в поле Name введите имя интересующего вас встроенного участника безопасности, группы или пользователя;
3. можно также щелкнуть кнопку Object Types и затем выбрать Built-in Security
Principals, Groups или Users;
4. щелкните ОК.
Права пользователей
Права пользователей предоставляют привилегии и права на вход в систему пользователям и группам сети.
Аудит объектов
Доступ пользователей к объектам можно подвергать аудиту, а сгенерированные в
результате аудита события просмотреть в журнале Security (Безопасность) с помощью Event Viewer (Просмотр событий).
Типы доверительных отношений
Взаимодействие между доменами осуществляется посредством доверительных отношений. Доверительные отношения — это каналы аутентификации, наличие которых необходимо для доступа пользователей одного домена к ресурсам другого.
• Односторонние доверительные отношения. Это однонаправленный канал
аутентификации между двумя доменами. Такие отношения между доменами А и В
означают, что пользователи домена А могут получить доступ к ресурсам домена В.
Однако пользователи из домена В не могут получить доступ к ресурсам домена А.
Односторонние доверительные отношения могут быть транзитивными или нетранзитивными:
1. транзитивные доверительные отношения проходят через группу доменов, такую как дерево доменов, и формируют связь между некоторым доменом и
всеми доменами, которые ему доверяют; скажем, если домен А доверяет домену В, а В доверяет домену С, то А доверяет С; транзитивные отношения могут быть одно- или двусторонними и необходимы для аутентификации на базе Kerberos и репликации Active Directory;
2. нетранзитивные доверительные отношения ограничены двумя доменами;
например, хотя домен А доверяет домену В, а домен В доверяет домену С,
доверительные отношения между А и С отсутствуют; нетранзитивные отношения могут быть одно- или двусторонними.
• Двусторонние доверительные отношения. Все доверительные отношения
между доменами в лесу Windows .NET являются двусторонними и транзитивными.
При создании нового дочернего домена между ним и его родительским доменом автоматически устанавливаются двусторонние транзитивные доверительные отношения. В двусторонних доверительных отношениях домен А доверяет домену В, а В
доверяет А. Это значит, что запросы на аутентификацию могут передаваться между
этими доменами в обоих направлениях. Двусторонние доверительные отношения
могут быть как транзитивными, так и нетранзитивными.
Доверительные отношения
Домен Windows .NET может устанавливать одно- или двусторонние доверительные отношения с:
• доменами Windows .NET в том же лесу;
• доменами Windows .NET в другом лесу;
• доменами Windows NT 4.0;
• областями (realm) Kerberos V5.