Параметры безопасности

Руководство по безопасности Windows Server 2003
Обзор
Руководство по безопасности Windows Server 2003 содержит конкретные рекомендации по укреплению
безопасности компьютеров с Microsoft® Windows Server™ 2003 с пакетом обновления 1 (SP1) в трех
различных корпоративных средах. В одной из сред должны поддерживаться старые операционные
системы, такие как Windows NT® 4.0 и Windows® 98. В другой используется Windows 2000 и более
новые операционные системы. Наконец, в третьей безопасности придается настолько большое
значение, что значительное снижение функциональности и усложнение работы с клиентскими
компьютерами считается допустимым для достижения максимального уровня безопасности. Эти три
среды называются средой устаревших клиентов (LC), средой корпоративных клиентов (EC) и
специальной безопасной средой с ограниченной функциональностью (SSLF) соответственно.
Руководство по укреплению защиты компьютеров представлено для нескольких различных ролей
сервера. Описание мер противодействия и выбор средств сделаны с учетом того, что у каждого
сервера имеется только одна роль. Если нужно объединить роли некоторых серверов в среде, следует
изменить шаблоны безопасности, включенные в загружаемую версию руководства, для создания
нужного сочетания служб и параметров безопасности. В данном руководстве описаны следующие роли
серверов:
•
•
•
•
•
•
•
•
контроллеры доменов, предоставляющие службы DNS,
серверы инфраструктуры, предоставляющие службы WINS и DHCP,
файловые серверы,
серверы печати,
веб-серверы со службами IIS,
серверы IAS (Internet Authentication Services),
серверы служб сертификации,
узлы-бастионы.
Авторы постарались сделать это руководство хорошо организованным и понятным, чтобы можно было
быстро найти необходимые сведения и определить самые подходящие параметры безопасности для
компьютеров в вашей организации. Несмотря на то, что это руководство написано в первую очередь
для корпоративных заказчиков, оно содержит сведения, которые будут полезны организации любого
размера.
Чтобы извлечь из руководства максимальную пользу, необходимо прочитать его полностью. Также
можно пользоваться дополнительным руководством Угрозы и меры противодействия: параметры
безопасности в системах Windows Server 2003 и Windows XP, которое можно загрузить по адресу
http://go.microsoft.com/fwlink/?LinkId=15159 (на английском языке).
Данное руководство состоит из 13 глав и 4 приложений.
Глава 1. Введение в руководство по безопасности Windows Server
2003
Эта глава содержит полный обзор руководства по безопасности Windows Server 2003 и включает в себя
краткий обзор каждой главы. В ней также приводится описание среды устаревших клиентов (LC),
среды корпоративных клиентов (EC) и специальной безопасной среды с ограниченной
функциональностью (SSLF).
Глава 2. Механизмы укрепления безопасности Windows Server 2003
Данная глава содержит обзор основных механизмов, которые используются для укрепления
безопасности Windows Server 2003 с пакетом обновления 1 (SP1), описанных в настоящем руководстве
— мастера настройки безопасности и групповой политики Active Directory. В главе объясняется, каким
образом мастер настройки безопасности обеспечивает интерактивную среду для создания и
тестирования политик безопасности для компьютеров с Windows Server 2003, выполняющих различные
роли, и управления ими. Кроме того, дается оценка мастера настройки безопасности в контексте трех
сред, описанных в главе 1.
Следующая часть данной главы содержит высокоуровневое описание схемы Active Directory, схемы
подразделения, схемы группы администраторов и объектов групповой политики, а также политики
домена. Эти темы рассматриваются в контексте трех сред, описанных в главе 1, с целью создания
представления об идеальной завершенной безопасной среде.
Данная глава завершается подробным анализом сочетания лучших функций мастера настройки
безопасности и традиционных подходов с использованием объектов групповой политики для
укрепления безопасности операционной системы Windows Server 2003 с пакетом обновления 1 (SP1),
используемых в данном руководстве.
Глава 3. Политика домена
Данная глава содержит описание параметров шаблонов безопасности и дополнительных защитных мер
для политик доменного уровня в трех средах, рассматриваемых в главе 1. Эта глава не содержит
описания никакой определенной роли сервера — в ней рассматриваются определенные политики и
параметры, имеющие отношение к политикам доменов верхнего уровня.
Глава 4. Базовая политика рядовых серверов
В этой главе основное внимание уделяется тому, как создать базовую политику рядового сервера
(MSBP) для ролей серверов, описанных ниже.
Глава 5. Базовая политика контроллеров домена
Роль сервера контроллера домена — одна из основных ролей в обеспечении безопасности любой
среды Active Directory с компьютерами, на которых установлена операционная система
Windows Server 2003 с пакетом обновления 1(SP1). Сбои в работе или уязвимость контроллера домена
могут оказать существенное воздействие на работу клиентских компьютеров, серверов и приложений,
функции проверки подлинности, групповой политики и каталога LDAP которых зависят от контроллера
домена. В трех описанных в руководстве средах, контроллеры доменов также предоставляют службы
DNS.
Глава 6. Роль сервера инфраструктуры
В этой главе роль сервера инфраструктуры обеспечивает службы DHCP и WINS. В главе содержатся
дополнительные сведения о преимуществах, которые обеспечивают параметры безопасности, не
входящие в базовую политику рядовых серверов (MSBP), для серверов инфраструктуры с
Windows Server 2003 с пакетом обновления 1 (SP1) в конкретной среде.
Глава 7. Роль файлового сервера
Основное внимание в этой главе уделяется укреплению безопасности файловых серверов. Она также
отвечает на вопрос о том, почему трудно добиться высокого уровня безопасности таких серверов.
Основным службам файловых серверов необходимы протоколы, основанные на Windows NetBIOS, а
также протоколы SMB и CIFS. Протоколы SMB и CIFS обычно используются для обеспечения доступа
пользователей, прошедших проверку подлинности, но если настройка безопасности для них не была
выполнена должным образом, они могут допускать раскрытие важной информации пользователям, не
прошедшим проверку подлинности или злоумышленникам. Из-за этого данные протоколы обычно
отключают в системах, требующих высокого уровня безопасности. В данной главе рассматриваются
преимущества, обеспечиваемые файловым серверам с Windows Server 2003 с пакетом обновления 1
(SP1) при использовании параметров безопасности, которые не применяются в рамках базовой
политики рядовых серверов (MSBP).
Глава 8. Роль сервера печати
Данная глава посвящена серверам печати. Как и в случае с серверами файлов, основным службам
серверов печати требуются протоколы на базе Windows NetBIOS, а также протоколы SMB и CIFS. Как
уже говорилось выше, протоколы SMB и CIFS часто отключаются в средах с высоким уровнем
безопасности. Данная глава содержит описание процесса укрепления безопасности сервера печати с
Windows Server 2003 с пакетом обновления 1 (SP1) с помощью параметров безопасности, не входящих
в политику MSBP.
Глава 9. Роль веб-сервера
В данной главе рассказывается о том, почему всестороннее обеспечение безопасности веб-узлов и
приложений требует защиты всего сервера IIS (включая каждый веб-узел и приложения, запущенные
на сервере IIS) от клиентских компьютеров в его окружении. Веб-узлы и приложения также должны
быть защищены от других веб-узлов и приложений, работающих на том же сервере IIS. В этой главе
приводится описание процедур осуществления необходимых мер защиты серверов IIS с операционной
системой Windows Server 2003 с пакетом обновления 1 (SP1) в конкретной среде.
Глава 10. Роль сервера IAS
Серверы проверки подлинности в Интернете (IAS) предоставляют протокол RADIUS,
стандартизированный протокол проверки подлинности, созданный для проверки подлинности
клиентов, подключающихся к сети в удаленном режиме. В данной главе рассматриваются
преимущества, обеспечиваемые IAS-серверам с Windows Server 2003 с пакетом обновления 1 (SP1)
при использовании параметров безопасности, которые не применяются в рамках базовой политики
рядовых серверов (MSBP).
Глава 11. Роль сервера служб сертификации
Службы сертификации предоставляют услуги по шифрованию и управлению сертификатами, которые
требуются для создания инфраструктуры открытого ключа (PKI) в серверной среде. В данной главе
рассматриваются преимущества, обеспечиваемые серверам служб сертификации с Windows Server
2003 с пакетом обновления 1 (SP1) при использовании параметров безопасности, которые не
применяются в рамках базовой политики рядовых серверов (MSBP).
Глава 12. Роль узла-бастиона.
Клиентские компьютеры могут получить доступ к узлу-бастиону через Интернет. Данная глава
содержит описание того, насколько такие открытые для общего доступа компьютеры, уязвимы для
атак, осуществляемых большим количеством пользователей, которые при желании могут оставаться
анонимными. Поскольку многие организации не расширяют инфраструктуру своих доменов в Интернет,
эта глава демонстрирует, как можно усилить степень защиты автономных компьютеров, которые
работают под управлением Windows Server 2003 с пакетом обновления 1 (SP1), но не принадлежат к
домену на базе Active Directory.
Глава 13. Заключение
В заключительной главе этого руководства обобщается весь материал, представленный в предыдущих
главах.
Приложение A. Форматы и средства безопасности
Хотя руководство по безопасности Windows Server 2003 в основном посвящено использованию мастера
настройки безопасности для создания политик, которые затем преобразуются в шаблоны безопасности
и объекты групповой политики, существует множество других средств и форматов файлов, которые
могут использоваться для дополнения или замещения данной методики. В настоящем приложении
содержится краткий перечень таких средств и форматов.
Приложение Б. Ключевые параметры
В руководстве по безопасности Windows Server 2003 рассматриваются многие меры по обеспечению
безопасности и параметры безопасности, однако, следует учитывать, что лишь небольшое количество
таких параметров имеет особую важность. Данное приложение посвящено параметрам, имеющим
особое влияние на безопасность компьютеров с операционной системой Windows Server 2003 с пакетом
обновления 1 (SP1).
Приложение В. Обзор параметров шаблона безопасности
В данном приложении вниманию пользователей предлагается электронная таблица Microsoft Excel®
«Параметры руководства по безопасности Windows Server 2003», которая вместе с шаблонами и
средствами входит в загружаемую версию настоящего руководства, расположенную по адресу
http://go.microsoft.com/fwlink/?LinkId=14846 (на английском языке). Данная таблица содержит полную
картотеку всех рекомендуемых параметров для трех систем, определяемых в настоящем руководстве, в
компактной и удобной форме.
Приложение Г. Тестирование руководства по безопасности Windows
Server 2003
Настоящее руководство по безопасности Windows Server 2003 содержит значительное количество
сведений об усилении защиты серверов, работающих под управлением Windows Server 2003 с пакетом
обновления 1 (SP1), но пользователю следует всегда выполнять тестирование и оценку всех
параметров перед внедрением любых параметров в рабочей среде.
В данном приложении содержится руководство по созданию подходящей изолированной лабораторной
среды, которая используется для обеспечения успешной реализации рекомендуемых параметров в
рабочей среде. С его помощью пользователи могут выполнить необходимые проверки и значительно
уменьшить количество необходимых ресурсов.
Средства и шаблоны
Набор шаблонов безопасности, сценариев и дополнительных средств включен в загружаемую версию
настоящего руководства в качестве вспомогательного средства оценки, тестирования и внедрения
рекомендуемых мер обеспечения безопасности в организации. Шаблоны безопасности — это текстовые
файлы, которые можно импортировать в групповые политики домена или применять локально с
помощью оснастки «Анализ и настройка безопасности» консоли управления MMC. Эти процедуры
описаны в главе 2 «Механизмы укрепления безопасности Windows Server 2003». Среди сценариев,
входящих в руководство, имеются сценарии для создания и связывания объектов групповой политики
(GDO), а также тестовые сценарии, которые используются для тестирования рекомендуемых мер по
обеспечению безопасности.
Ресурсы по теме
Дополнительные сведения о параметрах безопасности, описанных в данном руководстве, см. в
сопутствующем руководстве Угрозы и меры противодействия: параметры безопасности в системах
Windows Server 2003 и Windows XP, которое можно загрузить по адресу
http://go.microsoft.com/fwlink/?LinkId=15159 (на английском языке) и руководстве по безопасности
Windows XP http://go.microsoft.com/fwlink/?LinkId=14839 (на английском языке).
См. также другие методы решения проблем безопасности от группы корпорации Майкрософт по
решению вопросов безопасности и совместимости (MSSC).
Поделитесь своими отзывами
Группа корпорации Майкрософт по решению вопросов безопасности и совместимости (MSSC) хотела
бы знать ваше мнение по поводу этого и иных решений в сфере безопасности.
Хотите высказать свое мнение? Поделитесь им с нами, посетив блог Security Solutions для ИТспециалистов (на английском языке).
Отзывы также можно присылать по электронной почте на следующий адрес: SecWish@microsoft.com.
Мы стараемся отвечать на электронные сообщения, написанные на этот адрес.
Ждем ваших отзывов.
Службы консультаций и поддержки
Существует множество служб, помогающих организациям в укреплении безопасности. Следующие
ссылки помогут вам найти нужную службу поддержки:
Найти партнеров со статусом Microsoft Gold Certified Partner, сертифицированные центры технического
образования Майкрософт, партнеров со статусом Microsoft Certified Partner, а также продукты
независимых поставщиков программного обеспечения на базе технологий Майкрософт можно через
каталог ресурсов Майкрософт по адресу http://go.microsoft.com/fwlink/?LinkId=43094 (на английском
языке).
Для того чтобы найти службы поддержки и консалтинговые службы, нужные вашей организации,
посетите веб-узел подразделения Microsoft Services по адресу http://support.microsoft.com/msservices
(на английском языке).
Глава 1. Введение в руководство по безопасности Windows Server 2003
Обзор
Руководство по безопасностиWindows Server 2003 Настоящее руководство разработано для
предоставления максимально полной информации об оценке и нейтрализации угроз безопасности,
характерных для операционной системы Microsoft® Windows Server™ 2003 с пакетом обновления 1
(SP1). Главы настоящего руководства содержат подробные рекомендации по улучшению конфигурации
параметров безопасности и повышению функциональности операционной системы
Windows Server 2003 с пакетом обновления 1 (SP1), а также по противостоянию угрозам безопасности,
выявленным в системе. Данное руководство разработано для системных инженеров, консультантов и
администраторов сети, работающих в среде Windows Server 2003 с пакетом обновления 1 (SP1).
Настоящее руководство прошло оценку и получило одобрение инженерных групп корпорации
Майкрософт, консультантов, сотрудников службы технической поддержки, а также клиентов и
партнеров компании. Специалисты корпорации Майкрософт сотрудничали с консультантами и
системными инженерами, выполнявшими внедрение Windows Server 2003, Windows® XP и
Windows 2000 в различных средах, чтобы разработать рекомендации по укреплению безопасности
серверов и клиентских компьютеров, отвечающие современным требованиям. Эти рекомендации
подробно изложены в настоящем руководстве.
Дополнительное руководство Угрозы и меры противодействия: параметры безопасности в
Windows Server 2003 и Windows XP (см. http://go.microsoft.com/fwlink/?LinkId=15159) содержит
комплексный обзор всех основных параметров безопасности операционных систем
Windows Server 2003 с пакетом обновления 1 (SP1) и Windows XP с пакетом обновления 2 (SP2). Главы
со второй по двенадцатую настоящего руководства включают подробные рекомендации и процедуры
по обеспечению безопасности, которые представляют собой списки задач, позволяющие достичь
высокого уровня безопасности компьютеров с операционной системой Windows Server 2003 с пакетом
обновления 1 (SP1) в организации. Дополнительные материалы и концепции, не включенные в
настоящее руководство, см. на следующих веб-узлах: Комплект ресурсов Microsoft
Windows Server 2003, Комплект ресурсов Microsoft Windows XP, Комплект ресурсов по безопасности
Microsoft Windows 2000 и Microsoft TechNet (на английском языке).
Практические выводы
В любой среде следует серьезно относиться к вопросам безопасности. Многие организации
недооценивают значение информационных технологий (ИТ) зачастую в связи с тем, что ими не
учитываются существенные косвенные издержки. Если атака на серверы среды будет достаточно
серьезной, она может нанести существенный вред всей организации. Например, если в результате
атаки веб-узел организации выходит из строя, это может повлечь за собой значительное снижение
доходов или потерю доверия клиентов, что повлияет на прибыльность организации. При оценке
расходов на обеспечение безопасности следует учитывать косвенные издержки, связанные с
различными типами атак, в дополнение к расходам, связанным с потерями ИТ-возможностей.
Анализ уязвимости и рисков в отношении безопасности содержит сведения о компромиссе между
безопасностью и удобством работы, который приходится искать для всех компьютеров в сетевой среде.
В настоящем руководстве рассматриваются основные меры по обеспечению безопасности, доступные в
операционной системе Windows Server 2003 с пакетом обновления 1 (SP1), уязвимости, на устранение
которых они направлены, и возможные негативные последствия, связанные с их реализацией.
Данное руководство содержит конкретные рекомендации по укреплению безопасности компьютеров с
операционной системой Windows Server 2003 с пакетом обновления 1 (SP1) в трех определенных
рабочих средах. Среда устаревших клиентов (LC) должна поддерживать старые версии операционной
системы, такие как Windows 98. Среда корпоративных клиентов (EC) — это система, в которой
используется Windows 2000 в качестве самой старой версии операционной системы Windows. Третья
среда — это система, в которой проблема обеспечения безопасности настолько важна, что
существенная потеря функциональности и управляемости клиентских компьютеров считается
приемлемой мерой для достижения высочайшего уровня безопасности. Она носит название
специальной безопасной среды с ограниченной функциональностью (SSLF). Были приложены все
усилия, чтобы структурировать эти сведения и обеспечить удобный доступ к ним, чтобы пользователь
мог быстро найти параметры и определить, какие из них подходят для компьютеров в его организации.
Хотя данное руководство рассчитано на крупные предприятия, большая часть рекомендаций
применима к организациям любого размера.
Чтобы извлечь максимальную пользу из предоставленного материала, необходимо прочитать все
руководство. Кроме того, можно ознакомиться с дополнительным руководством Угрозы и меры
противодействия: параметры безопасности в
системах Windows Server 2003 и Windows XP, которое можно загрузить по адресу
http://go.microsoft.com/fwlink/?LinkId=15159 (на английском языке).
Группа специалистов, работавшая над данным руководством, надеется, что материалы, вошедшие в
него, окажутся полезными, информативными и содержательными.
Для кого предназначено это руководство
Данное руководство в первую очередь предназначено для консультантов, специалистов в области
безопасности, разработчиков архитектуры систем и ИТ-специалистов, планирующих реализацию или
разработку инфраструктуры и развертывание Windows Server 2003. К таким специалистам можно
отнести:
•
разработчиков архитектуры и специалистов в планировании, занимающихся разработкой
•
специалистов в области безопасности ИТ-систем, сферой деятельности которых является
•
бизнес-аналитиков и ответственных за принятие бизнес-решений, основные цели и требования
•
консультантов служб корпорации Майкрософт и партнерских компаний, которым необходимы
архитектуры организаций клиентов;
обеспечение безопасности всех платформ в организации;
деятельности которых зависят от поддержки клиентов;
ресурсы, содержащие подробные и полезные сведения, соответствующие потребностям
корпоративных клиентов и партнерских компаний.
Содержание руководства
В настоящем руководстве рассматриваются способы создания и поддержания безопасной среды для
компьютеров организации, на которых установлена операционная система Windows Server 2003 с
пакетом обновления 1 (SP1). Руководство содержит описание различных этапов укрепления
безопасности трех сред, рассматриваемых в данном документе, а также задач, для выполнения
которых служат те или иные рекомендуемые настройки параметров сервера в зависимости от
потребностей клиента. В руководстве рассматриваются следующие три среды:
•
среда устаревших клиентов (LC) состоит из домена служб каталогов Active Directory® с рядовыми
серверами и контроллеров домена, на которых установлена ОС Windows Server 2003, и нескольких
клиентских компьютеров с операционными системами Microsoft Windows 98 и Windows NT® 4.0. На
компьютерах с Windows 98 должно быть установлено клиентское расширение Active Directory
(программа DSCLient). Дополнительные сведения см. в статье базы знаний Майкрософт Установка
клиентского расширения Active Directory по адресу http://support.microsoft.com/kb/288358/ru;
•
среда корпоративных клиентов (EC) состоит из домена Active Directory с рядовыми серверами и
контроллеров домена, на которых установлена ОС Windows Server 2003 с пакетом обновления 1
(SP1), и клиентских компьютеров с Windows 2000 и Windows XP;
•
специальная безопасная среда с ограниченной функциональностью (SSLF) также включает домен
Active Directory с рядовыми серверами и контроллеры домена, на которых установлена ОС Windows
Server 2003 с пакетом обновления 1 (SP1), и клиентские компьютеры с Windows 2000 и Windows XP.
При этом параметры специальной безопасной среды с ограниченной функциональностью (SSLF)
настолько ограничивают функциональность, что некоторые приложения могут не работать. По этой
причине может быть снижена производительность серверов, а управление серверами может
представлять собой достаточно сложную задачу.
Кроме того, клиентские компьютеры, не защищенные политиками SSLF, могут испытывать
неполадки связи с клиентскими компьютерами и серверами, к которым применены такие политики.
Дополнительные сведения об обеспечении безопасности клиентских компьютеров, на которых
установлены параметры, совместимые с SSLF, см. в руководстве по безопасности Windows XP (на
английском языке).
Рекомендации по укреплению безопасности компьютеров в этих трех средах предназначены для
группы определенных ролей серверов. Описание мер противодействия и выбор средств сделаны с
учетом того, что у каждого сервера имеется только одна роль. Если требуется совместить роли для
некоторых серверов в конкретной среде, можно соответствующим образом изменить шаблоны
безопасности, которые входят в набор для загрузки, сопровождающий данное руководство, чтобы
создать подходящее сочетание служб и параметров безопасности. В данном руководстве
рассматриваются следующие роли:
•
контроллеры домена,
•
серверы инфраструктуры,
•
файловые серверы,
•
серверы печати,
•
серверы IIS (Internet Information Services),
•
серверы IAS (Internet Authentication Services),
•
серверы служб сертификации,
•
узлы-бастионы.
Рекомендуемые параметры прошли тщательное тестирование в лабораторной среде, моделирующей
ранее описанные среды (среда устаревших клиентов, среда корпоративных клиентов, специальная
безопасная среда с ограниченной функциональностью). Работоспособность данных параметров в
лабораторной среде была подтверждена, однако рекомендуется провести проверку этих параметров в
собственной лаборатории организации, точно соответствующей рабочей среде. Скорее всего,
потребуется внести некоторые изменения в шаблоны безопасности и процедуры ручной настройки,
описанные в настоящем руководстве, чтобы обеспечить должное функционирование использующихся
приложений. Более подробные сведения, которые содержатся в дополнительном руководстве Угрозы и
меры противодействия: параметры безопасности в Windows Server 2003 и Windows XP, помогают
оценить необходимость каждой отдельной меры и решить, какие из них подходят для уникальных
условий конкретной организации и потребностей бизнеса.
Обзор глав
Руководство по безопасности Windows Server 2003 состоит из 13 глав. Каждая глава содержит
комплексное решение по внедрению Windows Server 2003 с пакетом обновления 1 (SP1) в рабочую
среду и обеспечению безопасности. В первых главах дается описание процесса создания основы для
укрепления безопасности серверов организации. Остальные главы содержат описание процедур,
соответствующих каждой отдельной роли сервера.
Глава 1. Введение в руководство по безопасности Windows Server 2003
Данная глава содержит введение в руководство по безопасности Windows Server 2003 и включает
краткий обзор каждой главы. В ней приводится описание среды устаревших клиентов (LC), среды
корпоративных клиентов (EC) и специальной безопасной среды с ограниченной функциональностью
(SSLF).
Глава 2. Механизмы укрепления безопасности Windows Server 2003
Данная глава содержит обзор основных механизмов, которые используются для укрепления
безопасности Windows Server 2003 с пакетом обновления 1 (SP1), описанных в настоящем руководстве
— мастера настройки безопасности и групповой политики Active Directory. В главе объясняется, каким
образом мастер настройки безопасности обеспечивает интерактивную среду для создания и
тестирования политик безопасности для серверов Windows, выполняющих различные роли, и
управления ими. Кроме того, дается оценка мастера настройки безопасности в контексте трех сред,
описанных в главе 1.
Следующая часть данной главы содержит высокоуровневое описание схемы Active Directory, схемы
подразделения, схемы группы администраторов и объектов групповой политики, а также политики
домена. Эти темы рассматриваются в контексте трех сред, описанных в главе 1, с целью создания
представления об идеальной завершенной безопасной среде.
Данная глава завершается подробным анализом сочетания лучших функций мастера настройки
безопасности и традиционных подходов с использованием объектов групповой политики для
укрепления безопасности операционной системы Windows Server 2003 с пакетом обновления 1 (SP1),
используемых в данном руководстве.
Глава 3. Политика домена
Данная глава содержит описание параметров шаблонов безопасности и дополнительных мер по
обеспечению безопасности для политик доменного уровня в трех средах, рассматриваемых в главе 1.
Глава не содержит описания какой-либо определенной роли сервера — в ней рассматриваются
определенные политики и параметры, имеющие отношение к доменным политикам верхнего уровня.
Глава 4. Базовая политика рядовых серверов
Данная глава содержит описание параметров шаблонов безопасности и дополнительных защитных мер
в трех средах, рассматриваемых в главе 1. Глава посвящена созданию базовой политики рядовых
серверов (MSBP) для ролей сервера, рассматриваемых в настоящем руководстве.
Рекомендации, содержащиеся в данной главе, позволяют организациям выполнять безопасное
развертывание настроек параметров для существующих и новых установок операционной системы
Windows Server 2003 с пакетом обновления 1 (SP1). Были исследованы и протестированы стандартные
конфигурации безопасности Windows Server 2003 с пакетом обновления 1 (SP1). Рекомендации,
содержащиеся в данной главе, разработаны таким образом, чтобы обеспечить безопасность более
высокого уровня по сравнению со стандартными параметрами безопасности операционной системы. В
некоторых случаях, предлагаемые параметры накладывают меньше ограничений, чем параметры,
входящие в стандартную установку Windows Server 2003 с пакетом обновления 1 (SP1), чтобы
обеспечить поддержку систем с устаревшими клиентами.
Глава 5. Базовая политика контроллеров домена
Роль сервера контроллера домена — одна из основных ролей в обеспечении безопасности любой
среды Active Directory с компьютерами, на которых установлена операционная система
Windows Server 2003 с пакетом обновления 1(SP1). Сбои в работе или уязвимость контроллера домена
могут оказать существенное воздействие на работу клиентских компьютеров, серверов и приложений,
функции проверки подлинности, групповой политики и каталога LDAP которых зависят от контроллера
домена.
В данной главе подчеркивается необходимость размещения контроллеров доменов в физически
безопасном месте, доступ к которому имеют только квалифицированные администраторы.
Рассматриваются риски размещения контроллеров доменов в ненадежном месте, например в филиалах
компании. Значительная часть главы посвящена рассмотрению вопросов безопасности, которые лежат
в основе рекомендуемой базовой политики контроллера домена.
Контроллеры домена Active Directory требуют стабильной работы и должной настройки служб DNS. По
умолчанию Windows Server 2003 с пакетом обновления 1 (SP1) обеспечивает интеграцию зон DNS в
Active Directory, что позволяет контроллерам домена запускать службы DNS и отвечать на DNSзапросы, поступающие от клиентских компьютеров в домене Active Directory. В данной главе
предполагается, что контроллер домена также предоставляет услуги DNS, и даются соответствующие
указания.
Глава 6. Роль сервера инфраструктуры
В данной главе роль сервера инфраструктуры определяется как DHCP-сервер или WINS-сервер. В
главе содержатся дополнительные сведения о преимуществах, которые обеспечивают параметры
безопасности, не входящие в базовую политику рядовых серверов (MSBP), для серверов
инфраструктуры с Windows Server 2003 с пакетом обновления 1 (SP1) в конкретной среде. Сведения о
настройке службы DNS в этой главе не приводятся, они включены в описание роли контроллера
домена.
Глава 7. Роль файлового сервера
В данной главе рассматривается роль файлового сервера и затруднения, возникающие при укреплении
безопасности таких серверов. Основные службы файловых серверов требуют использования
протоколов на основе Windows NetBIOS, а также протоколов SMB и CIFS. Протоколы SMB (Server
Message Block) и CIFS (Common Internet File System) обычно используются для обеспечения доступа
пользователей, прошедших проверку подлинности, но если настройка безопасности для них не была
выполнена должным образом, они могут допускать раскрытие важной информации пользователям, не
прошедшим проверку подлинности или злоумышленникам. Из-за этого данные протоколы обычно
отключают в системах, требующих высокого уровня безопасности. В данной главе рассматриваются
преимущества, обеспечиваемые файловым серверам с Windows Server 2003 с пакетом обновления 1
(SP1) при использовании параметров безопасности, которые не применяются в рамках базовой
политики рядовых серверов (MSBP).
Глава 8. Роль сервера печати
Данная глава посвящена серверам печати. Аналогично файловым серверам основные службы серверов
печати требуют использования протоколов на основе Windows NetBIOS, а также протоколов SMB и
CIFS. Как уже было сказано ранее, эти протоколы часто бывают запрещены в средах с высоким
уровнем безопасности. Данная глава содержит описание процесса укрепления безопасности сервера
печати с Windows Server 2003 с пакетом обновления 1 (SP1) с помощью параметров безопасности, не
входящих в политику MSBP.
Глава 9. Роль веб-сервера
В данной главе рассказывается о том, почему всестороннее обеспечение безопасности веб-узлов и
приложений требует защиты всего сервера IIS (включая каждый веб-узел и приложения, запущенные
на сервере IIS) от клиентских компьютеров в его окружении. Веб-узлы и приложения также должны
быть защищены от других веб-узлов и приложений, работающих на том же сервере IIS. В этой главе
приводится подробное описание процедур осуществления необходимых мер защиты серверов IIS с
операционной системой Windows Server 2003 с пакетом обновления 1 (SP1) в конкретной среде.
IIS не устанавливается на рядовые серверы семейства Microsoft Windows Server System™ по
умолчанию. Если сервер IIS установлен изначально, он находится в режиме повышенной безопасности
с блокировкой некоторых функций. Например, параметры по умолчанию позволяют IIS выдавать
только статическое содержимое. Администратору потребуется включить такие возможности как
страницы ASP, ASP.NET, включения на стороне сервера (SSI), веб-публикация DAV и серверные
расширения Microsoft FrontPage® с помощью узла расширения веб-служб в диспетчере служб IIS.
В разделах данной главы содержатся подробные сведения о различных параметрах, которые можно
использовать для укрепления безопасности серверов IIS в конкретной среде. Подчеркивается
необходимость отслеживания, обнаружения и реагирования на проблемы безопасности для
обеспечения постоянной защиты серверов. Основное внимание уделяется веб-протоколам и
приложениям IIS, таким как HTTP; при этом в главе не содержится рекомендаций по другим
протоколам, поддерживаемым IIS — SMTP, FTP и NNTP.
Глава 10. Роль сервера IAS
Серверы проверки подлинности в Интернете (IAS) предоставляют протокол RADIUS,
стандартизированный протокол проверки подлинности, созданный для проверки подлинности
клиентов, подключающихся к сети в удаленном режиме. В данной главе рассматриваются
преимущества, обеспечиваемые IAS-серверам с Windows Server 2003 с пакетом обновления 1 (SP1)
при использовании параметров безопасности, которые не применяются в рамках базовой политики
рядовых серверов (MSBP).
Глава 11. Роль сервера служб сертификации
Службы сертификации предоставляют услуги по шифрованию и управлению сертификатами, которые
требуются для создания инфраструктуры открытого ключа (PKI) в серверной среде. В данной главе
рассматриваются преимущества, обеспечиваемые серверам служб сертификации с Windows Server
2003 с пакетом обновления 1 (SP1) при использовании параметров безопасности, которые не
применяются в рамках базовой политики рядовых серверов (MSBP).
Глава 12. Роль узла-бастиона
Клиентские компьютеры могут получить доступ к узлу-бастиону через Интернет. Данная глава
содержит описание того, насколько такие открытые для общего доступа компьютеры, уязвимы для
атак, осуществляемых большим количеством пользователей, которые при желании могут оставаться
анонимными. Многие организации не допускают расширения инфраструктуры домена в Интернет.
Поэтому в данной главе рассматривается укрепление безопасности отдельных компьютеров. В главе
содержатся дополнительные сведения о преимуществах, которые обеспечивают рекомендации по
безопасности для компьютеров, не входящих в домен Active Directory, в том числе узлов-бастионов с
Windows Server 2003 с пакетом обновления 1 (SP1), содержащиеся в настоящем руководстве.
Глава 13. Заключение
В заключительной главе этого руководства повторяются важные моменты из материалов, которые были
рассмотрены в предыдущих главах.
Приложение A. Форматы и средства безопасности
Хотя данное руководство в основном посвящено использованию мастера настройки безопасности для
создания политик, которые затем преобразуются в шаблоны безопасности и объекты групповой
политики, существует множество других средств и форматов файлов, которые могут использоваться
для дополнения или замещения данной методики. В настоящем приложении содержится краткий
перечень таких средств и форматов.
Приложение Б. Ключевые параметры
В настоящем руководстве рассматриваются многие меры по обеспечению безопасности и параметры
безопасности, однако, следует учитывать, что лишь небольшое количество таких параметров имеет
особую важность. Данное приложение посвящено параметрам, имеющим особое влияние на
безопасность компьютеров с операционной системой Windows Server 2003 с пакетом обновления 1
(SP1).
Приложение В. Обзор параметров шаблона безопасности
В данном приложении вниманию пользователей предлагается книга Microsoft Excel® «Параметры
руководства по безопасности Windows Server 2003», которая вместе с шаблонами и средствами входит
в загружаемую версию настоящего руководства (http://go.microsoft.com/fwlink/?LinkId=14846). Данная
таблица содержит полную картотеку всех рекомендуемых параметров для трех систем, определяемых в
настоящем руководстве, в компактной и удобной форме.
Приложение Г. Тестирование руководства по безопасности Windows Server 2003
Настоящее руководство содержит значительное количество сведений об усилении защиты серверов,
работающих под управлением Windows Server 2003 с пакетом обновления 1 (SP1), но пользователю
следует всегда выполнять тестирование и оценку всех параметров перед внедрением любых
параметров в рабочей среде.
В данном приложении содержится руководство по созданию подходящей изолированной лабораторной
среды, которая используется для обеспечения успешной реализации рекомендуемых параметров в
рабочей среде. С его помощью пользователи могут выполнить необходимые проверки и значительно
уменьшить количество необходимых ресурсов.
Средства и шаблоны
Набор шаблонов безопасности, сценариев и дополнительных средств включен в загружаемую версию
настоящего руководства в качестве вспомогательного средства оценки, тестирования и внедрения
рекомендуемых мер обеспечения безопасности в организации. Шаблоны безопасности — это текстовые
файлы, которые можно импортировать в групповые политики домена или применять локально с
помощью оснастки «Анализ и настройка безопасности» консоли управления MMC. Эти процедуры
описаны в главе 2 «Механизмы укрепления безопасности Windows Server 2003». Среди сценариев,
входящих в руководство, имеются сценарии для создания и связывания объектов групповой политики
(GDO), а также тестовые сценарии, которые используются для тестирования рекомендуемых мер по
обеспечению безопасности. Кроме того, в руководство входит книга в формате электронных таблиц
Excel, которая содержит краткий обзор параметров шаблонов безопасности (см. выше в разделе
«Приложение В»).
Файлы, входящие в состав данного руководства, собирательно именуются «средствами и шаблонами».
Эти файлы содержатся в MSI-файле в самораспаковывающемся архиве WinZip (содержит данное
руководство), доступном для загрузки в центре загрузки Майкрософт по адресу
http://go.microsoft.com/fwlink/?LinkId=14846. При открытии MSI-файла по указанному пользователем
пути будет создана следующая структура папок:
•
\Средства и шаблоны руководства по безопасности Windows Server 2003\Шаблоны
безопасности. В этой папке содержатся все шаблоны безопасности, упоминаемые в данном
руководстве.
•
Средства и шаблоны руководства по безопасности Windows Server 2003\Средства
проверки. В этой папке содержатся различные файлы и средства, описание которых приводится в
приложении Г «Тестирование руководства по безопасности Windows Server 2003».
Навыки и уровень подготовки
ИТ-специалисты, осуществляющие разработку, развертывание и обеспечение безопасности установки
Windows Server 2003 и Windows XP в корпоративной среде, должны обладать следующими знаниями и
навыками:
•
сертификат MCSE 2000 или 2003 с опытом работы в области безопасности более 2 лет;
•
глубокое знание среды домена и Active Directory организации;
•
использование средств управления, включая консоль управления (MMC), Secedit, Gpupdate и
•
опыт администрирования групповых политик;
•
опыт развертывания приложений и рабочих станций в корпоративных средах.
Gpresult;
Требования к программному обеспечению
Программное обеспечение, необходимое для работы средств и шаблонов, рассматриваемых в
настоящем руководстве, включает:
•
Windows Server 2003 Standard Edition с пакетом обновления 1 (SP1), Windows Server 2003 Enterprise
Edition с пакетом обновления 1 (SP1) или Windows Server 2003 Datacenter Edition с пакетом
обновления 1 (SP1);
•
домен Active Directory с Windows Server 2003;
•
Microsoft Excel 2000 или более поздняя версия.
Условные обозначения
В настоящем руководстве используются следующие условные обозначение и термины.
Таблица 1.1. Условные обозначения
Элемент
Значение
Полужирный шрифт
Обозначает текст, который отображается точно так, как показано,
включая команды, параметры и имена файлов. Полужирным шрифтом
также выделяются элементы интерфейса пользователя.
Курсив
Курсивом выделены названия книг и других важных публикаций.
<Курсив>
Текст, выделенный курсивом и заключенный в угловые скобки,
обозначает переменные: <имя_файла>.
Моноширинный шрифт
Обозначает примеры кода и сценариев.
Примечание.
Указывает на дополнительные сведения.
Внимание!
Указывает на важные дополнительные сведения.
Заключение
В данной главе содержится обзор основных факторов, связанных с укреплением безопасности
компьютеров с операционной системой Windows Server 2003 с пакетом обновления 1 (SP1), которые
рассматриваются более подробно в остальной части руководства. Получив представление о структуре
руководства, пользователь может прочитать его целиком либо выборочно ознакомиться с
интересующими его разделами.
Следует помнить, что эффективные и успешные меры по обеспечению безопасности требуют внесения
улучшений во все сферы, рассмотренные в данном руководстве. Поэтому корпорация Майкрософт
рекомендует прочесть все руководство, чтобы получить полное представление об обеспечении
безопасности компьютеров организации, на которых установлена операционная система
Windows Server 2003 с пакетом обновления 1 (SP1).
Дополнительные сведения
Ниже приведены ссылки на дополнительные сведения по темам, связанным с безопасностью и
операционной системой Windows Server 2003 с пакетом обновления 1 (SP1).
•
Дополнительные сведения о безопасности в корпорации Майкрософт см. на странице Защищенные
информационные системы по адресу www.microsoft.com/mscorp/twc/default.mspx (на английском
языке).
•
Дополнительные сведения о том, чем MOF может быть полезна вашему предприятию, см. на
странице Microsoft Operations Framework по адресу
www.microsoft.com/technet/itsolutions/cits/mo/mof/default.mspx (на английском языке).
•
Сведения об уведомлениях безопасности Майкрософт см. на странице поиска бюллетеня по
безопасности Microsoft по адресу www.microsoft.com/technet/security/current.aspx (на английском
языке).
Глава 2. Механизмы укрепления безопасности Windows Server 2003
Обзор
В данной главе рассматриваются механизмы, которые можно использовать для внедрения параметров
безопасности в среде Microsoft® Windows Server™ 2003. Пакет обновления 1 (SP1) операционной
системы Windows Server 2003 содержит мастер настройки безопасности — новое средство, основанное
на использовании ролей, позволяющее обеспечить дополнительную безопасность серверов. При
использовании совместно с объектами групповой политики мастер настройки безопасности
обеспечивает дополнительную гибкость, управляемость и согласованность процесса укрепления
безопасности.
В данной главе рассматриваются следующие темы:
•
Использование мастера настройки безопасности для создания, тестирования и развертывания
•
Использование службы каталогов Active Directory® для согласованного укрепления безопасности
•
Влияние устройства домена Active Directory, подразделения, групповой политики и группы
•
Использование мастера настройки безопасности и групповой политики для создания управляемого
политик укрепления безопасности на основе ролей.
предприятия с помощью объектов групповой политики.
администраторов на развертывание системы безопасности.
подхода на основе ролей для укрепления безопасности серверов с Windows Server 2003 с пакетом
обновления 1 (SP1).
Данные сведения содержат основные принципы и общую картину процесса, которые можно
использовать для перехода от среды устаревших клиентов к специальной безопасной среде с
ограниченной функциональностью в пределах инфраструктуры домена.
Укрепление безопасности с помощью мастера настройки
безопасности
Мастер настройки безопасности предназначен для обеспечения гибкого пошагового уменьшения
количества уязвимых мест серверов с Windows Server 2003 с пакетом обновления 1 (SP1). Мастер
настройки безопасности фактически представляет собой набор средств в сочетании с базой данных
правил в формате XML. Он призван помочь администраторам быстро и точно определить минимальный
набор функций, которые требуются для выполнения серверами определенных ролей.
С помощью мастера настройки безопасности администратор может создавать, тестировать, отлаживать
и развертывать политики безопасности, отключающие все функции, в которых отсутствует
необходимость. Кроме того, он обеспечивает возможность отката политик безопасности. Мастер
настройки безопасности обеспечивает встроенную поддержку управления политиками безопасности
как на отдельных серверах, так и в группах серверов с взаимосвязанными функциями.
Мастер настройки безопасности — это комплексное средство, позволяющее выполнять следующие
задачи:
•
Определять какие серверы должны быть активными, какие — запускаться по необходимости, а
•
Управлять фильтрацией по портам сети вместе с брандмауэром Windows.
•
Контролировать доступность веб-расширений IIS для веб-серверов.
•
Снижать уязвимость протоколов SMB (Server Message Block), NetBIOS, CIFS (Common Internet File
•
Создавать политики аудита, фиксирующие представляющие интерес события.
какие могут быть отключены.
System) и LDAP (Lightweight Directory Access Protocol).
Дополнительные сведения об установке, использовании и устранении неполадок мастера настройки
безопасности содержатся в загружаемой версии документации по мастеру настройки безопасности по
адресу www.microsoft.com/downloads/details.aspx?FamilyID=903fd496-9eb9-4a45-aa003f2f20fd6171&displaylang=en (на английском языке).
Примечание. Мастер настройки безопасности поддерживает работу с Windows Server 2003 с пакетом
обновления 1 (SP1). Его нельзя использовать для создания политик в операционных системах
Windows 2000 Server, Windows XP и Windows Small Business Server 2003. Чтобы укрепить безопасность
значительного числа компьютеров с вышеперечисленными операционными системами, необходимо
пользоваться описанными далее в данной главе механизмами укрепления безопасности, основанными
на групповой политике.
Создание и тестирование политик
Мастер настройки безопасности позволяет быстро создавать и тестировать политики безопасности для
нескольких серверов или групп серверов, используя один компьютер. Данная функция позволяет
управлять политиками всего предприятия с одного компьютера. Политики безопасности обеспечивают
согласованные усиленные меры по укреплению безопасности, соответствующие функциям,
выполняемым каждым сервером в организации. При использовании мастера настройки безопасности
для создания и тестирования политик необходимо установить его на все конечные серверы. Хотя
политики создаются на станции управления, мастер настройки безопасности попытается связаться со
всеми конечными серверами, чтобы выполнить проверку их конфигурации и настроить итоговые
политики.
Мастер настройки безопасности интегрирован с подсистемами IPsec и брандмауэра Windows и вносит
соответствующие изменения в данные параметры. Если это не запрещено, мастер настройки
безопасности настроит брандмауэр Windows на разрешение входящего сетевого трафика на важные
порты, которые требуются операционной системе и прослушивающим приложениям. Если существует
необходимость в дополнительных фильтрах портов, мастер настройки безопасности может их создать.
В результате, политики, созданные с помощью мастера настройки безопасности, соответствуют
потребности в пользовательских сценариях для установки или изменения фильтров IPsec,
блокирующих нежелательный трафик. Данная функция упрощает управление процессом укрепления
безопасности сети. Также упрощается настройка сетевых фильтров для служб, использующих RPC или
динамические порты.
Мастер настройки безопасности также дает возможность глубокой настройки создаваемых политик.
Такая гибкость позволяет создать конфигурацию, которая обеспечивает необходимую
функциональность и при этом повышает безопасность. В дополнение к базовым настройкам и
параметрам можно вручную корректировать заданные мастером настройки безопасности параметры в
следующих областях:
•
службы,
•
сетевые порты,
•
приложения, разрешенные брандмауэром Windows,
•
параметры реестра,
•
параметры IIS,
•
включение имеющихся шаблонов безопасности (в формате INF).
Мастер настройки безопасности информирует администратора о некоторых наиболее важных
параметрах реестра. Для облегчения работы с данным средством разработчики включили в него только
такие параметры, которые оказывают наибольшее влияние на безопасность. Однако в настоящем
руководстве рассматриваются многие другие параметры реестра. Чтобы преодолеть ограничения,
заложенные в мастере настройки безопасности, можно сочетать его решения с шаблонами
безопасности для создания более полной конфигурации безопасности.
При использовании мастера настройки безопасности для создания новой политики в качестве
первоначальной настройки используется текущая конфигурация сервера. Поэтому необходимо выбрать
конечный сервер того же типа, что и сервер для которого предназначается данная политика, чтобы
иметь возможность точно описать настройку роли сервера. При использовании графического
интерфейса пользователя мастера настройки безопасности для создания новой политики создается
файл с расширением XML, который по умолчанию сохраняется в папке
%systemdir%\security\msscw\Policies. После того как политики будут созданы, можно
воспользоваться графическим интерфейсом пользователя мастера настройки безопасности или
средством работы с командной строкой Scwcmd, чтобы применить политики к тестовым серверам.
После тестирования политик, может потребоваться удалить развернутые политики. Можно
воспользоваться графическим интерфейсом пользователя или средством работы с командной строкой
для отката последних политик, примененных к серверу или группе серверов. Мастер настройки
безопасности сохраняет параметры предыдущей конфигурации в файлы с расширением XML.
Для организаций, располагающих ограниченными ресурсами для проектирования и тестирования
настроек безопасности, средств мастера настройки безопасности может оказаться достаточно. Таким
организациям, не располагающим достаточными ресурсами, не следует даже пытаться укреплять
безопасность серверов, так как подобные попытки часто вызывают непредвиденные неполадки и
снижение производительности. Если персонал организации не имеет достаточного опыта и времени
для решения подобных задач, следует сконцентрироваться на других важных мерах по обеспечению
безопасности, например, обновлении приложений и операционной системы до новых версий и
управлении обновлениями.
Развертывание политик
Для развертывания политик можно использовать следующие способы:
•
применение политики с помощью графического интерфейса пользователя мастера настройки
•
применение политики с помощью средства командной строки Scwcmd,
•
преобразование политики мастера настройки безопасности в объект групповой политики и
безопасности,
связывание его с доменом или подразделением.
Каждый способ имеет свои преимущества и недостатки, описание которых приводится в подразделах
ниже.
Применение политики с помощью графического интерфейса пользователя мастера
настройки безопасности
Основным преимуществом данного способа является его простота. Графический интерфейс
пользователя позволяет администраторам легко выбирать предопределенную политику и применять ее
к отдельному компьютеру.
Недостатком этого способа является то, что применять политики можно только для одного компьютера
за один раз. Этот способ не подходит для больших систем и его использование не рассматривается в
настоящем руководстве.
Применение политики с помощью средства командной строки Scwcmd
Одним из способов применения встроенных политик мастера настройки безопасности к нескольким
компьютерам без Active Directory является использование средства Scwcmd. Кроме того, можно
сочетать средство Scwcmd со сценариями для обеспечения частичной автоматизации процесса
развертывания политик, возможно, как составляющей части готового процесса, который используется
для построения и развертывания серверов.
Основной недостаток средства Scwcmd заключается в том, что оно не является автоматическим.
Пользователю требуется определить политики и конечный сервер вручную или с помощью каких-либо
сценариев, что делает возможным применение неправильной политики для конкретного компьютера.
Если конфигурация серверов в группе различается незначительно, может потребоваться создание и
применение отдельных политик для каждого отдельного компьютера. Ввиду наличия данных
ограничений использование этого способа не рассматривается в настоящем руководстве.
Преобразование политики мастера настройки безопасности в объект групповой
политики
Третий способ развертывания политик мастера настройки безопасности — использование средства
Scwcmd для преобразования политик в формате XML в объекты групповой политики (GPO). Хотя на
первый взгляд такое преобразование может показаться излишним, оно обеспечивает следующие
преимущества:
•
Копирование, развертывание и применение политик выполняется с помощью привычных
•
Поскольку политики являются стандартными объектами групповой политики, их можно
механизмов на основе Active Directory.
использовать с подразделениями, наследованием политик и добавочными политиками для точной
настройки процесса укрепления безопасности серверов, конфигурация которых похожа, но не
идентична. С помощью групповых политик можно отнести такие серверы к дочернему
подразделению и применить добавочные политики, в то время как при использовании мастера
настройки безопасности, необходимо создавать новую политику для каждой уникальной
конфигурации.
•
Политики автоматически применяются ко всем серверам, помещенным в соответствующее
подразделение. Встроенные политики мастера настройки безопасности можно применять вручную
либо использовать в сочетании с пользовательскими сценариями.
Укрепление безопасности серверов с помощью групповых политик
Active Directory
Служба Active Directory позволяет приложениям находить и использовать ресурсы каталогов, а также
управлять ими в среде распределенных вычислений. Хотя подробное описание разработки
инфраструктуры Active Directory может занять целую книгу, в настоящем разделе приводится краткое
описание основных понятий, чтобы создать контекст для остальной части руководства. Данные
сведения по разработке необходимы для создания представления об использовании групповой
политики для обеспечения безопасного администрирования доменов, контроллеров доменов и
определенных ролей серверов организации. Если в организации уже имеется проект Active Directory,
данная глава поможет получить представление об его преимуществах в сфере обеспечения
безопасности и возможных проблемах.
Настоящее руководство не содержит специальных рекомендаций по укреплению безопасности базы
данных Active Directory. Дополнительные сведения см. в документе Рекомендации по обеспечению
безопасности службы каталогов Active Directory по адресу
www.microsoft.com/downloads/details.aspx?FamilyID=4e734065-3f18-488a-be1e-f03390ec5f91& (на
английском языке).
При создании инфраструктуры службы каталогов Active Directory необходимо тщательно рассчитать
границы зон безопасности среды. При соответствующем планировании графика делегирования прав и
реализации мер по обеспечению безопасности организации обеспечивается создание более надежной
схемы Active Directory. При значительных изменениях в среде, например, при поглощении или
реорганизации компании, потребуется только изменить структуру схемы.
Границы зон Active Directory
В службе Active Directory имеется несколько различных типов границ. Они служат для разграничения
леса, домена, топологии сайта и делегирования разрешений. Границы устанавливаются автоматически
при установке Active Directory. Тем не менее, следует убедиться, что границы разрешений учитывают
требования и политики организации. Значительная гибкость при делегировании прав администратора
позволяет соответствовать различным требованиям, выдвигаемым организацией. Например, чтобы
обеспечить должное равновесие между безопасностью и функциональностью в сфере
администрирования, можно разделить границы делегирования прав на границы зон безопасности и
границы администрирования.
Границы зон безопасности
Границы зон безопасности позволяют определять автономность или изоляцию различных групп,
входящих в организацию. Найти равновесие между должным уровнем безопасности (в зависимости от
границ сферы деятельности организации) и необходимостью поддерживать постоянный уровень
базовой функциональности непросто. Для успешного достижения такого равновесия необходимо
сравнить угрозы безопасности организации с последствиями для безопасности, связанными с
делегированием прав администратора и другими действиями, которые имеют отношение к архитектуре
сети.
Лес является реальной границей безопасности сетевой среды. Авторы руководства рекомендуют
создать раздельные леса для обеспечения защиты среды от возможных опасностей, исходящих от
администраторов или других доменов. Такой подход также позволяет избежать нарушения работы
всего предприятия при уязвимости одного леса.
Домен является границей управления Active Directory, но не границей зоны безопасности. В
организации, состоящей из сотрудников, имеющих исключительно благие намерения, граница домена
обеспечивает автономное управление службами и данными в пределах каждого домена организации. К
сожалению, принимая во внимание требования безопасности, изоляции не так то просто достичь.
Например, нельзя полностью блокировать атаку на домен, выполняемую недобросовестным
администратором домена. Должный уровень разделения может быть достигнут только на уровне леса.
В пределах домена, следующий уровень границ управления обеспечивается подразделением.
Подразделение — это удобный способ объединения взаимосвязанных ресурсов и делегирования
соответствующему персоналу прав доступа к управлению без предоставления возможности управления
всем доменом. Так же как и домен, подразделение не является фактической границей зоны
безопасности. Хотя подразделению можно присвоить разрешения, все подразделения в границах
одного домена проходят проверку подлинности ресурсов по отношению к ресурсам домена и леса.
Однако хорошо спланированная иерархия подразделений может способствовать разработке и
развертыванию эффективных мер по обеспечению безопасности и управлению ими.
Возможно, в конкретной организации потребуется разделить администрирование служб и данных в
пределах текущей схемы Active Directory. Эффективная схема Active Directory требует полного
понимания потребностей организации в автономности и изоляции служб и данных.
Административные границы
В связи с возможной необходимостью в разделении служб и данных, потребуется выделить несколько
уровней прав администраторов. Помимо администраторов, которые могут выполнять определенные
уникальные обязанности в организации, рекомендуется выделить перечисленные ниже роли
администраторов.
Администраторы служб
Администраторы служб Active Directory несут ответственность за настройку и обеспечение работы
служб каталогов. Например, администраторы служб поддерживают работу серверов контроллеров
домена, контролируют параметры конфигурации каталога и обеспечивают доступность служб. В
организации роль администраторов служб могут выполнять администраторы Active Directory.
Конфигурация служб Active Directory часто определяется с помощью значений атрибутов. Такие
значения атрибутов соответствуют параметрам соответствующих объектов, которые хранятся в
каталоге. Следовательно, администраторы служб Active Directory также являются администраторами
данных. Схема служб каталогов Active Directory конкретной организации может потребовать выделения
других групп администраторов. Ниже перечислены отдельные примеры.
•
Группа администраторов домена, главным образом отвечающая за службы каталогов.
Администратор леса выбирает группу для администрирования каждого домена. Поскольку
администратору домена предоставляется доступ верхнего уровня, на эту должность следует
выбирать очень надежных сотрудников. Администраторы домена контролируют работу домена через
группу администраторов домена и другие встроенные группы.
•
Группы администраторов, управляющие DNS.
Группа администраторов DNS осуществляет разработку DNS и управление инфраструктурой DNS.
Администраторы DNS контролируют работу инфраструктуры DNS с помощью группы
администраторов DNS.
•
Группы администраторов, управляющие подразделениями.
Администратор подразделения назначает группу лиц или отдельного администратора для
управления каждым подразделением. Каждый администратор подразделения контролирует данные,
хранящиеся во вверенном ему подразделении Active Directory. Группы администраторов могут
контролировать делегирование прав администрирования и применение политик к объектам в
пределах их подразделения. Администраторы подразделения также могут создавать новые
поддеревья и делегировать права управления подразделениями, за которые они несут
ответственность.
•
Группы администраторов, управляющие серверами инфраструктуры.
Группа, ответственная за администрирование сервера инфраструктуры, управляет инфраструктурой
WINS, DHCP и, возможно, DNS. В некоторых случаях ответственная за управление доменом группа
может управлять инфраструктурой DNS, поскольку Active Directory интегрирована с DNS, хранится
на контроллерах домена и управляется с их помощью.
Администраторы данных
Администраторы данных службы Active Directory управляют данными, хранящимися в каталогах
Active Directory или на компьютерах, подключенных к Active Directory. Эти администраторы не
контролируют настройку или обеспечение работы служб каталогов. Администраторы данных входят в
состав группы обеспечения безопасности, создаваемой организацией. Иногда стандартные группы
безопасности операционной системы Windows не отвечают потребностям конкретной организации. В
таком случае, организация может разработать собственные стандарты именования групп безопасности,
соответствующие конкретной среде. Ниже перечислены основные задачи, выполняемые
администраторами данных.
•
Управление набором объектов в каталоге. Посредством наследуемого контроля доступа на уровне
атрибутов администраторы данных могут получать доступ к управлению определенными разделами
каталога, не контролируя собственно конфигурацию службы.
•
Управление рядовыми компьютерами в пределах каталога и данными, хранящимися на этих
компьютерах.
Примечание. Довольно часто значения атрибутов объектов, хранящихся в каталоге, определяют
конфигурацию службы каталога.
Подводя итог вышесказанному, отметим, что организация должна проверить надежность всех
администраторов служб леса и всех доменов, прежде чем владельцы службы Active Directory и структур
каталога получат разрешение присоединиться к инфраструктуре леса или домена. Кроме того,
программа безопасности предприятия должна содержать стандартные политики и процедуры, которые
обеспечивают выполнение соответствующих проверок благонадежности администраторов. В контексте
настоящего руководства доверие к администраторам основывается на следующих моментах:
•
обоснованном предположении, что администраторы служб своей главной задачей считают защиту
интересов организации. Организации не следует подключаться к лесу или домену, если владельцы
леса или домена могут иметь законные основания для враждебных действий в отношении
организации;
•
обоснованном предположении, что администраторы служб будут использовать наиболее
•
осознании и допущении рисков, включающих возможность наличия в организации перечисленных
эффективные методы работы и ограничивать физический доступ к контроллерам домена;
ниже категорий сотрудников.
•
Администраторы-мошенники. Надежные администраторы могут превратиться в мошенников и
злоупотребить правами, которые они имеют в сети. Имеющий недобрые намерения
администратор леса может с легкостью определить идентификатор безопасности для другого
администратора из другого домена. Администратор-мошенник может затем воспользоваться
средством API, редактором диска или отладчиком, чтобы добавить украденный идентификатор
безопасности в список журнала идентификаторов безопасности учетной записи в собственном
домене. Добавив украденный идентификатор безопасности в журнал идентификаторов
безопасности пользователя, администратор-мошенник получит права администратора не только в
своем домене, но и в домене, которому принадлежит украденный идентификатор безопасности.
•
Администраторы, действующие по принуждению. Надежных администраторов могут
заставить или принудить выполнить действия, нарушающие безопасность компьютера или сети.
Пользователь или администратор может использовать методы социотехники или угрозы, в том
числе физической расправы, чтобы повлиять на законопослушных администраторов компьютеров
и добыть сведения, необходимые для получения доступа к компьютеру.
Некоторые организации могут допускать риск нарушений безопасности, осуществляемых
действующими по принуждению администраторами служб или администраторами-мошенниками из
другого подразделения организации. Возможно, для таких организаций преимущества экономичного
совместного использования инфраструктуры с общим доступом более значимы по сравнению с данной
угрозой. Однако для других организаций подобный риск неприемлем, так как потенциальные
последствия нарушения безопасности могут быть слишком серьезными.
Active Directory и групповая политика
Хотя система подразделений обеспечивает удобный способ группировки компьютеров, пользователей,
групп и других участников безопасности, она также является эффективным средством для разделения
границ администрирования. Кроме того, подразделения являются основой структуры для
развертывания объектов групповой политики, так как позволяют разделять ресурсы с учетом
требований безопасности и обеспечивать различные уровни безопасности для различных
подразделений. Использование подразделений для управления политиками безопасности и их
назначения с учетом роли сервера представляет собой существенную часть общей архитектуры
безопасности организации.
Делегирование прав администратора и применение групповых политик
Подразделения являются контейнерами в пределах структуры каталога домена. Эти контейнеры могут
содержать любых участников безопасности в домене, хотя обычно они используются для размещения
объектов одного определенного типа. Чтобы предоставить разрешения доступа к подразделению
группе или отдельному пользователю (или отозвать их), необходимо установить для подразделения
особые списки управления доступом, при этом разрешения будут наследоваться всеми объектами в
пределах подразделения.
Подразделение можно использовать для предоставления административных возможностей с учетом
ролей. Например, одна группа администраторов может нести ответственность за подразделения
пользователей и групп, в то время как другая группа может управлять подразделениями, содержащими
серверы. Также можно создать подразделение, содержащее группу серверов ресурсов, управлять
которыми будут другие пользователи, с помощью процесса, называемого делегированием управления.
Это позволяет предоставить группе с делегированными полномочиями автономный контроль над
определенным подразделением, не изолируя ее от остального домена.
Администраторы, делегирующие управление определенными подразделениями, обычно являются
администраторами служб. При более низком уровне полномочий пользователи, управляющие
подразделениями, обычно являются администраторами данных.
Группы администраторов
Администраторы могут создавать группы администраторов для распределения кластеров
пользователей, групп безопасности или серверов по контейнерам для осуществления автономного
управления.
Возьмем, к примеру, серверы инфраструктуры, находящиеся в домене. Серверы инфраструктуры
включают все серверы, не являющиеся контроллерами домена, выполняющие основные сетевые
службы, включая серверы, обеспечивающие работу служб WINS и DHCP. Зачастую работу таких
серверов поддерживает группа операторов или административная группа инфраструктуры. Для
предоставления административных возможностей этим серверам можно использовать подразделение.
Рисунок ниже иллюстрирует многоуровневую структуру такого подразделения.
Рисунок 2.1. Делегирование прав администрирования
После того как группе администраторов инфраструктуры делегируются полномочия на управление
подразделением инфраструктуры, члены этой группы получат полный контроль над подразделением
инфраструктуры и всеми серверами и объектами в пределах этого подразделения. Такая возможность
позволяет членам группы укрепить безопасность ролей серверов с помощью групповой политики.
Данный метод — это лишь один из способов, который можно использовать для разделения прав
администраторов. Примеры для более сложных организаций см. в разделе «Дополнительные сведения»
в конце данной главы.
Примечание. Поскольку служба каталогов Active Directory зависит от DNS, обычно службы DNS
выполняются на контроллерах доменов. Контроллеры доменов по умолчанию размещаются во
встроенном подразделении «Контроллеры домена». Примеры, приведенные в руководстве, также
следуют этим правилам, поэтому роль сервера инфраструктуры не включает службу DNS.
Применение групповой политики
Чтобы применять определенные параметры, права и поведение ко всем серверам в пределах
подразделения, используйте групповые политики и делегирование полномочий администратора. При
использовании групповой политики вместо ручной настройки упрощается применение необходимых
дополнительных изменений сразу к нескольким серверам.
Групповые политики накапливаются и применяются в порядке, указанном на рисунке ниже.
Рисунок 2.2. Иерархия применения объектов групповой политики
См. полноразмерное изображение
Как видно из иллюстрации, политики сначала применяются на уровне политик локального компьютера.
Затем, объекты групповой политики (GPO) применяются на уровне сайта, а после этого — на уровне
домена. Если сервер вложен в несколько подразделений, объекты GPO, существующие в
подразделении верхнего уровня, применяются первыми. Применение объектов групповой политики
продолжается по направлению к нижним уровням иерархии подразделений. В последнюю очередь
применяется объект групповой политики на уровне дочернего подразделения, содержащего объект
сервера. Очередность обработки групповых политик следующая: обработка начинается с
подразделения верхнего уровня (самое удаленное от учетной записи компьютера или пользователя) и
заканчивается подразделением самого низкого уровня (подразделение, которое содержит учетную
запись компьютера или пользователя).
При применении групповой политики необходимо учитывать следующие основные рекомендации:
•
необходимо установить порядок применения объектов групповой политики для уровней групповых
политик, включающих несколько таких объектов. если несколько политик определяют один и тот же
параметр, последняя примененная политика будет иметь приоритет;
•
для групповой политики необходимо применить параметр Не перекрывать, если нужно избежать
ее замены другим объектом групповой политики. При использовании консоли управления групповой
политикой для управления объектами групповой политики данный параметр называется
Принудительно.
Настройка времени
Многие службы безопасности, особенно службы проверки подлинности, полагаются при выполнении
своих задач на точность часов компьютера. Необходимо, чтобы часы компьютера показывали точное
время и чтобы все серверы в организации использовали один источник времени. Служба W32Time
операционной системы Windows Server 2003 обеспечивает синхронизацию часов для ОС
Windows Server 2003 и Microsoft Windows XP, работающих в домене Active Directory.
Служба W32Time выполняет синхронизацию часов компьютеров с Windows Server 2003 с
контроллерами домена в домене. Синхронизация необходима для правильной работы протокола
Kerberos и других протоколов проверки подлинности. Правильная работа многих компонентов
семейства серверов Windows Server зависит от точности часов и синхронизации времени. Если часы на
клиентских компьютерах не синхронизированы, протокол проверки подлинности Kerberos может
отказать пользователям в доступе.
Другим существенным преимуществом синхронизации времени является соотнесение событий на всех
клиентских компьютерах предприятия. Синхронизация часов клиентских компьютеров в системе
обеспечивает возможность правильного анализа событий, складывающихся в единую
последовательность на таких компьютерах во всей организации.
Служба W32Time для синхронизации часов компьютеров с операционной системой
Windows Server 2003 использует протокол NTP. По умолчанию в лесу Windows Server 2003
синхронизация времени выполняется следующим образом:
•
хозяин операций эмулятора основного контроллера домена (PDC) в корневом домене леса является
•
все хозяева PDC в других доменах леса соблюдают иерархию доменов при выборе эмулятора PDC, с
•
все контроллеры домена в домене выполняют синхронизацию времени, используя в качестве
•
все рядовые серверы и клиентские настольные компьютеры используют в качестве источника
полномочным источником времени для всей организации;
которым выполняется синхронизация времени;
источника времени хозяина операций эмулятора PDC в своем домене;
времени домен контроллера, выполняющий проверку подлинности.
Для обеспечения точности времени можно синхронизировать эмулятор PDC в корневом домене леса с
полномочным источником времени, таким как надежный источник NTP или очень точные часы в сети.
Необходимо учесть, что функция синхронизации NTP использует трафик UDP-порта 123. Прежде чем
выполнять синхронизацию с внешним сервером, необходимо сопоставить преимущества открытия
данного порта с возможной угрозой безопасности.
Кроме того, при синхронизации с внешним сервером, который нельзя контролировать, возникает
опасность неправильной настройки времени на серверах. Внешний сервер может подвергнуться атаке
или его уязвимость может быть использована злоумышленником для манипулирования часами на
компьютерах организации. Как упоминалось ранее, для работы протокола проверки подлинности
Kerberos требуется синхронизация часов компьютеров. При отсутствии синхронизации может
возникнуть отказ в обслуживании.
Управление шаблонами безопасности
Шаблоны безопасности — это текстовые файлы, которые используются для применения настроек
безопасности для компьютера. Шаблоны безопасности можно изменять с помощью оснастки консоли
управления MMC «Шаблоны безопасности», блокнота или другого текстового редактора. В некоторых
разделах файлов шаблонов содержатся особые списки контроля доступа (ACL) на языке SDDL (Security
Descriptor Definition Language). Дополнительные сведения о редактировании шаблонов безопасности и
использовании языка SDDL см. на странице Security Descriptor Definition Language на веб-узле
библиотеки Microsoft MSDN® http://msdn.microsoft.com/library/
en-us/secauthz/security/security_descriptor_definition_language.asp (на английском языке).
По умолчанию пользователи, прошедшие проверку подлинности, могут считывать все параметры
объекта групповой политики. Поэтому крайне важно хранить шаблоны безопасности, предназначенные
для рабочей среды, в надежном месте, доступ к которому имеют только администраторы,
выполняющие внедрение групповых политик. Это делается не для того, чтобы избежать просмотра INFфайлов, а для того, чтобы предотвратить несанкционированное внесение изменений в исходные
шаблоны безопасности.
На компьютерах с операционной системой Windows Server 2003 шаблоны безопасности хранятся в
локальной папке %SystemRoot%\security\templates. Эта папка не реплицируется на несколько
контроллеров домена, поэтому потребуется указать одно местоположение для копии шаблонов
безопасности, чтобы избежать проблем с контролем версий шаблонов. После внесения изменений в
центральный шаблон он может быть повторно развернут на соответствующих компьютерах. Благодаря
этому изменения всегда вносятся в одну и ту же копию шаблонов.
Записи об успешном применении объектов групповой политики
Хотя администратор может вручную проверить правильность применения всех параметров к серверам
организации, в журнале событий также должна появиться запись, информирующая администратора о
том, что политика домена успешно загружена на все серверы. В журнале приложений должна
отобразиться примерно следующая запись с уникальным кодом события.
Тип: сведения
Идентификатор источника: SceCli
Код события: 1704
Описание: «Политика безопасности в объектах групповой политики успешно применена».
По умолчанию параметры безопасности обновляются каждые 90 минут на рабочей станции или сервере
и каждые 5 минут на контроллере домена. При внесении каких-либо изменений в течение этих
интервалов, появится данная запись о событии. Кроме того, параметры обновляются каждые 16 часов,
независимо от того были ли внесены изменения. Обновление параметров групповой политики можно
выполнить вручную с помощью процедур, описанных в данной главе.
Подразделения ролей серверов
В предыдущем примере рассматривались способы управления серверами инфраструктуры
организации. Этим же способом можно воспользоваться для управления другими серверами и
службами в организации. Задачей является создание надежной групповой политики для всех серверов
и обеспечение соответствия серверов, находящихся в Active Directory, стандартам безопасности среды.
Данный тип групповой политики формирует последовательный набор базовых стандартных параметров
для всех серверов организации. Кроме того, структура подразделения и применение групповых
политик должны обеспечивать подробную схему, позволяющую применять параметры безопасности к
определенным типам серверов в организации. Отдельные роли серверов в организации, например
сервер IIS, файловый сервер, сервер печати, сервер IAS и сервер служб сертификации, могут
потребовать уникальных групповых политик.
Внимание! Для простоты изложения примеры в данной главе относятся к среде корпоративных
клиентов. При работе с другими двумя средами следует заменить соответствующие имена файлов.
Различия между тремя средами и их возможностями рассматриваются в главе 1 «Введение в
руководство по безопасности Windows Server 2003».
Базовая политика рядовых серверов
Первым этапом создания подразделения роли сервера является разработка базовой политики. Для
создания данной политики на стандартном рядовом сервере можно использовать мастер настройки
безопасности, чтобы создать файл базовой политики рядового сервера в формате XML (например
Member Servers Baseline.xml). При создании XML-файла можно воспользоваться мастером настройки
безопасности, чтобы включить в него один из имеющихся шаблонов безопасности базовой политики
рядового сервера (LC-Member Server Baseline.inf, EC-Member Server Baseline.inf или SSLF-Member
Server Baseline.inf).
После создания политики мастера настройки безопасности она преобразуется в объект групповой
политики и соотносится с подразделением «Рядовые серверы». Этот новый объект групповой политики
применяет параметры базовой групповой политики ко всем серверам в подразделении рядовых
серверов, а также ко всем серверам в дочерних подразделениях. Базовая политика рядовых серверов
рассматривается в главе 4 «Базовая политика рядовых серверов».
В базовой групповой политике необходимо определить требуемые параметры для большинства
серверов организации. Хотя в организации могут существовать серверы, к которым не будет
применяться базовая политика, их не должно быть много. При создании собственной базовой
групповой политики необходимо сделать ее максимально строгой и выделить серверы, параметры
которых должны отличаться от базовой политики, в отдельные специальные серверные
подразделения.
Типы ролей сервера и подразделения
Каждая отдельная роль сервера требует дополнительной политики мастера настройки безопасности,
шаблона безопасности и подразделения (в дополнение к базовому подразделению). Это позволяет
создавать отдельные политики для добавочных изменений, необходимых для каждой роли.
В предыдущем примере серверы инфраструктуры были помещены в подразделение «Инфраструктура»,
которое является дочерним для подразделения «Рядовые серверы». Следующий этап — применение
подходящих настроек для данных серверов. В настоящее руководство входит три шаблона
безопасности, по одному для каждой среды: LC-Infrastructure Server.inf, EC-Infrastructure Server.inf
и SSLF-Infrastructure Server.inf. При использовании совместно с мастером настройки безопасности эти
шаблоны безопасности служат для создания политики безопасности, включающей специальные
настройки, необходимые для DHCP и WINS. Получающаяся в результате политика затем преобразуется
в новый объект групповой политики и соотносится с подразделением «Инфраструктура».
Данный объект групповой политики использует параметр «Группы с ограниченным доступом» для
добавления трех следующих групп в группу «Локальные администраторы» всех серверов в
подразделении «Инфраструктура»:
•
администраторы домена,
•
администраторы предприятия,
•
администраторы инфраструктуры.
Как упоминалось выше в данной главе, это лишь один из способов создания структуры подразделения,
который можно использовать для развертывания объектов групповой политики. Дополнительные
сведения о создании подразделений для внедрения групповой политики см. в документе «Разработка
структуры Active Directory» и других статьях на веб-узле
www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/deploy/dgbd_ads_heqs.mspx (эта ссылка
может указывать на содержимое полностью или частично на английском языке).
В таблице ниже перечислены роли серверов Windows Server 2003 и соответствующие шаблоны
безопасности, приведенные в настоящем руководстве. Файлы шаблонов безопасности начинаются с
переменной <Среда>, которая соответственно меняется на LC (для среды с устаревшими клиентскими
компьютерами), EC (для среды корпоративных клиентов) или SSLF (для специальной безопасной среды
с ограниченной функциональностью).
Таблица 2.1. Роли серверов операционной системы Windows Server 2003
Роль сервера
Описание
Имя файла шаблона
безопасности
Рядовые серверы
Все серверы, входящие в состав
<Среда>-Member Server
домена и размещенные в
Baseline.inf
подразделении рядовых серверов
или дочерних подразделениях.
Контроллер домена
Все контроллеры домена Active
<Среда>-Domain Controller.inf
Directory. Эти серверы также
являются серверами DNS.
Сервер инфраструктуры
Все защищенные серверы WINS и
<Среда>-Infrastructure Server.inf
DHCP.
Файловый сервер
Все защищенные файловые
<Среда>-File Server.inf
серверы.
Сервер печати
Все защищенные серверы печати.
<Среда>-Print Server.inf
Веб-сервер
Все защищенные веб-серверы IIS.
<Среда>-Web Server.inf
Сервер IAS
Все защищенные серверы IAS.
<Среда>-IAS Server.inf
Сервер служб сертификации Все защищенные серверы центра
<Среда>-CA Server.inf
сертификации.
Узел-бастион
Все серверы, подключаемые к
<Среда>-Bastion Host.inf
Интернету.
Все шаблоны безопасности, за исключением шаблонов для серверов узлов-бастионов, применяются к
соответствующим дочерним подразделениям. Каждое такое дочернее подразделение требует
применения специальной конфигурации для определения роли, которую каждый компьютер будет
выполнять в организации.
Требования к безопасности для каждой из этих ролей серверов различаются. Соответствующие
параметры безопасности для каждой роли более подробно рассматриваются далее в других главах
руководства. Учтите, что не для всех ролей существуют шаблоны, соответствующие всем трем средам.
Например, предполагается, что в среде SSLF всегда имеется роль узла-бастиона.
Внимание! В настоящем руководстве предполагается, что компьютеры с Windows Server 2003
выполняют определенные специальные роли. Если серверы в организации не соответствуют этим
ролям или если серверы являются многоцелевыми, описанные в руководстве параметры можно
использовать в качестве рекомендаций для создания собственных шаблонов безопасности. Однако
следует учитывать, что чем больше функций выполняет сервер, тем более он уязвим для атак.
Пример окончательной схемы подразделения, поддерживающей эти определенные роли серверов в
среде EC, приведен на рисунке ниже.
Рисунок 2.3. Пример схемы подразделения
См. полноразмерное изображение
Подразделение, объект групповой политики и схема группы
Рекомендуемые подразделения и политики, рассмотренные в предыдущем разделе, служат для
создания основы или новой среды для внесения изменений в существующую структуру подразделений
организации с компьютерами с операционной системой Windows Server 2003. Администраторы
используют предопределенные границы администрирования для создания соответствующих
административных групп. Пример соотношения данных групп и подразделений, которыми они
управляют, показан в следующей таблице.
Таблица 2.2. Подразделения и группы администраторов
Имя подразделения
Группа администраторов
Контроллеры домена
Проектирование домена
Рядовые серверы
Проектирование домена
Сервер инфраструктуры
Администратор инфраструктуры
Файловый сервер
Администратор инфраструктуры
Сервер печати
Администратор инфраструктуры
Сервер IAS
Проектирование домена
Веб-сервер
Веб-службы
Сервер центра сертификации Администраторы предприятия
Каждая группа администраторов была создана как глобальная группа в пределах домена членами
группы «Проектирование домена», ответственными за инфраструктуру и безопасность службы
каталогов Active Directory. Они использовали соответствующий объект групповой политики для
добавления каждой из указанных групп администраторов к соответствующей группе с ограниченным
доступом. Группы администраторов, перечисленные в таблице, являются только членами группы
локальных администраторов компьютеров, содержащихся в подразделениях, которые специально
предназначены для размещения компьютеров, имеющих отношение к выполняемым ими обязанностям.
И, наконец, члены группы «Проектирование домена» задают разрешения для каждого объекта
групповой политики таким образом, что только администраторы этой группы могут редактировать
разрешения.
Учтите, что создание и настройка данных групп является частью общего процесса разработки и
внедрения Active Directory. Этот процесс не рассматривается в данном руководстве.
Обзор процесса
Описанный в настоящем руководстве подход совмещает методы, основанные на использовании
преимуществ мастера настройки безопасности и групповых политик. Такой подход упрощает создание
и проверку настроек безопасности, обеспечивая в то же время гибкость и масштабируемость,
необходимые для крупных сетей Windows.
Процесс, использующийся для создания, проверки и развертывания политик, включает перечисленные
ниже этапы.
1.
Создание среды Active Directory, включающей группы и подразделения. Необходимо создать
подходящие группы администраторов и делегировать разрешения подразделения
соответствующим группам.
2.
Настройка синхронизации времени на контроллере домена, содержащем FSMO эмулятора PDC.
3.
Настройка политик домена.
4.
Создание базовых политик с помощью мастера настройки безопасности.
5.
Проверка базовых политик с помощью мастера настройки безопасности.
6.
Преобразование базовых политик в объекты групповой политики и соотнесение их с
соответствующими подразделениями.
7.
Создание политик ролей (с помощью мастера настройки безопасности) и входящих в них
шаблонов безопасности.
8.
Проверка политик ролей с помощью мастера настройки безопасности.
9.
Преобразование политик ролей в объекты групповой политики и соотнесение их с
соответствующими подразделениями.
Следующие разделы содержат подробное описание данных этапов.
Примечание. Для простоты изложения примеры в данном разделе относятся к среде корпоративных
клиентов (EC). При работе с другими двумя средами следует заменить соответствующие имена файлов.
Различия между тремя средами и их возможностями рассматриваются в главе 1 «Введение в
руководство по безопасности Windows Server 2003».
Создание среды Active Directory
Прежде чем приступить к укреплению безопасности, необходимо располагать соответствующим
доменом службы каталогов Active Directory и структурой подразделений. Ниже перечислены действия
по созданию подразделений и групп, которые рассматриваются в настоящем руководстве, а также по
настройке соответствующих административных прав доступа.
1.
Откройте оснастку консоли управления MMC «Active Directory — пользователи и компьютеры»
(программа Dsa.msc).
2.
В корне объекта домена создайте подразделение с именем «Рядовые серверы».
3.
Перейдите к вновь созданному подразделению и создайте в нем дочернее подразделение с
именем «Инфраструктура».
4.
Переместите все серверы WINS и DHCP в подразделение «Инфраструктура».
5.
Создайте глобальную группу безопасности с названием «Администраторы инфраструктуры»
и добавьте в нее необходимые учетные записи домена.
6.
Запустите мастер делегирования управления, чтобы присвоить группе «Администраторы
инфраструктуры» полный доступ к подразделению.
7.
Повторите действия 3–6 для ролей файлового сервера, сервера печати, веб-сервера, сервера
IAS и сервера служб сертификации. Воспользуйтесь сведениями, содержащимися в таблице 2.2
для выбора соответствующих названий подразделений и групп.
Настройка синхронизации времени
Следующая процедура служит для синхронизации контроллеров доменов и рядовых серверов с
внешним источником времени. Синхронизация обеспечивает надлежащую работу протокола проверки
подлинности Kerberos и позволяет поддерживать синхронизацию домена Active Directory с любыми
внешними компьютерами.
1.
На контроллере домена, содержащем FSMO эмулятора PDC, откройте командную строку и
выполните следующую команду, где <список_узлов> — список имен DNS и IP-адресов
выбранных источников времени, разделенных запятыми:
w32tm /config /syncfromflags:manual /manualpeerlist:<список_узлов>
2.
Чтобы обновить конфигурацию, выполните следующую команду:
w32tm /config /update
3.
Проверьте журнал событий. Если компьютеру не удастся соединиться с указанными серверами,
произойдет ошибка процедуры и в журнал событий будет внесена соответствующая запись.
Самым распространенным применением данной процедуры является синхронизация внутреннего
полномочного источника времени сети с очень точным внешним источником времени. Однако эта
процедура может быть выполнена только на компьютере с операционной системой Windows XP или
рядовом сервере семейства Windows Server 2003. Обычно не требуется выполнять синхронизацию всех
часов серверов с внешним источником времени, если они синхронизованы с одним и тем же
внутренним источником. По умолчанию время рядовых серверов всегда синхронизовано с
контроллерами домена.
Примечание. Чтобы обеспечить точный анализ протоколирования необходимо синхронизировать часы
сетевых компьютеров, операционной системой которых не является Windows, с эмулятором PDC
Windows Server 2003 или с его источником времени.
Настройка политики домена
Следующая процедура служит для импортирования шаблонов безопасности для политик доменного
уровня, включенных в данное руководство. Данная политика включена в руководство в качестве
шаблона безопасности, так как мастер настройки безопасности не поддерживает работу с политиками
доменного уровня. Прежде чем приступать к реализации следующей процедуры, необходимо сохранить
на компьютер INF-файл соответствующей политики.
Внимание! Шаблоны безопасности, входящие в данное руководство, служат для укрепления
безопасности среды. Высока вероятность того, что их установка может привести к утрате некоторых
возможностей системы и ошибкам критически важных приложений. Поэтому необходимо
обязательно выполнить тщательную проверку данных параметров, прежде чем внедрять их в
рабочую среду. Создайте резервные копии всех контроллеров домена и серверов среды перед
применением любых новых параметров безопасности. Убедитесь в том, что резервная копия содержит
состояние системы, которое позволит восстановить параметры реестра и объекты Active Directory в
случае необходимости.
Импорт шаблонов безопасности политики домена
1.
В оснастке «Active Directory — пользователи и компьютеры» правой кнопкой мыши щелкните
домен и выберите пункт Свойства.
2.
На вкладке Групповая политика нажмите кнопку Создать, чтобы добавить новый объект
групповой политики.
3.
Введите EC-Domain Policy и нажмите клавишу ВВОД.
4.
Правой кнопкой мыши щелкните пункт EC-Domain Policy и выберите команду Не
перекрывать.
5.
Выделите пункт EC-Domain Policy и нажмите кнопку Правка.
6.
В окне редактора объектов групповой политики выберите пункт Конфигурация
компьютера\Параметры Windows. Правой кнопкой мыши щелкните пункт Параметры
безопасности и выберите команду Импорт политики.
7.
В диалоговом окне Импорт политики из перейдите к папке \Tools and Templates\Security
Guide\Security Templates и дважды щелкните файл EC-Domain.inf.
8.
Закройте групповую политику, в которую были внесены изменения.
9.
Закройте окно Свойства домена.
10.
Можно вручную запустить процесс применения групповой политики, не дожидаясь ее
запланированного применения. Откройте командную строку, введите gpupdate /Force и
нажмите клавишу «ВВОД».
11.
Проверьте по журналу событий успешность загрузки групповой политики и наличие связи
сервера с другими контроллерами домена в домене.
Внимание! При создании политики EC-Domain Policy убедитесь в том, что выбран вариант Не
перекрывать, чтобы обеспечить применение этой политики во всем домене. Это единственная
групповая политика в данном руководстве, для которой необходимо выбрать вариант Не
перекрывать. Не следует выбирать этот вариант для других групповых политик, рассматриваемых в
настоящем руководстве. Также не следует вносить изменения в стандартную политику домена
Windows Server 2003 на случай, если потребуется вернуться к параметрам по умолчанию.
Чтобы обеспечить приоритет данной новой групповой политики над стандартной политикой,
расположите ее таким образом, чтобы она имела самый высокий приоритет среди связей объекта
групповой политики.
Внимание! Необходимо импортировать данную групповую политику во все дополнительные домены
организации, чтобы обеспечить последовательное применение политики паролей. Однако среды, в
которых политика паролей корневого домена гораздо строже, чем в остальных доменах, достаточно
распространены. Необходимо также убедиться, что другие домены, к которым будет применена та же
политика, имеют одинаковые деловые требования. Поскольку политика паролей может быть задана
только на уровне домена, может потребоваться выделить несколько пользователей в отдельный домен,
чтобы обеспечить использование более строгой политики паролей этой группой, если того требуют
интересы бизнеса или закон.
Отключение параметра «Разрешить наследование разрешений...»
По умолчанию структура нового подразделения наследует многие параметры безопасности
родительского контейнера. Для каждого подразделения снимите флажок Разрешить наследование
разрешений от родительского объекта к этому объекту и его дочерним объектам.
1.
Откройте оснастку «Active Directory — пользователи и компьютеры».
2.
Нажмите кнопку Просмотр, а затем кнопку Дополнительные параметры, чтобы выбрать
дополнительные параметры просмотра.
3.
Щелкните соответствующее подразделение правой кнопкой мыши, затем нажмите кнопку
Свойства.
4.
Перейдите на вкладку Безопасность и нажмите кнопку Дополнительно.
5.
Снимите флажок Разрешить наследование разрешений от родительского объекта к
этому объекту и его дочерним объектам, добавляя их к разрешениям, явно заданным в
этом окне.
Удалите все ненужные группы, добавленные ранее другими администраторами, и добавьте группу
домена, которая соответствует каждой роли сервера подразделения. Оставьте параметр Полный
доступ для группы Администраторы домена.
Создание базовых политик вручную с помощью мастера настройки безопасности
На следующем этапе для создания базовой политики рядового сервера используется мастер настройки
безопасности.
Все настройки следует выполнять на компьютере с вновь установленной операционной системой,
чтобы избежать переноса устаревших параметров или приложений из прежних конфигураций. Для
обеспечения максимальной совместимости старайтесь использовать оборудование, аналогичное тому,
которое будет применяться при развертывании. Компьютер с заново установленной операционной
системой называется контрольным компьютером.
При создании базовой политики рядовых серверов (MSBP) не забудьте удалить роль файлового
сервера из списка обнаруженных ролей. Эта роль часто бывает настроена на серверах, где она не
нужна, и может представлять угрозу безопасности. Если на сервере требуется роль файлового сервера,
ее можно включить при настройке другой политики, описанной ниже.
Создание базовой политики рядовых серверов
1.
Установите систему Windows Server 2003 с пакетом обновления 1 (SP1) на новый контрольный
компьютер.
2.
Установите на компьютер мастер настройки безопасности. Откройте для этого панель
управления, дважды щелкните значок «Установка и удаление программ» и выберите вариант
«Установка компонентов Windows».
3.
Присоедините компьютер к домену.
4.
Установите только обязательные приложения, которые должны быть на каждом сервере в
среде. В их число могут входить агенты программного обеспечения и управления, агенты
внешних хранилищ, а также антивирусные и антишпионские программы.
5.
Запустите мастер настройки безопасности, выберите команду Создать новую политику и
укажите для нее компьютер-образец.
6.
Удалите из списка обнаруженных ролей роль файлового сервера.
7.
Убедитесь в том, что обнаруженные функции клиента подходят для среды.
8.
Убедитесь в том, что обнаруженные административные возможности подходят для среды.
9.
Убедитесь в том, что найдены все дополнительные службы, необходимые для выполнения
базовых функций, например агенты внешних хранилищ и антивирусные программы.
10.
Определите порядок работы со службами, которые не были указаны при создании политики.
Для обеспечения дополнительной безопасности можно установить этот параметр в значение
Отключен. Прежде чем развертывать конфигурацию в рабочей сети, ее необходимо
протестировать, так как могут возникнуть проблемы, если на рабочих серверах запущены
дополнительные службы, не продублированные на контрольном компьютере.
11.
Проверьте параметры сети и убедитесь в том, что соответствующие порты и приложения
обнаружены и настроены как исключения для брандмауэра Windows.
12.
Пропустите раздел «Параметры реестра».
13.
Пропустите раздел «Политика аудита».
14.
Включите соответствующий шаблон безопасности (например EC-Member Server Baseline.inf).
15.
Сохраните политику с подходящим именем (например Member Server Baseline.xml).
Создание политики контроллеров домена
Для создания политики контроллеров домена необходимо использовать компьютер, настроенный как
контроллер домена. Можно использовать существующий контроллер домена или создать компьютеробразец и сделать его контроллером домена с помощью средства Dcpromo. Однако большинство
организаций предпочитают не добавлять контроллер домена в рабочую среду, потому что это может
нарушить политику безопасности. Если принято решение использовать существующий контроллер
домена, не применяйте к нему никакие параметры с помощью мастера настройки безопасности и не
изменяйте его конфигурацию.
1.
Установите на компьютер мастер настройки безопасности. Откройте для этого панель
управления, дважды щелкните значок «Установка и удаление программ» и выберите вариант
«Установка компонентов Windows».
2.
Установите только обязательные приложения, которые должны быть на каждом сервере в
среде. В их число могут входить агенты программного обеспечения и управления, агенты
внешних хранилищ, а также антивирусные и антишпионские программы.
3.
Запустите графический интерфейс пользователя мастера настройки безопасности, выберите
пункт Создать новую политику и укажите контрольный компьютер.
4.
Убедитесь в том, что обнаруженные роли подходят для среды.
5.
Убедитесь в том, что обнаруженные функции клиента подходят для среды.
6.
Убедитесь в том, что обнаруженные административные возможности подходят для среды.
7.
Убедитесь в том, что найдены все дополнительные службы, необходимые для выполнения
базовых функций, например агенты внешних хранилищ и антивирусные программы.
8.
Определите порядок работы со службами, которые не были указаны при создании политики.
Для обеспечения дополнительной безопасности можно установить этот параметр политики в
значение Отключен. Прежде чем развертывать конфигурацию в рабочей сети, ее необходимо
протестировать, так как могут возникнуть проблемы, если на рабочих серверах запущены
дополнительные службы, не продублированные на контрольном компьютере.
9.
Проверьте параметры сети и убедитесь в том, что соответствующие порты и приложения
обнаружены и настроены как исключения для брандмауэра Windows.
10.
Пропустите раздел «Параметры реестра».
11.
Пропустите раздел «Политика аудита».
12.
Включите в политику подходящий шаблон безопасности (например EC-Domain Controller.inf).
13.
Сохраните политику с подходящим именем (например Domain Controller.xml).
Проверка базовых политик с помощью мастера настройки безопасности
После создания и сохранения базовых политик, настоятельно рекомендуется развернуть их в тестовой
среде. В идеале тестовые серверы должны включать то же оборудование и конфигурацию
программного обеспечения, что и рабочие серверы. Это позволит обнаружить и устранить возможные
проблемы, например присутствие непредусмотренных служб, затребованных определенными
устройствами.
Для тестирования политик используются два способа. Можно воспользоваться встроенными функциями
развертывания мастера настройки безопасности или развернуть политики с помощью объекта
групповой политики.
Приступая к созданию политик, следует рассмотреть возможность использования встроенных средств
развертывания мастера настройки безопасности. Передать политики на отдельный сервер можно с
помощью мастера настройки безопасности, для работы с группой серверов можно использовать
средство Scwcmd. Встроенный метод развертывания делает возможным откат примененных политик с
помощью мастера настройки безопасности. Эта возможность может быть очень полезной при какихлибо изменениях в политиках во время процесса тестирования.
Политики тестируются для того, чтобы обеспечить отсутствие отрицательного воздействия на
необходимые функции при применении политик к конечным серверам. После применения настроек
следует проверить базовые возможности компьютера. Например, если сервер настроен как центр
сертификации, следует удостовериться, что клиенты смогут запрашивать и загружать сертификаты,
списки отзыва сертификатов и т. д.
По окончании работы с настройкой политик, следует использовать команду Scwcmd (см. процедуру
ниже) для преобразования политик в объекты групповой политики.
Дополнительные сведения о тестировании политик мастера настройки безопасности см. в руководстве
по развертыванию мастера настройки безопасности по адресу
http://technet2.microsoft.com/WindowsServer/rus/Library/5254f8cd-143e-4559-a2999c723b3669461033.mspx (на английском языке) и в загружаемой версии документации по мастеру
настройки безопасности на веб-узле http://go.microsoft.com/fwlink/?linkid=43450 (на английском
языке).
Преобразование базовых политик в объекты групповой политики
После тщательной проверки базовых политик выполните следующие действия по преобразованию их в
объекты групповой политики и соотнесению их с соответствующими подразделениями.
1.
В командной строке введите следующую команду:
scwcmd transform /p:<путь_к_политике.xml> /g:<отображаемое_имя_GPO>
и нажмите клавишу ВВОД. Пример.
Примечание. Строка разбита на несколько строк для удобства чтения. Однако при
использовании в системе необходимо ввести команды одной строкой без разрывов.
scwcmd transform /p:"C:\Windows\Security\msscw\Policies\
Infrastructure.xml" /g:"Infrastructure Policy"
Примечание. В приведенном примере текст, который необходимо ввести в командную строку,
разбит на две части в связи с ограничениями экрана. Этот текст следует вводить одной строкой.
2.
Используйте консоль управления групповыми политиками для сопоставления созданного
объекта групповой политики соответствующему подразделению.
Если файл политики безопасности для мастера настройки безопасности содержит параметры
брандмауэра Windows, то для успешного завершения этой процедуры брандмауэр Windows должен
быть запущен на локальном компьютере. Чтобы запустить брандмауэр Windows, откройте панель
управления и выберите пункт Брандмауэр Windows.
Выполните окончательную проверку правильности значений параметров объекта групповых политик.
Для этого необходимо подтвердить, что были установлены соответствующие параметры и
функциональность не пострадала.
Создание политик ролей с помощью мастера настройки безопасности
Следующий этап — создание политик ролей для каждой роли сервера с помощью мастера настройки
безопасности.
Этапы создания политик, определяемых ролями серверов, аналогичны этапам создания базовой
политики рядовых серверов. Необходимо снова использовать контрольный компьютер, чтобы
убедиться в том, что не осталось настроек или программного обеспечения от предыдущих
конфигураций.
Создание политик ролей
1.
Установите систему Windows Server 2003 с пакетом обновления 1 (SP1) на новый контрольный
компьютер.
2.
Установите на компьютер мастер настройки безопасности. Откройте для этого панель
управления, дважды щелкните значок «Установка и удаление программ» и выберите вариант
«Установка компонентов Windows».
3.
Подключите новый сервер к домену.
4.
Установите обязательные приложения, которые должны быть на каждом сервере в среде. В их
число могут входить агенты программного обеспечения и управления, агенты внешних
хранилищ, а также антивирусные и антишпионские программы.
5.
Настройте соответствующую роль для данного компьютера. Например, если на конечных
серверах будут работать службы DHCP и WINS, установите эти компоненты. Не обязательно
настраивать их точно так же, как и на развернутом сервере, но роли установить необходимо.
6.
Запустите мастер настройки безопасности.
7.
Выберите команду Создать новую политику и укажите для нее контрольный компьютер.
8.
Убедитесь в том, что обнаруженные роли подходят для среды.
9.
Убедитесь в том, что обнаруженные функции клиента подходят для среды.
10.
Убедитесь в том, что обнаруженные административные возможности подходят для среды.
11.
Убедитесь в том, что найдены все дополнительные службы, необходимые для выполнения
базовых функций, например агенты внешних хранилищ и антивирусные программы.
12.
Определите порядок работы со службами, которые не были указаны при создании политики.
Чтобы обеспечить дополнительную безопасность (при одновременном снижении
функциональности), можно выбрать для данного параметра политики значение Отключить.
Это приведет к отключению всех новых служб, которые не были разрешены в явной форме с
помощью мастера настройки безопасности. Прежде чем развертывать конфигурацию в рабочей
сети, ее необходимо протестировать, так как могут возникнуть проблемы, если на рабочих
серверах запущены дополнительные службы, не продублированные на контрольном
компьютере.
13.
Подтвердите все перечисленные изменения в службах.
14.
Просмотрите параметры сети и убедитесь в том, что мастер настройки безопасности обнаружил
все необходимые порты и приложения, чтобы их можно было настроить как исключения для
брандмауэра Windows.
15.
Пропустите раздел «Параметры реестра».
16.
Пропустите раздел «Политика аудита».
17.
Если сервер выполняет роль веб-сервера, выполните действия, перечисленные в разделе
«Службы IIS», чтобы обеспечить поддержку необходимых функций IIS мастером настройки
безопасности.
18.
Нажмите кнопку Включение шаблонов безопасности, чтобы добавить соответствующие
шаблоны безопасности.
19.
Сохраните политику, присвоив ей подходящее имя.
Проверка политик ролей с помощью мастера настройки безопасности
Так же как и для базовых политик, для проверки политик ролей существует два способа. Можно
воспользоваться встроенными функциями развертывания мастера настройки безопасности или
развернуть политики с помощью объектов групповой политики. Настоятельно рекомендуется
развернуть политики ролей в тестовой среде, прежде чем внедрять их в рабочую среду. Это позволит
существенно снизить время простоя и количество ошибок в рабочей среде. После тщательной
проверки новой конфигурации можно преобразовать политики в объекты групповой политики, как
описано в процедуре ниже, и применить их к соответствующему подразделению.
Преобразование политик ролей в объекты групповой политики
После тщательной проверки политик ролей выполните следующие действия по преобразованию их в
объекты групповой политики и соотнесению с соответствующими подразделениями.
1.
В командной строке введите следующую команду:
scwcmd transform /p:<путь_к_политике.xml> /g:<отображаемое_имя_GPO>
и нажмите клавишу ВВОД. Пример.
Примечание. Строка разбита на несколько строк для удобства чтения. Однако при
использовании в системе необходимо ввести команды одной строкой без разрывов.
scwcmd transform /p:"C:\Windows\Security\msscw\Policies\
Infrastructure.xml" /g:"Infrastructure Policy"
Примечание. В приведенном примере текст, который необходимо ввести в командную строку,
разбит на две части в связи с ограничениями экрана. Этот текст следует вводить одной строкой.
2.
Свяжите с помощью консоли управления групповыми политиками созданный объект групповой
политики с соответствующим подразделением и переместите его выше политики контроллеров
домена по умолчанию, чтобы назначить ему наивысший приоритет.
Если файл политики безопасности для мастера настройки безопасности содержит параметры
брандмауэра Windows, то для успешного завершения этой процедуры брандмауэр Windows должен
быть запущен на локальном компьютере. Чтобы запустить брандмауэр Windows, откройте панель
управления и выберите пункт «Брандмауэр Windows».
Заключение
Администраторам безопасности следует изучить сильные и слабые стороны мастера настройки
безопасности, сравнив его с традиционными методами укрепления безопасности с помощью групповых
политик, чтобы иметь возможность выбрать способ, соответствующий конкретной среде. Мастер
настройки безопасности и групповые политики можно использовать совместно, чтобы сочетать
функцию быстрого создания однородных прототипов политик, обеспечиваемую мастером настройки
безопасности, и функции масштабируемого развертывания и управления, обеспечиваемые групповыми
политиками.
При укреплении безопасности среды следует учитывать различные аспекты, связанные со схемами
леса, домена и подразделения.
Очень важно определить и зафиксировать все особые требования к автономности и изоляции,
выдвигаемые организацией. Автономность, определяемая политикой, а также изоляция, определяемая
рабочими потребностями или требованиями норм и законов, являются серьезными основаниями для
разработки сложных схем леса.
Необходимо также изучить способы контроля работы администраторов служб. Злонамеренный
администратор служб может представлять серьезную угрозу безопасности организации. На более
низком уровне злонамеренные администраторы домена могут получить доступ к данным в любом
домене леса.
Хотя изменение схемы домена или леса организации не является простой задачей, это может быть
необходимо для устранения некоторых угроз безопасности. Также крайне важно разработать план
развертывания подразделений в организации, чтобы обеспечить их соответствие потребностям
администраторов служб и данных. Данная глава содержит подробные сведения о создании модели
подразделения, поддерживающей использование объектов групповой политики для текущего
управления различными ролями серверов организации.
Дополнительные сведения
Приведенные ниже ссылки указывают на материалы с дополнительными сведениями об укреплении
защиты серверов с Windows Server 2003 с пакетом обновления 1 (SP1).
•
Для получения дополнительной информации о безопасности и конфиденциальности в корпорации
Майкрософт, см. веб-узел Защищенные информационные системы: безопасность по адресу
www.microsoft.com/mscorp/twc/default.mspx (на английском языке).
•
Рекомендации по обеспечению безопасности компьютера см. в статье Десять непреложных законов
безопасности по адресу
www.microsoft.com/technet/archive/community/columns/security/essays/10imlaws.mspx (на
английском языке).
•
Рекомендации по обеспечению безопасности базы данных Active Directory см. в документе
Рекомендации по обеспечению безопасности службы каталогов Active Directory по адресу
www.microsoft.com/downloads/details.aspx?FamilyID=4e734065-3f18-488a-be1e-f03390ec5f91& (на
английском языке).
•
Дополнительные сведения об аспектах разработки схемы Active Directory см. в документе Аспекты
проектирования делегирования административных полномочий в Active Directory по адресу
www.microsoft.com/technet/prodtechnol/windows2000serv/
technologies/activedirectory/plan/addeladm.mspx (на английском языке).
•
Дополнительные сведения о настройке сервера времени см. в статье базы знаний Майкрософт
Настройка основного сервера времени в Windows 2000 по адресу
http://support.microsoft.com/kb/216734.
•
Сведения о сетевых портах, используемых приложениями Microsoft, см. в статье базы знаний
Майкрософт Службы и сетевые порты в серверных системах Microsoft Windows по адресу
http://support.microsoft.com/kb/832017.
Глава 3. Политика домена
Обзор
В данной главе формирование среды домена используется для демонстрации способов обеспечения
безопасности инфраструктуры Microsoft® Windows Server™ 2003 с пакетом обновления 1 (SP1).
В данной главе рассматриваются следующие темы:
•
•
параметры безопасности и меры противодействия на доменном уровне;
способы укрепления безопасности домена Windows Server 2003 для сред LC (среда устаревших
клиентов), EC (среда корпоративных клиентов) и SSLF (специальная безопасная среда с
ограниченной функциональностью), определенных в главе 1 «Введение в руководство по
безопасности Windows Server 2003».
Данные сведения обеспечивают основные принципы и представление о процессе, которые можно
использовать для развития среды, начиная от среды LC и заканчивая средой SSLF в пределах
инфраструктуры домена.
Windows Server 2003 с пакетом обновления 1 (SP1) поставляется со стандартными значениями
параметров, которые соответствуют известному состоянию системы с высоким уровнем безопасности.
Чтобы обеспечить удобство работы с материалом, в главе рассматриваются только те параметры,
значения которых будут отличаться от стандартных. Сведения обо всех параметрах по умолчанию см. в
дополнительном руководстве Угрозы и меры противодействия: параметры безопасности в системах
Windows Server 2003 и Windows XP, которое можно загрузить по адресу
http://go.microsoft.com/fwlink/?LinkId=15159 (на английском языке).
Политика домена
Параметры безопасности групповой политики можно применять на различных уровнях организации. В
базовой среде, которая рассматривается в главе 2 «Механизмы укрепления безопасности Windows
Server 2003», групповые политики использовались для применения параметров на трех следующих
уровнях инфраструктуры домена:
•
Уровень домена. Параметры на данном уровне служат для обеспечения общих требований
безопасности, таких как политики учетных записей и паролей, которые должны быть реализованы
для всех серверов домена.
•
Базовый уровень. Параметры на данном уровне соответствуют особым требованиям безопасности,
•
Уровень, определяемый ролью сервера. Параметры на данном уровне соответствуют
общим для всех серверов в инфраструктуре домена.
требованиям безопасности, определяемым ролью сервера. Например, требования безопасности для
сервера инфраструктуры отличаются от требований для серверов со службами Microsoft IIS.
В следующих разделах данной главы подробно рассматривается только политика доменного уровня.
Большинство рассматриваемых параметров безопасности связаны с учетными записями пользователей
и паролями. При изучении данных параметров и рекомендаций следует учесть, что все параметры
применяются ко всем пользователям в пределах домена.
Обзор политики домена
Групповая политика является очень эффективным средством, так как позволяет администратору
создавать стандартную конфигурацию компьютера сети. Объекты групповой политики (GPO)
представляют собой значительную часть решения для управления параметрами, подходящего для
любой организации, так как позволяют администраторам вносить изменения в параметры безопасности
одновременно на всех компьютерах в домене или подразделах домена.
Следующие разделы содержат подробные сведения о параметрах безопасности, которые можно
использовать для укрепления безопасности операционной системы Windows Server 2003 с пакетом
обновления 1 (SP1). Разделы также включают таблицы с описанием параметров и подробное описание
способов достижения целей в сфере укрепления безопасности с помощью конкретных параметров.
Параметры разделены на несколько категорий, соответствующих порядку их отображения в редакторе
конфигураций безопасности Windows Server 2003.
С помощью групповых политик можно одновременно применять следующие типы изменений
параметров безопасности:
•
изменение разрешений для файловой системы;
•
изменение разрешений для объектов реестра;
•
изменение параметров в реестре;
•
изменение назначений прав пользователя;
•
настройка системных служб;
•
настройка журналов аудита и событий;
•
установка политик паролей и учетных записей.
Авторы данного руководства рекомендуют создать новую групповую политику в корне домена для
применения политик доменного уровня, которые рассматриваются в данной главе. Это позволит
упростить проверку и устранение неполадок новой групповой политики, так как для отката изменений
можно просто отключить ее. Однако некоторые приложения, созданные для работы с Active Directory,
вносят изменения непосредственно во встроенную стандартную политику домена. При выполнении
рекомендаций, содержащихся в данном руководстве, такие приложения не будут получать сведений о
новой внедренной групповой политике. Прежде чем развертывать новые корпоративные приложения,
их необходимо тщательно проверить. При появлении проблем убедитесь, что приложение не вносило
изменений в политики учетных записей, не создавало новых учетных записей пользователей, не
изменяло права пользователей и не вносило других изменений в стандартную политику домена или
политики локальных компьютеров.
Политики учетных записей
Политики учетных записей, включающие политику паролей, политику блокировки учетной записи и
параметры безопасности политики Kerberos, подходят только для политики домена во всех трех
средах, рассматриваемых в настоящем руководстве. Политики паролей обеспечивают установку
сложности и расписание изменений для систем с высоким уровнем безопасности. Политика блокировки
учетной записи позволяет отслеживать неудачные попытки ввода пароля для входа в систему, чтобы в
случае необходимости осуществить блокировку учетной записи. Политики Kerberos используются для
учетных записей пользователя домена. Они определяют параметры, связанные с протоколом проверки
подлинности Kerberos, такие как время жизни билета и принудительное применение.
Политика паролей
Сложные пароли при их регулярной смене снижают вероятность успешной атаки на пароль. Параметры
политики паролей устанавливают сложность и время жизни паролей. В данном разделе
рассматривается каждый параметр политики паролей и их значимость для каждой из трех сред,
описываемых в данном руководстве: среды устаревших клиентов, среды корпоративных клиентов и
специально безопасной среды с ограниченной функциональностью.
Применение строгих требований к длине и сложности пароля не обязательно означает, что
пользователи и администраторы будут использовать надежные пароли. Хотя политика паролей может
потребовать от пользователей, чтобы их пароли соответствовали требованиям технической сложности,
дополнительная строгая политика безопасности необходима, для того чтобы пользователи создавали
пароли, которые трудно взломать. Например, фраза «Доброе утро!» может соответствовать всем
требованиям к сложности пароля, но такой пароль не так уж трудно разгадать.
Если злоумышленник знаком с человеком, который создал пароль, он может разгадать его, если в
пароле используются слова, имеющие отношение к любимой еде, машине или фильму этого человека.
Одним из методов обучения пользователей созданию сложных паролей, который можно использовать в
рамках программы по укреплению безопасности организации, — вывешивание плакатов с описанием
неудачных паролей в местах общего пользования — возле фонтанчика для питья или копировального
аппарата. Необходимо также разработать рекомендации по созданию надежных паролей, которые
должны включать следующие советы:
•
избегайте использования слов из словарей на любом языке, включая слова с типичными и
•
не создавайте новый пароль, просто добавив одну цифру к текущему паролю;
•
избегайте использования паролей, которые начинаются с цифры или заканчиваются на нее, их
•
избегайте паролей, которые можно разгадать, просто взглянув на ваш рабочий стол (имен
•
избегайте слов из лексикона массовой культуры;
намеренными орфографическими ошибками;
легче разгадать, чем пароли, имеющие цифру в середине;
домашних животных, названий спортивных команд и имен родственников);
•
старайтесь использовать пароли, которые нужно набирать обеими руками;
•
старайтесь использовать строчные и прописные буквы, цифры и символы во всех паролях;
•
старайтесь использовать символ пробела и символы, которые можно ввести только с помощью
клавиши ALT.
Этими рекомендациями можно пользоваться для создания паролей всех учетных записей служб в
организации.
Параметры политики паролей
В следующей таблице содержатся рекомендуемые параметры политики паролей для всех трех сред,
рассматриваемых в данном руководстве. Параметры политики паролей можно настроить в следующем
разделе редактора объектов групповой политики:
Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\
Политики учетных записей\Политика пароля
Дополнительные сведения о каждом параметре приведены в подразделах, следующих за таблицей.
Таблица 3.1. Рекомендуемые параметры политики паролей
Параметр
Среда устаревших
клиентов
Среда
корпоративных
клиентов
Специальная
безопасная среда с
ограниченной
функциональностью
Требовать
хранить 24 пароля
хранить 24 пароля
хранить 24 пароля
42 дня
42 дня
42 дня
1 день
1 день
1 день
8 знаков
8 знаков
12 знаков
Пароль должен отвечать Включен
Включен
Включен
Отключен
Отключен
неповторяемости
паролей
Максимальный срок
действия пароля
Минимальный срок
действия пароля
Минимальная длина
пароля
требованиям сложности
Хранить пароль,
Отключен
используя обратимое
шифрование
Требовать неповторяемости паролей
Данный параметр политики безопасности определяет количество уникальных новых паролей, которые
должны быть использованы для учетной записи пользователя, прежде чем можно будет повторно
использовать старый пароль. Для данного параметра может быть задано значение от 1 до 24.
Стандартное значение параметра Требовать неповторяемости паролей хранимых паролей в
Windows Server 2003 с пакетом обновления 1 (SP1) — максимальное, 24 пароля. Рекомендуется
устанавливать данное значение во всех трех средах, так как это помогает избежать постоянного
возврата к использованию старого пароля. Самые распространенные типы уязвимости связаны с
повторным использованием пароля; маленькое значение данного параметра допускает постоянное
использование ограниченного количества паролей. Кроме того, нет сведений о том, что данный способ
вызывает проблемы в средах устаревших клиентов.
Чтобы повысить эффективность данного параметра политики, можно настроить параметр
Минимальный срок действия пароля таким образом, чтобы избежать немедленной смены паролей.
Сочетание этих двух способов затрудняет случайный или намеренный возврат к использованию старых
паролей.
Максимальный срок действия пароля
Данный параметр политики определяет период, в течение которого злоумышленник, взломавший
пароль, может пользоваться им для получения доступа к компьютеру в сети до истечения срока
действия пароля. Диапазон значений этого параметра политики — от 1 до 999 дней. Параметр
Максимальный срок действия пароля можно настроить таким образом, чтобы срок действия
паролей заканчивался так часто, как это требуется в конкретной среде. Значение параметра по
умолчанию — 42 дня.
Регулярная смена пароля позволяет избежать его раскрытия. Большинство паролей можно взломать,
если в распоряжении злоумышленника достаточно времени и вычислительных ресурсов. Чем чаще
происходит смена паролей, тем меньше времени остается у злоумышленника на взлом пароля. Однако
при слишком маленьком значении данного параметра может возрасти количество обращений в службу
поддержки.
Рекомендуется сохранять стандартное значение параметра Максимальный срок действия пароля,
составляющее 42 дня, для всех трех сред, рассматриваемых в данном руководстве. Такая настройка
обеспечивает регулярную смену паролей, но при этом пользователю не требуется слишком часто
менять пароли. Слишком частая смена паролей может привести к тому, что пользователи будут их
забывать. Чтобы обеспечить равновесие между требованиями безопасности и эффективности, можно
увеличить значение данного параметра политики в среде устаревших клиентов и в среде
корпоративных клиентов.
Минимальный срок действия пароля
Данный параметр политики определяет количество дней, в течение которых необходимо использовать
пароль, прежде чем пользователь сможет сменить его. Диапазон значений параметра Минимальный
срок действия пароля составляет 0—999 дней; значение 0 допускает немедленную смену пароля.
Значение параметра по умолчанию — 1 день.
Значение параметра Минимальный срок действия пароля должно быть меньше значения параметра
Максимальный срок действия пароля, если для параметра Максимальный срок действия
пароля не задано значение 0 (означающее, что срок действия пароля не ограничен). Установите для
параметра Минимальный срок действия пароля значение больше нуля, чтобы обеспечить
эффективность параметра Требовать неповторяемости паролей хранимых паролей. При
отсутствии минимального срока действия пароля пользователи могут менять пароли, пока не вернутся
к старому привычному паролю.
Рекомендуется установить стандартное значение параметра Минимальный срок действия пароля,
равное одному дню, для всех трех сред, рассматриваемых в данном руководстве. Если такое значение
данного параметра используется вместе с малым значением параметра Требовать неповторяемости
паролей, пользователи получат возможность постоянно возвращаться к одному и тому же паролю.
Например, если значение параметра Минимальный срок действия пароля — 1 день, а параметр
Требовать неповторяемости паролей хранимых паролей включает два пароля, пользователю
потребуется подождать только два дня, прежде чем он сможет вернуться к использованию старого
привычного пароля. Однако если значение параметра Минимальный срок действия пароля
равняется единице, а значение параметра Требовать неповторяемости паролей хранимых
паролей равняется 24, пользователю потребуется каждый день на протяжении 24-дневного срока
менять пароли, чтобы вернуться к старому паролю, а такое поведение маловероятно.
Минимальная длина пароля
Данный параметр политики служит для установки минимального числа знаков в пароле. Длинные
пароли (больше восьми знаков) обычно более надежны, чем короткие. При использовании параметра
Минимальная длина пароля пользователи не могут вводить «пустой» пароль, кроме того,
создаваемые ими пароли должны содержать заданное количество знаков. Значение этого параметра по
умолчанию — 7 знаков.
Авторы руководства рекомендуют установить для параметра Минимальная длина пароля значение 8
в средах устаревших клиентов и в средах корпоративных клиентов. Такая длина пароля достаточна
для обеспечения определенного уровня безопасности и не создает трудностей при запоминании. Кроме
того, такая настройка параметра обеспечивает надежную защиту от распространенных атак методом
прямого перебора и атак перебором по словарю.
(При атаке перебором по словарю для получения пароля используются списки слов. При атаке методом
прямого перебора используются все возможные пароли или зашифрованные текстовые значения.
Вероятность успешной атаки методом прямого перебора зависит от длины пароля, размера возможного
набора знаков и вычислительных ресурсов, которыми располагает злоумышленник.)
Авторы руководства рекомендуют в среде специализированной безопасности с ограниченной
функциональностью установить для параметра Минимальная длина пароля значение 12.
Каждый дополнительный знак в пароле экспоненциально увеличивает его сложность. Например, для
пароля из семи знаков количество возможных комбинаций соответствует 267 (или 1 x 107). Для пароля
из семи букв различного регистра количество комбинаций — 527. Для пароля из семи букв различного
регистра и цифр без знаков пунктуации существует 627 комбинаций. При осуществлении миллиона
попыток в секунду взлом такого пароля займет около 40 дней. Количество возможных комбинаций для
пароля из восьми знаков — 268 (или 2 x 1011). Хотя данная цифра может показаться невероятно
огромной, при осуществлении миллиона попыток в секунду (соответствует возможностям многих
программ взлома паролей) перебор всех возможных паролей займет всего 59 часов. Помните, что это
время значительно увеличивается при использовании знаков, которые вводятся с помощью клавиши
ALT, и других специальных знаков клавиатуры, например «!» или «@».
Пароли хранятся в базе данных диспетчера учетных записей безопасности (SAM) или Active Directory
после прохождения одностороннего (необратимого) хэширования. Поэтому единственный известный
способ проверки правильности пароля — воспроизвести алгоритм одностороннего хэширования для
данного пароля и сравнить полученные результаты. При атаке перебором по словарю для поиска
соответствий выполняется шифрование целых словарей. Данный способ прост, но эффективен, и
позволяет определить пароли учетных записей, состоящие из простых слов, таких как «пароль» или
«гость».
В старых версиях Windows использовался специальный алгоритм хэширования — хэш LAN Manager
(LMHash). С помощью данного алгоритма пароль разбивается на блоки из семи или менее знаков и
затем для каждого блока подсчитывается отдельное значение хэша. Хотя в операционных системах
Windows 2000 Server, Windows XP и Windows Server 2003 используется более современный алгоритм
хэширования, допускается подсчет и хранение значений LMHash в целях обеспечения обратной
совместимости.
Наличие значений LMHash существенно упрощает жизнь взломщиков паролей. Если пароль содержит
семь или менее знаков, вторая половина значения LMHash соответствует определенному значению,
которое информирует злоумышленника о том, что пароль содержит менее восьми знаков. Пароли,
состоящие из восьми и более знаков, позволяют усилить защиту даже при использовании не слишком
эффективного LMHash, так как длинные пароли требуют расшифровки двух частей каждого пароля
вместо одной. При параллельной атаке на обе половины LMHash противостоять атаке методом прямого
перебора становится практически невозможно, если вторая часть LMHash содержит только один знак.
Поэтому наличие всего одного лишнего знака не обеспечивает большого преимущества, если этот знак
не является частью набора знаков, вводимых с помощью клавиши ALT.
В связи с этим использование коротких паролей вместо длинных не рекомендуется. Однако если
задать для параметра, определяющего минимальную длину пароля, слишком большое значение,
увеличится вероятность неверного ввода паролей и последующей блокировки учетных записей, что
может привести к росту числа обращений в службу поддержки. Кроме того, слишком длинные пароли
могут в итоге привести к снижению безопасности организации, так как пользователи с большей
вероятностью будут записывать такие пароли, чтобы не забыть их.
Пароль должен отвечать требованиям сложности
Данный параметр политики служит для проверки всех новых паролей при их создании, чтобы
гарантировать, что они отвечают требованиям к сложности пароля. Правила политики в
Windows Server 2003 нельзя изменить напрямую. Однако можно создать новую версию файла
Passfilt.dll для применения другого набора правил. Дополнительные сведения о создании
пользовательского файла Passfilt.dll см. в статье MSDN® Образец фильтра пароля на веб-узле
http://msdn.microsoft.com/library/default.asp?url=/library/en-us/secmgmt/
security/sample_password_filter.asp (на английском языке).
Пароль, состоящий из 20 и более знаков, фактически может быть составлен так, что пользователю
будет проще запомнить его, чем пароль из 8 знаков. Кроме того, такой пароль более безопасен.
Рассмотрим использование пароля из 30 знаков: №5 на 100% лучше скачет и поет. Такой пароль
(точнее, парольную фразу) пользователю, возможно, будет проще запомнить, чем более короткий
пароль, такой как P@55w0rd.
В сочетании с параметром Минимальная длина пароля, значение которого равняется 8, данный
параметр сильно затрудняет осуществление атаки методом прямого перебора. При включении в набор
знаков прописных и строчных букв и цифр количество возможных знаков возрастает с 26 до 62. В
таком случае количество возможных комбинаций для пароля, состоящего из восьми знаков, составит
2,18 x 1014. При осуществлении миллиона попыток в секунду перебор всех возможных комбинаций
займет 6,9 лет.
Поэтому корпорация Майкрософт рекомендует выбрать для параметра Пароль должен отвечать
требованиям сложности значение Включено для всех трех сред, рассматриваемых в данном
руководстве.
Хранить пароль, используя обратимое шифрование
Данный параметр политики определяет, будет ли использоваться обратимое шифрование для хранения
пароля в операционной системе. Он служит для поддержки приложений, использующих протоколы,
которые требуют ввода пароля пользователя для проверки подлинности.
Пароли, которые сохраняются с помощью метода обратимого шифрования, проще подобрать, чем
пароли, для хранения которых используется необратимое шифрование. Если данный параметр
включен, уязвимость среды увеличивается.
Поэтому корпорация Майкрософт рекомендует выбрать для параметра Хранить пароль, используя
обратимое шифрование значение Отключено, если требования приложения не имеют более
высокого приоритета по сравнению с защитой сведений о пароле. Кроме того, включение данного
параметра политики необходимо для сред, в которых протокол проверки пароля CHAP развертывается
посредством удаленного доступа или служб проверки подлинности (IAS), и для сред, в которых для
служб IIS используется дайджест-проверка подлинности.
Предотвращение смены пароля без необходимости
Хотя описанные в предыдущем разделе параметры политики паролей обеспечивают широкий спектр
возможностей, некоторым организациям требуется централизованный контроль над всеми
пользователями. В данном разделе описываются способы предотвращения смены паролей
пользователями без особой необходимости.
Централизованный контроль над паролями пользователей является основой продуманной схемы
безопасности Windows Server 2003. Для того чтобы задать минимальный и максимальный сроки
действия пароля, можно использовать групповую политику, как было описано выше, но следует
учитывать, что требование частой смены паролей может привести к попыткам обойти настройки
параметра журнала паролей со стороны пользователей организации. Слишком большая длина паролей
может также привести к увеличению количества обращений в службу поддержки от пользователей,
забывших свои пароли.
Пользователи могут изменять пароли в период, определяемый значениями минимального и
максимального срока действия пароля. Однако в специальной безопасной среде с ограниченной
функциональностью необходимо, чтобы пользователи меняли свои пароли только при поступлении
соответствующего запроса операционной системы по истечении максимального срока действия
пароля (42 дня). Чтобы предотвратить смену пароля (за исключением необходимости), можно
отключить вариант «Смена пароля» в диалоговом окне «Безопасность Windows», которое
отображается при нажатии клавиш CTRL+ALT+DELETE. Учтите, что пользователи, уделяющие внимание
безопасности, могут попытаться менять пароли чаще необходимого, и им придется обращаться к
администратору, чтобы сменить пароль, а это приведет к увеличению расходов на сопровождение.
Можно применить эту настройку для всего домена с помощью групповой политики или внести
изменения в реестр, чтобы применить ее для одного или нескольких отдельных пользователей. Более
подробные сведения о данной настройке см. в статье базы знаний Майкрософт Предотвращение смены
пароля без необходимости в Windows Server 2003 по адресу http://support.microsoft.com/?kbid=324744
(на английском языке).
Политика блокировки учетной записи
Политика блокировки учетной записи — это функция обеспечения безопасности операционной системы
Windows Server 2003 с пакетом обновления 1 (SP1), которая служит для блокировки учетной записи
пользователя после осуществления нескольких неудачных попыток входа в систему за определенный
промежуток времени. Количество допустимых попыток и период блокировки зависят от значений,
заданных для политики. Windows Server 2003 с пакетом обновления 1 (SP1) отслеживает попытки
входа в систему. Программное обеспечение сервера может быть настроено таким образом, чтобы
отключать учетные записи после заданного количества неудачных попыток входа в систему в качестве
реакции на возможные атаки.
Данные параметры политики позволяют защитить пароли пользователей от злоумышленников,
подбирающих пароли, кроме того, они уменьшают вероятность успешных атак на сеть. Однако высока
вероятность того, что расходы на сопровождение возрастут при включении политики блокировки
учетной записи, так как пользователи, забывшие или несколько раз неправильно указавшие пароль,
будут вынуждены обращаться в службу поддержки. Прежде чем включать данный параметр, убедитесь,
что организация готова к таким дополнительным расходам. Для многих организаций более
эффективным и менее дорогим решением будет автоматическая проверка журналов событий
безопасности контроллеров домена и создание административных предупреждений при попытке
подбора паролей для учетной записи пользователя. См. главу 2 «Политики доменного уровня»
дополнительного руководства Угрозы и меры противодействия: параметры безопасности в системах
Windows Server 2003 и Windows XP, которое можно загрузить по адресу http://go.microsoft.com/fwlink/
?LinkId=15159 (на английском языке), содержащую дополнительное описание данных параметров и их
взаимодействия.
Параметры политики блокировки учетной записи
В таблице ниже приводятся обобщенные сведения о рекомендуемых параметрах политики блокировки
учетной записи. Для настройки этих параметров в групповой политике домена можно воспользоваться
следующим разделом редактора объектов групповой политики:
Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\
Политики учетных записей\Политика блокировки учетной записи
Дополнительные сведения о каждом параметре приведены в подразделах, следующих за таблицей.
Таблица 3.2. Параметры политики блокировки учетной записи
Параметр
Среда
устаревших
клиентов
Среда корпоративных
клиентов
Специальная безопасная
среда с ограниченной
функциональностью
Блокировка учетной
30 минут
30 минут
15 минут
Пороговое значение
50 ошибок входа в
50 ошибок входа в
10 ошибок входа в систему
блокировки
систему
систему
Сброс счетчика
30 минут
30 минут
записи на
15 минут
блокировки через
Блокировка учетной записи на
Данный параметр политики определяет длительность периода блокирования учетной записи, до того
как пользователь сможет попытаться повторно войти в систему. Значение задает количество минут, в
течение которых заблокированная запись остается недоступной. Если для параметра Блокировка
учетной записи на установлено значение 0, учетная запись остается заблокированной до тех пор,
пока администратор не снимет с нее блокировку. Стандартное значение этого параметра в
операционной системе Windows Server 2003 с пакетом обновления 1 (SP1) — Не определено.
Хотя установка для параметра Блокировка учетной записи на значения, которое не допускает
автоматическое снятие блокировки, может показаться разумным, такая настройка может привести к
увеличению обращений в службу поддержки по поводу случайно заблокированных учетных записей.
Авторы руководства рекомендуют устанавливать для параметра Блокировка учетной записи на
значение 30 минут для сред LC и EC и значение 15 минут для сред SSLF. Такая настройка позволяет
снизить эксплуатационные издержки при атаках типа «отказ в обслуживании» (DoS). При атаке типа
«отказ в обслуживании» злоумышленник осуществляет несколько неудачных попыток входа в систему
для всех пользователей организации, что приводит к блокировке их учетных записей. Рекомендуемое
значение параметра должно предоставлять пользователям возможность повторить вход в систему по
истечении достаточного периода времени без необходимости обращаться в службу поддержки.
Необходимо сообщить пользователям значение данного параметра.
Пороговое значение блокировки
Данный параметр политики определяет количество попыток, которое пользователь может осуществить
для входа в систему с определенной учетной записью, прежде чем она будет заблокирована.
Полномочные пользователи могут заблокировать свою учетную запись несколькими способами. Они
могут неправильно указать пароль или изменить пароль на одном компьютере при входе в систему с
другого компьютера. Компьютер, для которого установлен неправильный пароль, может несколько раз
попытаться проверить подлинность пользователя и, так как пароль, используемый для проверки
подлинности, неверен, учетная запись пользователя будет в конечном итоге заблокирована. Чтобы
избежать случайной блокировки полномочных пользователей, установите для порогового значения
блокировки учетных записей высокое значение.
В связи с определенными уязвимостями, которые вероятны, если параметр Пороговое значение
блокировки установлен или не установлен, для каждого из вариантов предусмотрены
соответствующие меры по обеспечению безопасности. Организации следует выбрать один из данных
вариантов, в зависимости от определенных угроз и рисков, вероятность которых необходимо снизить.
•
Чтобы предотвратить блокировку учетных записей, установите для параметра Пороговое
значение блокировки значение 0.Это позволит снизить количество обращений в службу
поддержки, так как пользователи не смогут случайно заблокировать свои учетные записи. Кроме
того, это защитит организацию от атак типа «отказ в обслуживании», при которых осуществляется
намеренная блокировка учетных записей. Поскольку такое значение параметра не позволяет
блокировать атаки методом прямого перебора, его следует использовать, только если выполняются
следующие два условия:
•
политика паролей требует от всех пользователей создания сложных паролей, состоящих из
•
существует надежный механизм аудита, который может оповещать администраторов о серии
восьми и более знаков;
ошибок входа в систему в среде. Например, механизм аудита должен отслеживать событие
безопасности 539 («Ошибка входа. Учетная запись заблокирована во время попытки входа в
систему»). Данное сообщение означает, что учетная запись была заблокирована в тот момент,
когда было достигнуто пороговое значение попыток входа в систему. Однако событие 539
отображает только блокировку учетной записи, но не неудачную попытку ввода пароля. Поэтому
администраторам также следует отслеживать серии неудачных попыток ввода пароля.
•
Если данные условия не выполняются, необходимо установить для параметра Пороговое значение
блокировки достаточно высокое значение, которое позволит пользователям, несколько раз
случайно неправильно указавшим пароль, избежать блокировки учетной записи. При этом такое
значение должно обеспечивать блокировку учетной записи при атаке методом прямого перебора.
Авторы руководства рекомендуют установить для параметра Пороговое значение блокировки
значение 50 для сред LC и EC, что позволит обеспечить достаточную безопасность и приемлемую
функциональность. Такое значение предотвращает случайную блокировку учетной записи и сокращает
количество обращений в службу поддержки, но не защищает от атак типа «отказ в обслуживании», как
упоминалось ранее. Однако для среды SSLF рекомендуется выбрать для данного параметра значение
10.
Сброс счетчика блокировки через
Данный параметр безопасности определяет длительность периода, по истечении которого, пороговое
значение блокировки сбрасывается, и с учетной записи снимается блокировка. Если параметр
Пороговое значение блокировки учетных записей определен, время сброса не должно превышать
значение параметра Блокировка учетной записи на.
Параметр Сброс счетчика блокировки через взаимосвязан с другими параметрами. Если установить
для данного параметра стандартное значение или задать слишком длительный интервал, можно
повысить уязвимость среды к атакам типа «отказ в обслуживании», направленным на блокировку
учетных записей. Если значение параметра не допускает сброса блокировки учетной записи,
администраторы будут вынуждены вручную снимать блокировку всех учетных записей. С другой
стороны, если для этого параметра политики задано разумное значение, учетные записи
пользователей будут заблокированы в течение установленного времени до автоматической
разблокировки всех учетных записей.
Авторы данного руководства рекомендуют установить для параметра Сброс счетчика блокировки
через значение «30 минут» для сред LC и EC. Такая настройка позволяет определить разумные
пределы периода блокировки, который будет приемлем для пользователей и позволит избежать
обращений в службу поддержки. Однако для среды SSLF рекомендуется выбрать для данного
параметра значение 15 минут.
Политики Kerberos
Политики Kerberos используются для учетных записей пользователя домена. Данные политики
определяют параметры, имеющие отношение к протоколу проверки подлинности Kerberos 5, такие как
время жизни билета и принудительное применение. Политики Kerberos не входят в локальную
политику компьютера. При сокращении времени жизни билетов Kerberos уменьшается и уязвимость к
атакам злоумышленников, которые пытаются похитить пароли, чтобы воспользоваться учетными
записями подлинных пользователей. Однако необходимость поддерживать эти политики ведет за собой
увеличение затрат на проверку подлинности.
Для большинства сред не следует вносить изменения в стандартные значения данных политик.
Поскольку параметры политик Kerberos включены в стандартную политику домена и осуществляются с
ее помощью, они не включаются в шаблоны безопасности, входящие в настоящее руководстве.
Авторы руководства рекомендуют не вносить изменений в стандартные политики Kerberos.
Дополнительные сведения о параметрах данных политик см. в дополнительном руководстве Угрозы и
меры противодействия: параметры безопасности в системах Windows Server 2003 и Windows XP,
которое можно загрузить по адресу http://go.microsoft.com/fwlink/?LinkId=15159 (на английском
языке).
Параметры безопасности
Три типа политик учетных записей, рассмотренные ранее в данной главе, определяются на уровне
домена и осуществляются всеми контроллерами домена в домене. Контроллер домена получает
политику учетных записей от объекта GPO стандартной политики домена, даже если к подразделению,
которое содержит контроллер домена, применяется другая политика учетных записей.
Существует три параметра безопасности, которые присутствуют во всех политиках учетных записей.
Данные параметры следует применять на уровне всего домена, а не для отдельных подразделений. Эти
параметры можно настроить в следующем разделе редактора объектов групповой политики:
Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\
Локальные политики\Параметры безопасности
Параметры безопасности
В таблице ниже приводятся обобщенные сведения о рекомендуемых параметрах безопасности.
Дополнительные сведения о каждом параметре приведены в подразделах, следующих за таблицей.
Таблица 3.3. Параметры безопасности
Параметр
Среда
устаревших
клиентов
Среда корпоративных Специальная безопасная
среда с ограниченной
клиентов
функциональностью
Сервер сети Microsoft:
Включен
Включен
Включен
Отключен
Отключен
Отключен
Включен
Включен
Включен
Отключать клиентов по
истечении разрешенных
часов входа
Доступ к сети:
Разрешить трансляцию
анонимного SID в имя
Сетевая безопасность:
принудительный вывод
из сеанса по истечении
допустимых часов
работы
Сервер сети Microsoft: Отключать клиентов по истечении разрешенных часов входа
Этот параметр политики определяет, будут ли отключаться пользователи, подключенные к локальному
компьютеру, по истечении разрешенного времени входа, заданного для их учетной записи. Данный
параметр политики влияет на компонент блока сообщений сервера (SMB). Если этот параметр включен,
по истечении разрешенного времени входа клиента сеансы клиента со службой SMB принудительно
разрываются. Если этот параметр отключен, по истечении разрешенного времени входа клиента его
сеанс сохраняется. При включении данного параметра политики следует также включить параметр
Сетевая безопасность: принудительный вывод из сеанса по истечении допустимых часов
работы.
Если в организации для пользователей заданы допустимые часы работы, может потребоваться
включить параметр Сервер сети Microsoft: отключать клиентов по истечении разрешенных
часов входа. В противном случае пользователи, которые не должны иметь доступ к сетевым ресурсам
по истечении допустимых часов работы, могут фактически продолжать пользоваться данными
ресурсами с помощью сеанса, установленного во время разрешенных часов.
Авторы данного руководства рекомендуют установить для параметра Сервер сети Microsoft:
отключать клиентов по истечении разрешенных часов входа значение Включено для всех трех
сред, рассматриваемых в данном руководстве. Если в организации не практикуется ограничение
времени входа в систему, данный параметр не имеет значения.
Доступ к сети: Разрешить трансляцию анонимного SID в имя
Данный параметр политики определяет возможность запроса анонимным пользователем
идентификатора безопасности (SID) другого пользователя.
Если параметр Доступ к сети: Разрешить трансляцию анонимного SID в имя включен на
контроллере домена, пользователь, которому известны стандартные атрибуты идентификатора
безопасности администратора, может связаться с компьютером, на котором данная политика также
включена, и использовать SID для получения сведений об имени администратора. Этот пользователь
может затем использовать имя учетной записи для запуска атаки, направленной на подбор паролей.
Поскольку стандартное значение параметра Доступ к сети: Разрешить трансляцию анонимного
SID в имя на рядовых компьютерах — Отключено, они не подвержены связанным с данной
настройкой политики угрозам. Однако для контроллеров доменов значение по умолчанию —
Включено. При отключении данного параметра политики компьютеры с устаревшими версиями
операционных систем могут потерять возможность связываться с доменами с Windows Server 2003 с
пакетом обновления 1 (SP1). К таким компьютерам относятся:
•
серверы служб удаленного доступа с операционной системой Windows NT® 4.0;
•
серверы Microsoft SQL Server™ на компьютерах с операционной системой Windows NT 3.x или
•
серверы служб удаленного доступа на компьютерах с операционной системой Windows 2000,
Windows NT 4.0;
размещенных в доменах Windows NT 3.x или Windows NT 4.0.
Авторы данного руководства рекомендуют установить для параметра Доступ к сети: Разрешить
трансляцию анонимного SID в имя значение Отключено для всех трех сред, рассматриваемых в
данном руководстве.
Сетевая безопасность: принудительный вывод из сеанса по истечении допустимых
часов работы
Данный параметр политики определяет, следует ли отключать пользователей, подключенных к
локальному компьютеру, по истечении разрешенного времени входа, заданного для их учетной записи.
Этот параметр влияет на компонент SMB.
Если параметр Сетевая безопасность: принудительный вывод из сеанса по истечении
допустимых часов работы включен, по истечении разрешенного времени входа клиента сеансы
клиента с сервером SMB принудительно разрываются. Пользователь не сможет войти на компьютер до
начала следующего периода запланированного времени доступа. Если этот параметр отключен, по
истечении разрешенного времени входа пользователя его сеанс сохраняется. Чтобы данный параметр
мог влиять на учетные записи домена, его следует определить в стандартной политике домена.
Авторы данного руководства рекомендуют установить для параметра Сетевая безопасность:
принудительный вывод из сеанса по истечении допустимых часов работы значение Включено
для всех трех сред, рассматриваемых в данном руководстве.
Заключение
В данной главе рассматривается необходимость пересмотра всех параметров, имеющих отношение к
домену. Для каждого домена можно настроить только один набор политик паролей, блокировки
учетной записи и протокола проверки подлинности Kerberos 5. Другие параметры политик протокола и
блокировки учетной записи будут влиять только на локальные учетные записи рядовых серверов.
Необходимо тщательно спланировать настройку параметров, которые будут применяться ко всем
рядовым серверам домена, и убедиться, что эти параметры обеспечивают достаточный уровень
безопасности во всей организации.
Дополнительные сведения
Следующие веб-узлы содержат дополнительные сведения по темам, имеющим отношение к политике
домена для серверов с Windows Server 2003 с пакетом обновления 1 (SP1).
•
Сведения о том, как анонимные пользователи могут запросить атрибуты идентификатора
безопасности других пользователей, см. в статье Доступ к сети: Разрешить трансляцию анонимного
SID в имя по адресу http://technet2.microsoft.com/WindowsServer/rus/Library/299803be-0e85-4c60b0b5-1b64486559b31033.mspx (на английском языке).
•
Сведения о безопасности сети и о принудительном выводе из сеанса по истечении допустимых
часов работы см. в бюллетене Крот — техническая информация из глубин корпорации Майкрософт
№32: перемещение пользователей, общий доступ к принтерам, два основных контроллера домена,
выход из системы, повторение по адресу
www.microsoft.com/technet/archive/community/columns/inside/techan32.mspx (на английском языке).
•
Также см. статью базы знаний Майкрософт Невозможно использовать учетную запись гостя, если
отключен анонимный доступ по адресу http://support.microsoft.com/?kbid=251171 (на английском
языке).
Глава 4. Базовая политика рядовых серверов
Обзор
В этой главе описаны требования к конфигурации системы, которые необходимо выполнить, чтобы
можно было управлять базовым шаблоном безопасности для всех серверов с Microsoft®
Windows Server™ 2003 с пакетом обновления 1 (SP1). Кроме того, в этой главе приводятся инструкции
для администраторов по развертыванию защищенной конфигурации системы Windows Server 2003 с
пакетом обновления 1 в трех разных средах. Изложенные в этой главе требования составляют основу
для выполнения всех процедур, описанных в последующих главах. В этих главах описывается
усиление защиты конкретных ролей сервера.
Содержащиеся в этой главе рекомендации, помогут реализовать базовые меры защиты серверов
бизнес-приложений в корпоративной среде. Однако перед реализацией этих мер в рабочей среде
необходимо тщательно проверить их совместимость с бизнес-приложениями организации.
Приведенные в этой главе рекомендации подходят для большинства организаций и могут быть
использованы для настройки имеющихся и новых компьютеров с Windows Server 2003 с пакетом
обновления 1. Работая над этим руководством, его составители изучили, проанализировали и
протестировали действующие по умолчанию параметры безопасности системы Windows Server 2003 с
пакетом обновления 1. Сведения обо всех параметрах по умолчанию и подробное объяснение каждого
параметра, упоминаемого в этой главе, см. в дополнительном руководстве Угрозы и меры
противодействия: параметры безопасности в системах Windows Server 2003 и Windows XP, которое
можно загрузить по адресу http://go.microsoft.com/fwlink/?LinkId=15159 (на английском языке).
Большинство приведенных ниже рекомендаций обеспечивают более высокую степень защиты, чем
параметры по умолчанию.
Параметры безопасности описываются в этой главе в контексте трех следующих сред:
•
Среда устаревших клиентов (LC). Эта среда включает компьютеры под управлением систем
Windows NT® 4.0 и Microsoft Windows® 98, которые иногда называют унаследованными
операционными системами. Эта среда обеспечивает приемлемый уровень безопасности, но из трех
сред, описываемых в этом руководстве, она защищена наименее надежно. Для обеспечения более
надежной защиты организации могут заменить эту среду более защищенной средой корпоративных
клиентов. Кроме упомянутых унаследованных операционных систем среда устаревших клиентов
включает рабочие станции под управлением систем Windows 2000 Professional и Windows XP
Professional. Контроллеры домена в этой среде работают только под управлением Windows 2000 или
Windows Server 2003. Контроллеры домена под управлением Windows NT 4.0 в этой среде
отсутствуют, но рядовые серверы могут работать под управлением системы Windows NT.
•
Среда корпоративных клиентов (EC). Эта среда обеспечивает высокий уровень безопасности и
разработана для более новых версий операционных систем Windows. Среда корпоративных
клиентов включает клиентские компьютеры под управлением систем Windows 2000 Professional и
Windows XP Professional. Основная часть работы по миграции из среды устаревших клиентов в среду
корпоративных клиентов сводится к обновлению унаследованных клиентов, например компьютеров
под управлением Windows 98 и Windows NT 4.0 Workstation, до Windows 2000 или Windows XP. Все
контроллеры домена и рядовые серверы в этой среде работают под управлением системы
Windows 2000 Server или Windows Server 2003.
•
Специальная безопасная среда с ограниченной функциональностью (SSLF). Эта среда
обеспечивает гораздо более высокий уровень безопасности, чем среда корпоративных клиентов.
Для миграции из среды корпоративных клиентов в специальную безопасную среду с ограниченной
функциональностью необходимо обеспечить соблюдение строгих политик безопасности на
клиентских компьютерах и серверах. Эта среда включает клиентские компьютеры с
Windows 2000 Professional и Windows XP Professional и контроллеры домена с Windows 2000 Server
или Windows Server 2003. В среде SSLF настолько строгие требования к безопасности, что
значительное ограничение функциональности и управляемости клиентов считается приемлемой
платой за достижение высочайшего уровня безопасности. Рядовые серверы в этой среде работают
под управлением системы Windows 2000 Server или Windows Server 2003.
Во многих случаях в среде SSLF значения параметров по умолчанию задаются явным образом. Это
отрицательно сказывается на совместимости, так как может привести к сбоям в работе приложений,
пытающихся локально изменить некоторые параметры. Например, некоторые приложения нуждаются в
дополнительных привилегиях для своей учетной записи, а потому вынуждены настраивать права
пользователей. Так как групповые политики имеют более высокий приоритет, чем политика
локального компьютера, эти операции не увенчаются успехом. Таким образом, перед использованием
каких-либо рекомендованных параметров (особенно параметров SSLF) в рабочей среде следует
тщательно протестировать с ними все приложения.
На следующем рисунке условно изображены три этих среды безопасности и клиенты, поддерживаемые
в каждой из них.
Рис. 4.1. Существующие и планируемые среды безопасности
См. полноразмерное изображение
Организации, стремящиеся поэтапно повысить безопасность своих сред, могут начать с уровня среды
устаревших клиентов, а затем постепенно развертывать более защищенные среды по мере обновления
приложений и клиентских компьютеров и их тестирования с более строгими параметрами
безопасности.
На следующем рисунке показано, как шаблоны безопасности (файлы INF) используются в качестве
основы базовой политики рядовых серверов (MSBP) в среде корпоративных клиентов. Кроме того, этот
рисунок поясняет один из возможных способов связи этой политики со всеми серверами в
организации.
В Windows Server 2003 с пакетом обновления 1 (SP1) значения параметров по умолчанию настроены
так, чтобы обеспечивать приемлемую безопасность среды. В этой главе во многих случаях
рекомендуется использовать значения параметров, отличные от значений по умолчанию. Кроме того, в
этой главе подчеркивается важность использования некоторых значений по умолчанию во всех трех
средах. Сведения обо всех параметрах по умолчанию см. в дополнительном руководстве Угрозы и меры
противодействия: параметры безопасности в системах Windows Server 2003 и Windows XP, которое
можно загрузить по адресу http://go.microsoft.com/fwlink/?LinkId=15159 (на английском языке).
Рис. 4.2. Шаблон безопасности EC-Member Server Baseline.inf импортируется в базовую политику
рядовых серверов, которая затем связывается с подразделением рядовых серверов
См. полноразмерное изображение
Способы укрепления защиты конкретных ролей сервера описаны в последующих главах этого
руководства. В число основных ролей сервера, обсуждаемых в данном руководстве, входят:
•
контроллеры домена со службами DNS,
•
инфраструктурные серверы со службами WINS и DHCP,
•
файловые серверы,
•
серверы печати,
•
веб-серверы со службами IIS,
•
серверы проверки подлинности в Интернете (IAS),
•
серверы служб сертификации (центр сертификации),
•
узлы-бастионы.
Многие из перечисленных ниже параметров, входящих в базовую политику рядовых серверов в среде
корпоративных клиентов, также относятся к этим ролям сервера в трех средах, определенных в данном
руководстве. Эти шаблоны безопасности специально разработаны для удовлетворения требований к
безопасности в каждой среде. В следующей таблице приведены имена базовых шаблонов безопасности
для трех сред.
Таблица 4.1. Базовые шаблоны безопасности для всех трех сред
Среда устаревших клиентов Среда корпоративных
клиентов
Специальная безопасная среда
с ограниченной
функциональностью
LC-Member Server Baseline.inf
SSLF-Member Server Baseline.inf
EC-Member Server Baseline.inf
Эти параметры безопасности являются общими для всех трех сред, поэтому в оставшейся части этой
главы описываются базовые шаблоны безопасности рядовых серверов.
Базовые шаблоны безопасности также лежат в основе шаблонов безопасности контроллеров домена,
которые описаны в главе 5. Шаблоны безопасности роли контроллеров домена включают базовые
параметры объекта групповой политики контроллеров домена, который связан с подразделением
контроллеров домена во всех трех средах. Пошаговые инструкции по созданию подразделений и
групповых политик и импорту подходящего шаблона безопасности в каждый объект групповой
политики приведены в главе 2 данного руководства.
Примечание. Некоторые процедуры усиления защиты серверов невозможно автоматизировать с
помощью групповой политики. Эти процедуры описаны ниже, в разделе «Дополнительные параметры
безопасности».
Базовая политика Windows Server 2003
Параметры уровня подразделения рядовых серверов определяют общие параметры для всех ролей
рядовых серверов, описываемых в данном руководстве. Для применения этих параметров можно
создать объект групповой политики, связанный с подразделением рядовых серверов, который
называется базовой политикой. Этот объект групповой политики автоматизирует настройку конкретных
параметров безопасности на каждом сервере. Для этого нужно будет переместить серверные учетные
записи в соответствующие подразделения, дочерние по отношению к подразделению рядовых
серверов, с учетом каждой роли сервера.
Следующие параметры описаны в соответствии с их представлением в пользовательском интерфейсе
редактора конфигураций безопасности консоли MMC (Microsoft Management Console).
Политика аудита
Администраторам следует создать политику аудита, определяющую содержимое отчетов о событиях
безопасности и регистрирующую действия пользователей или компьютеров, относящиеся к указанным
категориям событий. Администраторы могут следить за действиями, имеющими отношение к
безопасности, такими как доступ к объектам, вход в систему и выход из нее и изменение параметров
политики аудита.
Перед реализацией политики аудита нужно решить, для каких категорий событий следует выполнять
аудит. От параметров аудита, заданных администратором для категорий событий, зависит политика
аудита организации. Если параметры аудита для конкретных категорий событий определены,
администраторы могут создать политику аудита, соответствующую требованиям организации.
Если политика аудита не задана, определить, что произошло при инциденте в сфере безопасности,
будет сложно или невозможно. Если же настроить параметры аудита так, чтобы события
регистрировались при многих санкционированных действиях, журнал безопасности может быть
заполнен бесполезными данными. Приведенные ниже рекомендации и описания параметров помогают
определить, что именно следует отслеживать, чтобы собирать данные, которые имеют значение.
Журналы сбоев часто оказываются более информативными, чем журналы успешного выполнения
операций, потому что сбои обычно свидетельствуют об ошибках. Например, успешный вход
пользователя в систему обычно считается нормальным развитием событий. Если кто-то безуспешно
пытается несколько раз войти в систему, это может быть признаком использования чужих учетных
данных. События, происходящие на компьютере, регистрируются в журналах событий. В операционных
системах Microsoft Windows нет отдельных журналов событий для приложений, событий безопасности и
системных событий. События аудита регистрируются в журнале безопасности. Контейнер журнала
событий групповой политики используется для определения атрибутов, относящихся к журналам
событий приложений, безопасности и системы, таких как максимальный размер журнала, права
доступа для каждого журнала, а также параметры и методы сохранения.
Перед реализацией политики аудита в организации следует определить способы сбора, организации и
анализа данных. От большого объема данных аудита мало пользы, если отсутствует план их
использования. Кроме того, аудит компьютерных сетей может отрицательно сказываться на
производительности систем. Даже если влияние определенного сочетания параметров на компьютер
конечного пользователя практически незаметно, на сервере с высокой нагрузкой оно может оказаться
существенным. Таким образом, перед заданием новых параметров аудита в рабочей среде следует
проверить, не ухудшит ли это производительность систем.
В таблице ниже приведены рекомендации по настройке параметров политики аудита для всех трех
сред, определенных в данном руководстве. Можно заметить, что в большинстве случаев параметры
одинаковы для всех сред. Дополнительные сведения о каждом параметре приведены в подразделах,
следующих за таблицей.
Настроить параметры политики аудита в Windows Server 2003 с пакетом обновления 1 можно в
следующем разделе редактора объектов групповой политики:
Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\
Локальные политики\Политика аудита
Обзорные сведения о параметрах, рекомендованных в этом разделе, см. в книге Microsoft Excel®
«Параметры руководства по безопасности Windows Server 2003», прилагаемой к версии данного
руководства, которую можно загрузить из Интернета. Дополнительные сведения о параметрах по
умолчанию и подробное описание каждого параметра, упоминаемого в этом разделе, см. в
дополнительном руководстве Угрозы и меры противодействия: параметры безопасности в системах
Windows Server 2003 и Windows XP, которое можно загрузить по адресу
http://go.microsoft.com/fwlink/?LinkId=15159 (на английском языке).
Таблица 4.2. Параметры политики аудита
Параметр
Среда
устаревших
клиентов
Среда
корпоративных
клиентов
Специальная безопасная
среда с ограниченной
функциональностью
Аудит событий входа
Успех
Успех
Успех, отказ
Успех
Успех
Успех, отказ
Успех
Успех
Успех, отказ
Аудит доступа к объектам
Нет аудита
Нет аудита
Отказ
Аудит изменения политики
Успех
Успех
Успех
Аудит использования
Нет аудита
Нет аудита
Отказ
Нет аудита
Нет аудита
Нет аудита
Успех
Успех
Успех
учетных записей в систему
Аудит управления
учетными записями
Аудит событий входа в
систему
привилегий
Аудит отслеживания
процессов
Аудит системных событий
Аудит событий входа учетных записей в систему
Этот параметр политики определяет необходимость аудита каждого входа пользователя в систему или
выхода из нее с другого компьютера, проверяющего учетную запись. При проверке подлинности
учетной записи пользователя домена на контроллере домена формируется событие входа учетной
записи в систему, регистрируемое в журнале безопасности контроллера домена. При проверке
подлинности локального пользователя на локальном компьютере формируется событие входа в
систему, регистрируемое в локальном журнале безопасности. События выхода из системы не
регистрируются.
Параметр Аудит событий входа учетных записей в систему настраивается для регистрации
значений Успех в базовых политиках сред LC и EC и событий Успех и Отказ в базовой политике
среды SSLF.
В таблице ниже приведены важные события безопасности, которые регистрируются в журнале
безопасности, если задан этот параметр политики. Коды этих событий могут оказаться полезными,
если нужно создать пользовательские предупреждения для наблюдения за каким-либо программным
пакетом, таким как Microsoft Operations Manager (MOM).
Таблица 4.3. События входа учетных записей в систему
Код события
Описание события
672
Билет службы проверки подлинности успешно выдан и проверен. В
Windows Server 2003 с пакетом обновления 1 это событие имеет тип «Аудит
успехов» в случае успешных запросов и «Аудит отказов» в случае неудачных
запросов.
673
Билет службы предоставления билетов (TGS) предоставлен. Билет TGS выдается
службой TGS Kerberos версии 5, которая позволяет пользователю подтвердить
подлинность для конкретной службы в домене. В Windows Server 2003 с пакетом
обновления 1 для событий этого типа регистрируются успехи и отказы.
674
Участник безопасности обновил билет службы проверки подлинности или билет
службы предоставления билетов.
675
Ошибка предварительной проверки подлинности. Это событие формируется в
центре распространения ключей (KDC) при вводе неверного пароля.
676
Ошибка запроса билета проверки подлинности. В Windows Server 2003 с пакетом
обновления 1 это событие не создается. В других версиях Windows это событие
свидетельствует о том, что проверка подлинности завершилась неудачей по
причине, не связанной с указанием неправильных учетных данных.
677
Билет службы предоставления билетов не предоставлен. В Windows Server 2003 с
пакетом обновления 1 это событие не формируется; вместо него используется
событие аудита отказов с кодом 672.
678
Учетная запись успешно сопоставлена с учетной записью домена.
681
Сбой при входе в систему. Выполнена попытка входа в систему с использованием
учетной записи домена. Это событие формируется только контроллерами домена.
682
Пользователь восстановил завершенный сеанс работы с сервером терминалов.
683
Пользователь завершил сеанс работы с сервером терминалов, но не вышел из
системы.
Аудит управления учетными записями
Этот параметр политики определяет необходимость аудита каждого события управления учетными
записями на компьютере. Примеры событий управления учетными записями:
•
создание, изменение или удаление учетной записи пользователя;
•
переименование, отключение или включение учетной записи пользователя;
•
задание или изменение пароля.
Организациям нужна возможность определения того, кто создает, изменяет и удаляет учетные записи
доменов и локальных систем. Несанкционированные изменения могут быть как ошибками
администраторов, не соблюдающих политики организации, так и признаками умышленных атак.
Например, события отказов при управлении учетными записями часто свидетельствуют о попытках
расширения привилегий, предпринимаемых администратором более низкого уровня или
злоумышленником, получившим доступ к его учетной записи. Соответствующие журналы помогают
узнать, какие учетные записи изменил или создал хакер.
Параметр Аудит управления учетными записями настраивается для регистрации значений Успех в
базовых политиках сред LC и EC и значений Успех и Отказ в базовой политике среды SSLF.
В таблице ниже приведены важные события безопасности, которые регистрируются в журнале
безопасности, если задан этот параметр политики. Коды этих событий могут оказаться полезными,
если нужно создать пользовательские предупреждения для наблюдения за каким-либо программным
пакетом, таким как Microsoft Operations Manager (MOM). Большинство приложений, служащих для
управления операциями, можно настроить с помощью сценариев для регистрации событий с этими
кодами или уведомления о них.
Таблица 4.4. События управления учетными записями
Код события
Описание события
624
Создана учетная запись пользователя.
627
Изменен пароль пользователя.
628
Задан пароль пользователя.
630
Удалена учетная запись пользователя.
631
Создана глобальная группа.
632
В глобальную группу добавлен член.
633
Из глобальной группы удален член.
634
Удалена глобальная группа.
635
Создана локальная группа.
636
В локальную группу добавлен член.
637
Из локальной группы удален член.
638
Удалена локальная группа.
639
Изменена учетная запись локальной группы.
641
Изменена учетная запись глобальной группы.
642
Изменена учетная запись пользователя.
643
Изменена политика домена.
644
Учетная запись пользователя автоматически заблокирована.
645
Создана учетная запись компьютера.
646
Изменена учетная запись компьютера.
647
Удалена учетная запись компьютера.
648
Создана локальная группа безопасности с отключенной безопасностью.
Примечание. Значение SECURITY_DISABLED в формальном имени группы говорит о
том, что данную группу нельзя использовать для предоставления разрешений в
проверках доступа.
649
Изменена локальная группа безопасности с отключенной безопасностью.
650
В локальную группу безопасности с отключенной безопасностью добавлен член.
651
Из локальной группы безопасности с отключенной безопасностью удален член.
652
Удалена локальная группа с отключенной безопасностью.
653
Создана глобальная группа с отключенной безопасностью.
654
Изменена глобальная группа с отключенной безопасностью.
655
В глобальную группу с отключенной безопасностью добавлен член.
656
Из глобальной группы с отключенной безопасностью удален член.
657
Удалена глобальная группа с отключенной безопасностью.
658
Создана универсальная группа с включенной безопасностью.
659
Изменена универсальная группа с включенной безопасностью.
660
В универсальную группу с включенной безопасностью добавлен член.
661
Из универсальной группы с включенной безопасностью удален член.
662
Удалена универсальная группа с включенной безопасностью.
663
Создана универсальная группа с отключенной безопасностью.
664
Изменена универсальная группа с отключенной безопасностью.
665
В универсальную группу с отключенной безопасностью добавлен член.
666
Из универсальной группы с отключенной безопасностью удален член.
667
Удалена универсальная группа с отключенной безопасностью.
668
Изменен тип группы.
684
Задан дескриптор безопасности членов административной группы.
Примечание. Каждые 60 минут на контроллере домена поток, работающий в
фоновом режиме, выполняет поиск всех членов административных групп (таких как
администраторы домена, предприятия и схемы) и применяет к ним фиксированный
дескриптор безопасности. Это событие регистрируется.
685
Изменено имя учетной записи.
Аудит событий входа в систему
Этот параметр политики определяет необходимость аудита каждого входа пользователя в систему или
выхода из нее. Параметр Аудит событий входа в систему регламентирует создание записей,
служащих для слежения за активностью учетных записей домена, на контроллерах домена и записей,
служащих для слежения за активностью локальных учетных записей, на локальных компьютерах.
Если присвоить параметру Аудит событий входа в систему значение Нет аудита, будет сложно или
невозможно узнать, какие пользователи входили на компьютеры в организации или пытались это
сделать. Если присвоить параметру Аудит событий входа в систему значение Успех на члене
домена, событие будет формироваться при каждом входе пользователя в сеть независимо от того, к
какому узлу сети относится его учетная запись. Если пользователь входит в систему с локальной
учетной записью, а параметр Аудит событий входа учетных записей в систему имеет значение
Включен, при входе в систему формируются два события.
Даже если оставить значения по умолчанию этого параметра политики неизменными, при инциденте в
сфере безопасности не будут собраны никакие данные, которые можно было бы позднее
проанализировать. Параметр Аудит событий входа в систему настраивается для регистрации
значений Успех в базовых политиках сред LC и EC и значений Успех и Отказ в политике среды SSLF.
В таблице ниже приведены важные события безопасности, которые регистрируются в журнале
безопасности, если задан этот параметр политики.
Таблица 4.5. События аудита входа в систему
Код события
Описание события
528
Пользователь успешно вошел в систему.
529
Сбой при входе в систему. Предпринята попытка входа в систему с использованием
неизвестного имени пользователя или известного имени пользователя с
неправильным паролем.
530
Сбой при входе в систему. Предпринята попытка входа в систему вне допустимого
интервала времени.
531
Сбой при входе в систему. Предпринята попытка входа в систему с отключенной
учетной записью.
532
Сбой при входе в систему. Предпринята попытка входа в систему с устаревшей
учетной записью.
533
Сбой при входе в систему. В систему попытался войти пользователь, не имеющий на
это права.
534
Сбой при входе в систему. Пользователь попытался войти в систему с
использованием пароля недопустимого типа.
535
Сбой при входе в систему. Пароль указанной учетной записи устарел.
536
Сбой при входе в систему. Служба Net Logon не активна.
537
Сбой при входе в систему. Попытка входа в систему завершилась неудачей по иным
причинам.
Примечание. В некоторых случаях причина сбоя при входе в систему может быть
неизвестна.
538
Процесс выхода пользователя из системы завершен.
539
Сбой при входе в систему. Ко времени попытки входа в систему учетная запись была
заблокирована.
540
Пользователь успешно вошел в сеть.
541
Завершена проверка подлинности основного режима по протоколу IKE (Internet Key
Exchange) между локальным компьютером и указанной сущностью (с формированием
сопоставления безопасности) или создан канал данных в быстром режиме.
542
Закрыт канал данных.
543
Работа в основном режиме завершена.
Примечание. Это может произойти из-за истечения срока действия сопоставления
безопасности (по умолчанию он равен восьми часам), из-за изменения политики или
отключения узла.
544
Проверка подлинности основного режима завершилась неудачей, так как узел не
предоставил действительный сертификат или подпись не была проверена.
545
Проверка подлинности основного режима завершилась неудачей из-за сбоя в
протоколе проверки подлинности Kerberos или указания неправильного пароля.
546
Не удалось установить сопоставление безопасности IKE, поскольку другой
компьютер послал неправильное предложение. Получен пакет, содержащий
неправильные данные.
547
Ошибка при подтверждении IKE.
548
Сбой при входе в систему. Идентификатор безопасности (SID) из доверенного
домена не соответствует идентификатору безопасности домена учетной записи
клиента.
549
Сбой при входе в систему. Все идентификаторы безопасности, соответствующие
пространствам имен, не являющимся доверенными, отфильтрованы в ходе проверки
подлинности между лесами.
550
Уведомление, которое может свидетельствовать об атаке типа «отказ в
обслуживании».
551
Пользователь инициировал процесс выхода из системы.
552
Пользователь успешно вошел в систему с явно заданными учетными данными, уже
будучи зарегистрированным в системе в качестве другого пользователя.
682
Пользователь восстановил завершенный сеанс работы с сервером терминалов.
683
Пользователь завершил сеанс работы с сервером терминалов, но не вышел из
системы.
Примечание. Это событие создается, если пользователь подключен к сеансу
сервера терминалов по сети. Оно регистрируется на сервере терминалов.
Аудит доступа к объектам
Сам по себе этот параметр политики не запускает аудита каких-либо событий. Параметр Аудит
доступа к объектам определяет необходимость аудита событий доступа к объекту (например к
файлу, папке, разделу реестра или принтеру), для которого задан системный список управления
доступом (SACL).
Системный список управления доступом состоит из записей управления доступом. Каждая запись
управления доступом включает сведения трех типов:
•
участник безопасности (пользователь, компьютер или группа), для которого будет выполняться
•
определенный тип доступа, для которого будет выполняться аудит (маска доступа);
•
флаг, указывающий на необходимость аудита событий сбоя доступа, успешного доступа или того и
аудит;
другого вида событий.
Если параметр Аудит доступа к объектам настроен для регистрации значений Успех, запись аудита
создается каждый раз, когда пользователь успешно получает доступ к объекту с указанным системным
списком управления доступом. Если этот параметр настроен для регистрации значений Отказ, запись
аудита создается каждый раз, когда пользователь безуспешно пытается получить доступ к объекту с
указанным системным списком управления доступом.
При настройке системных списков управления доступом организации должны определять только те
действия, которые необходимо включить. Например, может потребоваться включить параметр Аудит
записи и добавления данных для EXE-файлов, чтобы отслеживать их изменение или замену, так как
вирусы, черви и «троянские кони» обычно воздействуют на EXE-файлы. Кроме того, может
потребоваться отслеживание доступа к конфиденциальным документам и их изменения.
В базовых политиках сред LC и EC параметр Аудит доступа к объектам имеет по умолчанию
значение Нет аудита. Однако в базовой политике среды SSLF этот параметр политики настроен на
регистрацию значений типа Отказ.
В таблице ниже приведены важные события безопасности, которые регистрируются в журнале
безопасности, если задан этот параметр политики.
Таблица 4.6. События доступа к объектам
Код события
Описание события
560
Предоставлен доступ к существующему объекту.
562
Закрыт дескриптор объекта.
563
Выполнена попытка открыть объект с целью его удаления.
Примечание. Это событие используется файловыми системами, если в функции
Createfile() задан флаг FILE_DELETE_ON_CLOSE.
564
Удален защищенный объект.
565
Предоставлен доступ к существующему типу объекта.
567
Использовано разрешение, связанное с дескриптором.
Примечание. Дескриптор создается с определенными разрешениями (например
разрешениями на чтение и запись). При использовании дескриптора для каждого из
использованных разрешений может быть создана запись аудита.
568
Выполнена попытка создания жесткой ссылки на файл, для которого проводится
аудит.
569
Диспетчер ресурсов в диспетчере авторизации попытался создать контекст клиента.
570
Клиент попытался получить доступ к объекту.
Примечание. Это событие формируется при каждой попытке выполнения операции
над объектом.
571
Контекст клиента удален диспетчером авторизации.
572
Диспетчер администрирования инициализировал приложение.
772
Диспетчер сертификатов отклонил ожидающий запрос сертификата.
773
Службы сертификации получили повторно отправленный запрос сертификата.
774
Службы сертификации отозвали сертификат.
775
Службы сертификации получили запрос на публикацию списка отзыва сертификатов
(CRL).
776
Службы сертификации опубликовали список отзыва сертификатов.
777
Продлен срок действия запроса сертификата.
778
Изменены один или несколько атрибутов запроса сертификата.
779
Службы сертификации получили запрос на завершение работы.
780
Начато резервное копирование служб сертификации.
781
Резервное копирование служб сертификации завершено.
782
Начато восстановление служб сертификации.
783
Восстановление служб сертификации завершено.
784
Службы сертификации запущены.
785
Службы сертификации остановлены.
786
Изменены разрешения безопасности для служб сертификации.
787
Службы сертификации получили заархивированный ключ.
788
Службы сертификации импортировали сертификат в базу данных.
789
Изменен фильтр аудита для служб сертификации.
790
Службы сертификации получили запрос сертификата.
791
Службы сертификации удовлетворили запрос сертификата и выпустили сертификат.
792
Службы сертификации отклонили запрос сертификата.
793
Службы сертификации назначили запросу сертификата статус ожидающего.
794
Изменены параметры диспетчера сертификатов служб сертификации.
795
Изменена конфигурационная запись в службах сертификации.
796
Изменено свойство служб сертификации.
797
Службы сертификации выполнили архивацию ключа.
798
Службы сертификации выполнили импорт и архивацию ключа.
799
Службы сертификации опубликовали сертификат центра сертификации (CA) для
службы Active Directory.
800
Из базы данных сертификатов удалена одна или несколько строк.
801
Включено разделение ролей.
Аудит изменения политики
Этот параметр политики определяет необходимость аудита каждого изменения политик назначения
прав пользователям, политик доверия или самой политики аудита.
Если параметр Аудит изменения политики настроен для регистрации значений Успех, запись
аудита создается при каждом успешном изменении политик назначения прав пользователям, политик
доверия или политик аудита. Если этот параметр политики настроен для регистрации значений Отказ,
запись аудита создается при каждой неудачной попытке изменения политик назначения прав
пользователям, политик доверия или политик аудита.
Рекомендованный способ настройки этого параметра позволяет узнать, какие привилегии учетной
записи злоумышленник пытается повысить или получить (например привилегии Отладка программ
или Архивация файлов и каталогов).
Параметр Аудит изменения политики настроен для регистрации значений Успех в базовых
политиках всех трех сред, определенных в данном руководстве. При значении Отказ никакие
полезные события в настоящее время не регистрируются.
В таблице ниже приведены важные события безопасности, которые регистрируются в журнале
безопасности, если задан этот параметр политики.
Таблица 4.7. События аудита изменения политики
Код события
Описание события
608
Предоставлено право пользователя.
609
Удалено право пользователя.
610
Создано доверительное отношение с другим доменом.
611
Удалено доверительное отношение с другим доменом.
612
Изменена политика аудита.
613
Запущен агент политики IPsec.
614
Отключен агент политики IPsec.
615
Изменен агент политики IPsec.
616
Агент политики IPsec обнаружил потенциально серьезный сбой.
617
Изменена политика Kerberos версии 5.
618
Изменена политика восстановления зашифрованных данных.
620
Изменено доверительное отношение с другим доменом.
621
Учетной записи предоставлен доступ к системе.
622
Для учетной записи заблокирован доступ к системе.
623
Политика аудита задана для каждого пользователя.
625
Политика аудита обновлена для каждого пользователя индивидуально.
768
Зарегистрирован конфликт между элементом пространства имен в одном лесу и
элементом пространства имен в другом лесу.
Примечание. Если элементы пространства имен в одном лесу перекрываются с
элементами пространства имен в другом лесу, возможна неоднозначность
разрешения имен элементов. Это перекрытие также называют конфликтом. Каждый
тип записей поддерживает не все параметры. Например, запись типа
«TopLevelName» не поддерживает такие поля, как DNS-имя, NetBIOS-имя и ИД
безопасности.
769
Добавлены сведения о доверенном лесе.
Примечание. Это сообщение о событии регистрируется при обновлении сведений о
доверенных лесах и при добавлении одной или нескольких записей. Для каждой
добавленной, удаленной или измененной записи создается одно сообщение о
событии. Если за одну операцию обновления сведений о доверенных лесах
выполняется добавление, удаление или изменение нескольких записей, всем
созданным сообщениям о событиях назначается один уникальный идентификатор,
называемый идентификатором операции. Это позволяет определить, что несколько
сообщений о событиях были созданы в ходе одной операции. Каждый тип записей
поддерживает не все параметры. Например, запись типа «TopLevelName» не
поддерживает такие поля, как DNS-имя, NetBIOS-имя и SID.
770
Удалены сведения о доверенном лесе.
Примечание. См. описание события 769.
771
Изменены сведения о доверенном лесе.
Примечание. См. описание события 769.
805
Служба журнала событий прочитала конфигурацию журнала безопасности для
сеанса.
Аудит использования привилегий
Этот параметр политики определяет необходимость аудита каждого применения права пользователя.
Если параметр Аудит использования привилегий настроен на регистрацию значений типа Успех,
запись аудита создается при каждом успешном применении права пользователя. Если этот параметр
настроен на регистрацию значений типа Отказ, запись аудита создается при каждой неудачной
попытке применения права пользователя.
При применении указанных ниже прав пользователя аудит не записывается, даже если задан параметр
Аудит использования привилегий, поскольку для этих прав регистрируется большое число событий
в журнале безопасности. Аудит следующих прав пользователя отрицательно сказывался бы на
производительности компьютеров:
•
Обход перекрестной проверки
•
Отладка программ
•
Создание маркерного объекта
•
Замена маркера уровня процесса
•
Создание аудитов безопасности
•
Архивация файлов и каталогов
•
Восстановление файлов и каталогов
Примечание. Если нужно осуществлять аудит этих прав, необходимо включить в групповой политике
параметр Аудит: аудит прав на архивацию и восстановление.
В базовых политиках сред LC и EC параметр Аудит использования привилегий имеет значение по
умолчанию Нет аудита. Однако в базовой политике среды SSLF этот параметр политики настроен на
регистрацию значений типа Отказ. Неудачное использование права пользователя свидетельствует об
общей проблеме с сетью и часто указывает на попытку атаки. Присваивать параметру Аудит
использования привилегий значение Включен следует только при наличии конкретных деловых
причин.
В таблице ниже приведены важные события безопасности, которые регистрируются в журнале
безопасности, если задан этот параметр.
Таблица 4.8. События использования привилегий
Код события
Описание события
576
В маркер доступа пользователя добавлены указанные привилегии.
Примечание. Это событие регистрируется при входе пользователя в систему.
577
Пользователь попытался выполнить привилегированную операцию системной
службы.
578
Привилегии использованы для уже открытого дескриптора защищенного объекта.
Аудит отслеживания процессов
Этот параметр политики определяет необходимость аудита подробной информации о таких событиях,
как активация программ, завершение процессов, дублирование дескрипторов и косвенный доступ к
объектам. Если этот параметр настроен на регистрацию значений типа Успех, запись аудита создается
при каждой операции, успешно выполненной отслеживаемым процессом. Если этот параметр настроен
на регистрацию значений типа Отказ, запись аудита создается при каждой неудачной попытке
выполнения операции отслеживаемым процессом.
Если параметр Аудит отслеживания процессов задан, регистрируется большое количество событий,
поэтому обычно ему присваивают значение Нет аудита. Это справедливо для базовых политик всех
трех сред, определенных в данном руководстве. Однако этот параметр может оказаться очень
полезным при реагировании на инциденты, потому что он позволяет получить подробные сведения о
запущенных процессах и времени запуска каждого из них.
В таблице ниже приведены важные события безопасности, которые регистрируются в журнале
безопасности, если задан этот параметр.
Таблица 4.9. События отслеживания процессов
Код события
Описание события
592
Создан процесс.
593
Процесс завершил работу.
594
Продублирован дескриптор объекта.
595
Получен косвенный доступ к объекту.
596
Выполнено резервное копирование главного ключа защиты данных.
Примечание. Главный ключ используется процедурами CryptProtectData и
CryptUnprotectData, а также файловой системой EFS. Резервная копия главного
ключа создается при каждом создании нового главного ключа (по умолчанию это
выполняется каждые 90 дней). Резервное копирование ключа обычно
осуществляется на контроллере домена.
597
Главный ключ защиты данных восстановлен с помощью сервера восстановления.
598
Включена защита данных, для которых проводится аудит.
599
Отключена защита данных, для которых проводится аудит.
600
Процессу назначен основной маркер.
601
Пользователь попытался установить службу.
602
Создано задание планировщика.
Аудит системных событий
Этот параметр политики определяет необходимость аудита, когда пользователь перезагружает или
выключает компьютер, либо когда происходит событие, влияющее на безопасность или журнал
безопасности компьютера. Если этот параметр настроен на регистрацию значений типа Успех, запись
аудита создается при успешном выполнении системного события. Если этот параметр настроен на
регистрацию значений типа Отказ, запись аудита создается при неудачной попытке выполнения
системного события.
В следующей таблице приведены наиболее значительные события успеха для этого параметра.
Таблица 4.10. Сообщения о системных событиях для аудита системных событий
Код события
Описание события
512
Запуск системы Windows.
513
Завершение работы системы Windows.
514
Локальным администратором безопасности загружен пакет проверки подлинности.
515
Локальным администратором безопасности зарегистрирован доверенный процесс
входа в систему.
516
Внутренние ресурсы, выделенные очереди сообщений о событиях безопасности,
исчерпались, что привело к утрате некоторых сообщений о событиях безопасности.
517
Очищен журнал аудита.
518
Диспетчером учетных записей безопасности загружен пакет уведомлений.
519
Пытаясь выполнить олицетворение клиента и отправить ответ или считать данные из
адресного пространства клиента или записать их в него, процесс использует
неправильный порт локального вызова процедур (LPC).
520
Изменено системное время.
Примечание. Этот тип аудита обычно выполняется дважды.
Назначение прав пользователя
Функция назначения прав пользователя позволяет предоставлять пользователям права входа в
систему или привилегии на компьютерах в организации. В качестве примера права входа в систему
можно привести право на интерактивный вход в систему. Примером привилегии может служить право
на выключение компьютера. И права входа в систему, и привилегии назначаются администраторами
отдельным пользователям или группам при настройке параметров безопасности компьютера.
Примечание. В данном разделе значение «Не определен» относится только к пользователям;
администраторы в любом случае имеют соответствующее право пользователя. Локальные
администраторы могут изменять эти настройки, но при очередном обновлении или применении
групповых политик они будут переопределены параметрами групповых политик домена.
В Windows Server 2003 с пакетом обновления 1 параметры назначения прав пользователя можно
настроить в следующем разделе редактора объектов групповой политики:
Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\
Локальные политики\Назначение прав пользователя
Права, назначаемые пользователям по умолчанию, различаются в зависимости от типа сервера в
организации. Например, система Windows Server 2003 назначает разные права встроенным группам на
рядовых серверах и контроллерах домена (сходства между встроенными группами на серверах разных
типов в следующем списке не указаны).
•
Рядовые серверы
•
Опытные пользователи. Члены этой группы имеют большинство административных прав с
некоторыми ограничениями. Помимо приложений, сертифицированных для систем
Windows Server 2003 с пакетом обновления 1 и Windows XP, опытные пользователи также могут
запускать унаследованные приложения.
•
HelpServicesGroup. Эта группа создана для сотрудников центра справки и поддержки. Учетная
запись Support_388945a0 является по умолчанию членом этой группы.
•
•
TelnetClients. Члены этой группы имеют доступ к серверу Telnet в сети.
Контроллеры домена
•
Операторы сервера. Члены этой группы могут администрировать серверы домена.
•
Terminal Server License Services. Члены этой группы имеют доступ к серверам лицензий
•
Группа авторизации доступа Windows. Члены этой группы имеют доступ к вычисляемому
серверов терминалов в сети.
атрибуту tokenGroupsGlobalAndUniversal объектов пользователей.
Члены группы Гости, а также учетные записи «Гость» и Support_388945a0 имеют уникальные
идентификаторы безопасности для различных доменов. Таким образом, на компьютере, на котором
есть только конкретная целевая группа, может потребоваться изменение этой групповой политики для
назначения прав пользователя. Вместо этого можно также по отдельности отредактировать шаблоны
политики для включения соответствующих групп в файлы INF. Например, в тестовой среде можно
создать групповую политику контроллера домена на контроллере домена.
Примечание. Из-за уникальных идентификаторов безопасности членов группы Гости и учетных
записей Support_388945a0 и «Гость» настройку некоторых параметров, используемых для усиления
защиты серверов, нельзя автоматизировать с помощью шаблонов безопасности, входящих в состав
данного руководства. Эти параметры описаны ниже, в разделе «Дополнительные параметры
безопасности».
В данном разделе описаны рекомендованные настройки параметров назначения прав пользователя в
базовых политиках рядовых серверов для всех трех сред, определенных в данном руководстве.
Обзорные сведения о настройках, рекомендованных в этом разделе, см. в рабочей книге Microsoft Excel
«Параметры безопасности Windows Server 2003», прилагаемой к версии данного руководства, которую
можно загрузить из Интернета. Сведения о параметрах по умолчанию и подробное описание каждого
параметра, упоминаемого в этом разделе, см. в дополнительном руководстве Угрозы и меры
противодействия: параметры безопасности в Windows Server 2003 и Windows XP.
В следующей таблице приведены рекомендации по назначению прав пользователя для всех трех сред,
определенных в данном руководстве. Дополнительные сведения о каждом параметре приведены в
подразделах, следующих за таблицей.
Таблица 4.11. Рекомендации по назначению прав пользователя
Параметр
Среда устаревших
клиентов
Среда
корпоративных
клиентов
Специальная
безопасная среда с
ограниченной
функциональностью
Доступ к компьютеру из
Не определен
Не определен
«Администраторы»,
сети
«Прошедшие проверку»,
«КОНТРОЛЛЕРЫ ДОМЕНА
ПРЕДПРИЯТИЯ»
Работа с правами
Не определен
Не определен
Никто
Не определен
Не определен
«Администраторы»,
элемента операционной
системы.
Настройка квот памяти
для процесса
«СЕТЕВАЯ СЛУЖБА»,
«ЛОКАЛЬНАЯ СЛУЖБА»
Локальный вход в
«Администраторы»,
«Администраторы»,
систему
«Операторы архива»,
«Операторы архива»,
«Администраторы»
«Опытные
«Опытные
пользователи»
пользователи»
Разрешать вход в
«Администраторы»,
«Администраторы»,
систему через службу
«Пользователи
«Пользователи
терминалов
удаленного рабочего
удаленного рабочего
стола»
стола»
Не определен
Не определен
«Администраторы»
Не определен
Не определен
«Прошедшие проверку»
Не определен
Не определен
«Администраторы»,
Архивация файлов и
«Администраторы»
каталогов
Обход перекрестной
проверки
Изменение системного
времени
Создание файла
«ЛОКАЛЬНАЯ СЛУЖБА»
Не определен
Не определен
«Администраторы»
Не определен
Не определен
Никто
Не определен
Не определен
«Администраторы»,
подкачки
Создание маркерного
объекта
Создание глобальных
объектов
Создание постоянных
«СЛУЖБА»
Не определен
Не определен
Никто
Отладка программ
Не определен
«Администраторы»
Никто
Отказ в доступе к
«Анонимный вход»,
«Анонимный вход»,
«Анонимный вход»,
компьютеру из сети
«Гости»,
«Гости»,
«Гости»,
Support_388945a0,
Support_388945a0,
Support_388945a0, все
все учетные записи
все учетные записи
учетные записи служб, не
служб, не
служб, не
относящихся к
относящихся к
относящихся к
операционной системе
операционной
операционной
системе
системе
Отказ во входе в
«Гости»,
«Гости»,
качестве пакетного
Support_388945a0
Support_388945a0
Не определен
Не определен
Никто
Не определен
Не определен
«Гости», Support_388945a0
«Гости»
«Гости»
Не определен
«Администраторы»
общих объектов
«Гости», Support_388945a0
задания
Отказать во входе в
качестве службы
Отклонить локальный
вход
Запретить вход в систему «Гости»
через службу
терминалов
Разрешение доверия к
учетным записям
компьютеров и
Не определен
пользователей при
делегировании
Принудительное
Не определен
Не определен
«Администраторы»
Не определен
Не определен
«СЕТЕВАЯ СЛУЖБА»,
удаленное завершение
работы
Создание аудитов
безопасности
Олицетворять клиент
«ЛОКАЛЬНАЯ СЛУЖБА»
Не определен
Не определен
после проверки
«Администраторы»,
«СЛУЖБА»
подлинности
Увеличение приоритета
Не определен
Не определен
«Администраторы»
Не определен
Не определен
«Администраторы»
Не определен
Не определен
Никто
Не определен
Не определен
Не определен
Вход в качестве службы
Не определен
Не определен
«СЕТЕВАЯ СЛУЖБА»
Управление аудитом и
Не определен
Не определен
«Администраторы»
Не определен
Не определен
«Администраторы»
Не определен
Не определен
«Администраторы»
Не определен
Не определен
«Администраторы»
Не определен
Не определен
«Администраторы»
Не определен
Не определен
«Администраторы»
Не определен
Не определен
«ЛОКАЛЬНАЯ СЛУЖБА»,
выполнения
Загрузка и выгрузка
драйверов устройств
Блокировка страниц в
памяти
Вход в систему в
качестве пакетного
задания
журналом безопасности
Изменение параметров
среды изготовителя
Выполнение задач по
обслуживанию томов
Профилирование
отдельного процесса
Профилирование
производительности
системы
Отключение компьютера
от стыковочного узла
Замена маркера уровня
процесса
Восстановление файлов
«СЕТЕВАЯ СЛУЖБА»
Не определен
Не определен
«Администраторы»
Не определен
Не определен
«Администраторы»
Не определен
Не определен
Никто
и каталогов
Завершение работы
системы
Синхронизация данных
службы каталогов
Смена владельцев
Не определен
Не определен
«Администраторы»
файлов и других
объектов
Доступ к компьютеру из сети
Этот параметр политики определяет пользователей и группы, которым разрешено подключаться к
компьютеру по сети. Он необходим для работы ряда сетевых протоколов, в том числе протоколов,
основанных на блоке сообщений сервера (SMB), протоколов NetBIOS, CIFS (Common Internet File
System), HTTP и COM+ (Component Object Model Plus).
В средах LC и EC параметру Доступ к компьютеру из сети присваивается значение Не определен.
Несмотря на то, разрешения, назначенные группе безопасности Все в Windows Server 2003 с пакетом
обновления 1, больше не предоставляют доступ к системе анонимным пользователям, гостевым
группам и учетным записям, его все же можно предоставить с помощью группы Все. Поэтому в среде
SSLF группе безопасности Все отказано в праве Доступ к компьютеру из сети. Это улучшает защиту
от атак, основанных на получении гостевого доступа к домену. В среде SSLF это право пользователя
предоставляется только группам Администраторы, Прошедшие проверку и КОНТРОЛЛЕРЫ
ДОМЕНА ПРЕДПРИЯТИЯ.
Работа с правами элемента операционной системы.
Этот параметр политики определяет, может ли процесс присваивать учетные данные любого
пользователя и таким образом получать доступ к ресурсам, которые доступны пользователю. Как
правило, это право пользователя необходимо только низкоуровневым службам проверки подлинности.
В средах LC и EC параметру Работа с правами элемента операционной системы присваивается
значение Не определен. Однако в среде SSLF этому параметру присваивается значение NULL или
пустое значение, то есть данное право не предоставляется никаким группам безопасности и учетным
записям.
Настройка квот памяти для процесса
Этот параметр политики определяет, кто может изменять максимальный объем памяти, доступной
процессу. Это право пользователя полезно при настройке системы, но им можно злоупотребить.
Хакеры могут воспользоваться этим правом для проведения атак типа «отказ в обслуживании».
В средах LC и EC параметру Настройка квот памяти для процесса присваивается значение Не
определен. В среде SSLF это право пользователя назначается членам группы Администраторы, а
также учетным записям «СЕТЕВАЯ СЛУЖБА» и «ЛОКАЛЬНАЯ СЛУЖБА».
Локальный вход в систему
Этот параметр политики определяет пользователей, которым разрешено интерактивно входить в
указанную систему. Это право пользователя необходимо для входа в систему после нажатия клавиш
CTRL+ALT+DEL. Войти в локальную консоль компьютера можно с любой учетной записью, которой
предоставлено это право пользователя.
В средах LC и EC право пользователя Локальный вход в систему назначается только членам групп
Администраторы, Операторы архива и Опытные пользователи. Это помогает блокировать доступ
к системе неавторизованных пользователей, которые могут попытаться повысить свои привилегии или
заразить среду вирусами. В среде SSLF это право пользователя назначается только членам группы
Администраторы.
Разрешать вход в систему через службу терминалов
Этот параметр политики определяет, какие пользователи или группы имеют право входить в систему в
качестве клиента службы терминалов.
В средах LC и EC право пользователя Разрешать вход в систему через службу терминалов
назначается только членам групп Администраторы и Пользователи удаленного рабочего стола. В
среде SSLF оно назначается только членам группы Администраторы.
Архивация файлов и каталогов
Этот параметр политики определяет, могут ли пользователи игнорировать разрешения на работу с
файлами и каталогами с целью резервного копирования данных на компьютере. Он используется
только в том случае, если приложение пытается получить доступ к файлам или каталогам через API
резервного копирования NTFS с помощью программы резервного копирования, такой как
NTBACKUP.EXE. В остальных ситуациях применяются обычные разрешения на работу с файлами и
каталогами.
В средах LC и EC параметру Архивация файлов и каталогов присваивается значение Не
определен. В среде SSLF это право пользователя назначается только членам группы
Администраторы.
Обход перекрестной проверки
Этот параметр политики определяет, могут ли пользователи выполнять обзор папок при работе с
файловой системой NTFS или реестром без проверки специального разрешения на доступ «Обзор
папок». Данное право позволяет пользователям только выполнять обзор каталогов, но не
просматривать их содержимое.
В средах LC и EC параметру Обход перекрестной проверки присваивается значение Не определен.
В среде SSLF это право пользователя назначается только членам группы Прошедшие проверку.
Изменение системного времени
Этот параметр политики определяет, какие пользователи могут изменять показания (время и дату)
внутренних часов компьютера. Пользователи, имеющие это право, могут влиять на содержимое
журналов событий, так как записываемые в них метки времени определяются по показаниям
внутренних часов компьютера. Если изменить на компьютере время, сведения в журналах не будут
отражать действительное время регистрации событий.
В средах LC и EC параметру Изменение системного времени присваивается значение Не
определен. В среде SSLF это право пользователя назначается только членам группы
Администраторы и учетной записи Локальная служба.
Примечание. Несоответствие времени на локальном компьютере и контроллерах домена может
вызвать проблемы с протоколом проверки подлинности Kerberos, что сделает невозможным вход
пользователей в домен или получение разрешения на доступ к ресурсам домена после входа.
Создание файла подкачки
Этот параметр политики определяет, могут ли пользователи создавать и изменять размер файлов
подкачки. Это можно сделать, указав размер файла подкачки для конкретного диска в поле
Параметры быстродействия, доступном на вкладке Дополнительно диалогового окна Свойства
системы.
В средах LC и EC параметру Создание файла подкачки присваивается значение Не определен. В
среде SSLF это право пользователя назначается только членам группы Администраторы.
Создание маркерного объекта
Этот параметр политики определяет, может ли процесс создать маркер, позволяющий получить доступ
к любым локальным ресурсам с помощью NtCreateToken() или других API создания маркеров.
В средах LC и EC параметру Создание маркерного объекта присваивается значение Не определен.
Однако в среде SSLF этому параметру политики присваивается значение NULL или пустое значение, то
есть данное право не предоставляется никаким группам безопасности или учетным записям.
Создание глобальных объектов
Этот параметр политики позволяет пользователям создавать глобальные объекты, доступные во всех
сеансах. Не имея этого права, пользователи все же могут создавать объекты, специфичные для их
сеансов.
В средах LC и EC параметру Создание глобальных объектов присваивается значение Не
определен. В среде SSLF это право пользователя назначается только членам групп СЛУЖБА и
Администраторы.
Создание постоянных общих объектов
Этот параметр политики определяет, могут ли пользователи создавать в диспетчере объектов объекты
каталога, в том числе общие папки и принтеры. Это право повышает эффективность работы
компонентов режима ядра, расширяющих пространство имен. Данное право изначально предоставлено
этим компонентам, поэтому специально назначать его пользователям обычно не требуется.
В средах LC и EC параметру Создание постоянных общих объектов присваивается значение Не
определен. Однако в среде SSLF этому параметру политики присваивается значение NULL или пустое
значение, то есть данное право не предоставляется никаким группам безопасности или учетным
записям.
Отладка программ
Этот параметр политики определяет, какие пользователи могут подключать отладчик к любому
процессу или ядру. Он предоставляет полный доступ к важнейшим компонентам операционной
системы. В рабочих средах отлаживать программы не следует. Это допускается только в крайних
случаях, например при необходимости устранения неполадок в работе критически важного
приложения, которое невозможно эффективно проверить в тестовой среде.
В среде LC параметру Отладка программ присваивается значение Не определен. В среде EC это
право пользователя назначается только членам группы Администраторы. Однако в среде SSLF этому
параметру политики присваивается значение NULL или пустое значение, то есть данное право не
предоставляется никаким группам безопасности или учетным записям.
Примечание. В системе Windows Server 2003 с пакетом обновления 1 удаление права пользователя
Отладка программ может сделать невозможным использование службы Windows Update. Однако
исправления по-прежнему можно будет загружать вручную и устанавливать или применять иным
образом. Удаление этого права пользователя может также отрицательно сказаться на работе службы
кластеров. Дополнительные сведения см. в статье базы знаний Майкрософт Применение более строгих
параметров безопасности на сервере кластера Windows Server 2003 по адресу
http://support.microsoft.com/?kbid=891597 (на английском языке).
Отказ в доступе к компьютеру из сети
Примечание. Учетные записи «Анонимный вход», Support_388945a0, «Гость», встроенная учетная
запись администратора и все учетные записи служб не операционной системы не включены в шаблон
безопасности (файл с расширением INF). Эти учетные записи и группы имеют уникальные
идентификаторы безопасности для каждого домена в организации. Поэтому их необходимо добавлять
вручную. Дополнительные сведения см. в разделе «Усиление защиты вручную» в конце этой главы.
Этот параметр политики определяет, кому из пользователей будет отказано в доступе к компьютеру из
сети. Он не позволяет использовать ряд сетевых протоколов, включая протоколы, основанные на SMB,
а также протоколы NetBIOS, CIFS, HTTP и COM+. Данный параметр переопределяет параметр Доступ к
компьютеру из сети, если к учетной записи пользователя применяются оба параметра.
Во всех трех средах, определенных в данном руководстве, право пользователя Отказ в доступе к
компьютеру из сети назначается членам группы Гости, учетным записям «Анонимный вход»,
Support_388945a0 и всем учетным записям служб, не входящих в состав операционной системы.
Задание этого параметра политики для других групп может ограничить возможности пользователей,
которым назначены те или иные административные роли. Задавая этот параметр, убедитесь в том, что
это не будет препятствовать выполнению других делегированных задач.
Отказ во входе в систему в качестве пакетного задания
Примечание. Учетные записи «Анонимный вход», Support_388945a0, «Гость», встроенная учетная
запись администратора и все учетные записи служб не операционной системы не включены в шаблон
безопасности (файл с расширением INF). Эти учетные записи и группы имеют уникальные
идентификаторы безопасности для каждого домена в организации. Поэтому их необходимо добавлять
вручную. Дополнительные сведения см. в разделе «Усиление защиты вручную» в конце этой главы.
Этот параметр политики определяет, каким учетным записям будет отказано во входе в систему в
качестве пакетного задания. Пакетное задание — это не пакетный файл (BAT), а средство пакетной
очереди. Это право пользователя необходимо учетным записям, планирующим выполнение заданий с
помощью планировщика заданий.
Право пользователя Отказ во входе в систему в качестве пакетного задания переопределяет
право Вход в систему в качестве пакетного задания, которое позволяет разрешать учетным
записям планировать выполнение заданий, требовательных к системным ресурсам. Это может привести
к отказу в обслуживании. По этой причине в базовых политиках всех трех сред, определенных в
данном руководстве, право пользователя Отказ во входе в систему в качестве пакетного задания
назначается членам группы Гости и учетной записи пользователя Support_388945a0. Если не
назначить данное право пользователя рекомендованным учетным записям, в защите системы могут
появиться уязвимости.
Отказать во входе в качестве службы
Этот параметр политики определяет возможность запуска служб в контексте указанной учетной
записи.
В средах LC и EC параметру Отказать во входе в качестве службы присваивается значение Не
определен. Однако в среде SSLF этому параметру политики присваивается значение NULL или пустое
значение, то есть данное право не предоставляется никаким группам безопасности или учетным
записям.
Отклонить локальный вход
Этот параметр политики определяет, могут ли пользователи входить в систему непосредственно с
клавиатуры компьютера.
В средах EC и LC параметру Отклонить локальный вход присваивается значение Не определен. В
среде SSLF это право пользователя назначается только членам группы Гости и учетной записи
пользователя Support_388945a0. Если не назначить данное право пользователя рекомендованным
учетным записям, в защите системы могут появиться уязвимости.
Запретить вход в систему через службу терминалов
Примечание. Учетные записи «Анонимный вход», Support_388945a0, «Гость», встроенная учетная
запись администратора и все учетные записи служб не операционной системы не включены в шаблон
безопасности (файл с расширением INF). Эти учетные записи и группы имеют уникальные
идентификаторы безопасности для каждого домена в организации. Поэтому их необходимо добавлять
вручную. Дополнительные сведения см. в разделе «Усиление защиты вручную» в конце этой главы.
Данный параметр политики определяет, могут ли пользователи входить в систему как клиенты службы
терминалов. После включения базового рядового сервера в среду домена нет необходимости
использовать локальные учетные записи для доступа к серверу из сети. И администраторы, и конечные
пользователи могут делать это с помощью учетных записей домена.
Во всех трех средах, определенных в данном руководстве, право пользователя Запретить вход в
систему через службу терминалов назначается членам группы Гости, чтобы они не могли входить
в систему через службу терминалов.
Разрешение доверия к учетным записям компьютеров и пользователей при
делегировании
Этот параметр политики определяет, могут ли пользователи изменять параметр Делегирование
разрешено для объектов пользователей или компьютеров в Active Directory. Пользователи или
компьютеры, которым назначено это право, должны также иметь доступ к управляющим флагам
объекта с правом на запись. Неправильное применение этого права пользователя в некоторых случаях
делает возможным несанкционированное олицетворение других пользователей в сети.
В средах LC и EC параметру Разрешение доверия к учетным записям компьютеров и
пользователей при делегировании присваивается значение Не определен. В среде SSLF это право
пользователя назначается только членам группы Администраторы.
Принудительное удаленное завершение работы
Этот параметр политики определяет, могут ли пользователи удаленно завершать работу компьютеров
по сети. Любой пользователь, которому разрешено завершать работу компьютера, может вызвать отказ
в обслуживании. Таким образом, назначение данного права пользователям следует строго ограничить.
В средах LC и EC параметру Принудительное удаленное завершение работы присваивается
значение Не определен. В среде SSLF это право пользователя назначается только членам группы
Администраторы.
Создание аудитов безопасности
Этот параметр политики определяет, может ли процесс создавать записи аудита в журнале
безопасности. Журнал безопасности позволяет следить за попытками несанкционированного доступа к
системе, поэтому учетные записи, имеющие право на запись в журнал безопасности, могут
использоваться злоумышленниками для заполнения журнала бессмысленными записями. Если
компьютер настроен так, что сообщения о событиях перезаписываются по мере необходимости, хакер
может воспользоваться этим для сокрытия своих следов. Если же компьютер настроен на выключение
при невозможности записи в журнал событий, это создает условия для проведения атак типа «отказ в
обслуживании».
В средах LC и EC параметру Создание аудитов безопасности присваивается значение Не
определен. В среде SSLF это право пользователя назначается только учетным записям «СЕТЕВАЯ
СЛУЖБА» и «ЛОКАЛЬНАЯ СЛУЖБА».
Олицетворять клиент после проверки подлинности
Этот параметр политики определяет, могут ли приложения, выполняемые от имени пользователя,
прошедшего проверку подлинности, осуществлять олицетворение клиентов. Если для этого необходимо
данное право, неавторизованный пользователь не сможет убедить клиента подключиться (например,
путем удаленного вызова процедуры (RPC) или через именованные каналы) к созданной для
олицетворения этого клиента службе с целью повышения разрешений до административного или
системного уровня.
В средах LC и EC параметру Олицетворять клиент после проверки подлинности присваивается
значение Не определен. В среде SSLF это право пользователя назначается только членам группы
Администраторы и учетной записи «СЛУЖБА».
Увеличение приоритета выполнения
Этот параметр политики определяет, могут ли пользователи увеличивать базовый класс приоритета
процесса. Увеличение относительного приоритета в пределах класса приоритета не является
привилегированной операцией. Административные средства, прилагаемые к операционной системе, не
нуждаются в этом праве пользователя, однако оно может требоваться средствам разработки ПО.
Пользователь, имеющий это право, может назначить процессу приоритет реального времени, передав
ему ресурсы других процессов. Это может привести к отказу в обслуживании.
В средах LC и EC параметру Увеличение приоритета выполнения присваивается значение Не
определен. В среде SSLF это право пользователя назначается только членам группы
Администраторы.
Загрузка и выгрузка драйверов устройств
Этот параметр политики определяет, кому из пользователей разрешается динамически загружать и
выгружать драйверы устройств. Если подписанный драйвер нового устройства уже есть на компьютере
в файле Driver.cab, это право не требуется. Драйверы устройства выполняются как код с высокими
привилегиями. Пользователь, имеющий право Загрузка и выгрузка драйверов устройств, может
умышленно или случайно установить на компьютер вредоносную программу, замаскированную под
драйвер устройства. Администраторам следует внимательнее следить за этим и устанавливать
драйверы только при наличии проверенных цифровых подписей.
В средах LC и EC параметру Загрузка и выгрузка драйверов устройств присваивается значение Не
определен. В среде SSLF это право пользователя назначается только членам группы
Администраторы.
Блокировка страниц в памяти
Этот параметр политики определяет, может ли процесс хранить данные в физической памяти, что
предотвращает сброс данных в виртуальную память на диске. Сброс данных в виртуальную память
может значительно ухудшать производительность системы. Пользователи, имеющие это право, могут
предоставить всю или почти всю физическую память нескольким процессам, не оставив ее другим
процессам и вызвав отказ в обслуживании.
В средах LC и EC параметру Блокировка страниц в памяти присваивается значение Не определен.
Однако в среде SSLF этому параметру политики присваивается значение NULL или пустое значение, то
есть данное право не предоставляется никаким группам безопасности или учетным записям.
Вход в качестве службы
Этот параметр политики определяет, может ли участник безопасности войти в систему в качестве
службы. Службы можно настроить для работы в контексте учетных записей «Локальная система»,
«Локальная служба» или «Сетевая служба», которые изначально имеют права на вход в систему в
качестве службы. Это право пользователя необходимо назначить каждой службе, работающей в
контексте отдельной учетной записи пользователя.
В средах LC и EC параметру Вход в качестве службы присваивается значение Не определен. В
среде SSLF это право пользователя назначается только учетной записи Network Service.
Управление аудитом и журналом безопасности
Этот параметр политики определяет, могут ли пользователи задавать параметры аудита доступа к
объектам для отдельных ресурсов, таких как файлы, объекты Active Directory и разделы реестра. Это
право предоставляет широкие возможности, и за ним нужно тщательно следить. Любой пользователь,
имеющий это право, может очистить журнал безопасности, удалив важные сведения о
несанкционированных действиях.
В средах LC и EC параметру Управление аудитом и журналом безопасности присваивается
значение Не определен. В среде SSLF это право пользователя назначается только членам группы
Администраторы.
Внимание! Microsoft Exchange Server 2003 во время установки изменяет это право пользователя в
политике контроллеров домена, действующей по умолчанию. Дополнительные сведения см. в статье
Развертывание Exchange Server 2003 по адресу
www.microsoft.com/technet/prodtechnol/exchange/guides/E2k3ADPerm/
110e37bf-a68c-47bb-b4d5-1cfd539d9cba.mspx (на английском языке). Если это право пользователя
имеют только члены группы «Администраторы», Exchange Server записывает в журнал событий
приложений большое количество сообщений об ошибках. Если используется Exchange Server 2003,
необходимо настроить значение этого параметра для контроллеров домена. Возможно, для
обеспечения нормальной работы приложений организации придется несколько изменить
конфигурацию параметров. Это относится ко всем параметрам, описываемым в данном руководстве.
Изменение параметров среды изготовителя
Этот параметр политики определяет возможность изменения переменных среды компьютера
процессами (с помощью API) или пользователями (с помощью свойств системы). Любой
пользователь, имеющий это право, может настроить параметры аппаратного компонента так, что это
приведет к сбою в его работе. Следствием сбоя может быть искажение данных или отказ в
обслуживании.
В средах LC и EC параметру Изменение значений параметров аппаратной среды присваивается
значение Не определен. В среде SSLF это право пользователя назначается только членам группы
Администраторы.
Выполнение задач по обслуживанию томов
Этот параметр политики определяет, могут ли пользователи без прав администратора или удаленные
пользователи управлять томами или дисками. Пользователь, имеющий это право, может удалить том,
вызвав утрату данных или отказ в обслуживании.
В средах LC и EC параметру Выполнение задач по обслуживанию томов присваивается значение
Не определен. В среде SSLF это право пользователя назначается только членам группы
Администраторы.
Профилирование отдельного процесса
Этот параметр политики определяет, каким пользователям разрешено использовать средства для
наблюдения за производительностью несистемных процессов. Это право пользователя подвергает
систему умеренному риску, позволяя хакеру следить за производительностью компьютера с целью
определения критически важных процессов, которые можно попытаться атаковать непосредственно.
Хакер может также узнать, какие процессы выполняются на компьютере, и выяснить благодаря этому,
чего ему следует остерегаться, например антивирусных программ, системы обнаружения вторжений
или других пользователей, вошедших в систему.
В средах LC и EC параметру Профилирование отдельного процесса присваивается значение Не
определен. В среде SSLF ради улучшения защиты нужно убедиться в том, что это право не назначено
группе Опытные пользователи; в этой среде им должны обладать только члены группы
Администраторы.
Профилирование производительности системы
Этот параметр политики похож на предыдущий. Он определяет, могут ли пользователи следить за
производительностью системных процессов. Это право пользователя подвергает систему умеренному
риску, позволяя хакеру следить за производительностью компьютера с целью определения критически
важных процессов, которые можно попытаться атаковать непосредственно. Хакер может также узнать,
какие процессы выполняются на компьютере, и выяснить благодаря этому, чего ему следует
остерегаться, например антивирусных программ или системы обнаружения вторжений.
В средах LC и EC параметру Профилирование производительности системы присваивается
значение Не определен. В среде SSLF это право пользователя назначается только членам группы
Администраторы.
Отключение компьютера от стыковочного узла
Этот параметр политики определяет, может ли пользователь портативного компьютера отключить его
от стыковочного узла, выбрав пункт Извлечь компьютер в меню Пуск. Любой пользователь,
имеющий это право, может отключить портативный компьютер от стыковочного узла.
В средах LC и EC параметру Отключение компьютера от стыковочного узла присваивается
значение Не определен. В среде SSLF это право пользователя назначается только членам группы
Администраторы.
Замена маркера уровня процесса
Этот параметр политики определяет, может ли родительский процесс заменить маркер доступа,
сопоставленный с дочерним процессом.
В средах LC и EC параметру Замена маркера уровня процесса присваивается значение Не
определен. В среде SSLF это право пользователя назначается только учетным записям «ЛОКАЛЬНАЯ
СЛУЖБА» и «СЕТЕВАЯ СЛУЖБА».
Восстановление файлов и каталогов
Этот параметр политики определяет пользователей, которые могут обходить разрешения на работу с
файлами, каталогами, реестром и другими постоянными объектами при восстановлении файлов и
каталогов из резервных копий. Кроме того, он определяет пользователей, которые могут назначить
любого действительного участника безопасности владельцем объекта.
В средах LC и EC параметру Восстановление файлов и каталогов присваивается значение Не
определен. В среде SSLF это право пользователя назначается только членам группы
Администраторы. Задачи восстановления файлов обычно выполняются администраторами или
членами другой специальной группы безопасности. Это особенно характерно для важных серверов и
контроллеров домена.
Завершение работы системы
Этот параметр политики определяет, каким локальным пользователям разрешено завершать работу
операционной системы командой Завершение работы. Неправильное использование этой
возможности может привести к отказу в обслуживании, поэтому правом завершать работу
контроллеров домена должны обладать лишь немногие администраторы, заслуживающие доверия.
Несмотря на то, что для завершения работы системы необходима возможность входа на сервер,
предоставлять право на завершение работы контроллера домена тем или иным учетным записям и
группам следует с большой осторожностью.
В средах LC и EC параметру Завершение работы системы присваивается значение Не определен.
В среде SSLF это право пользователя назначается только членам группы Администраторы.
Синхронизация данных службы каталогов
Этот параметр политики определяет, может ли процесс выполнять чтение всех объектов и свойств в
каталоге независимо от того, защищены ли эти объекты и свойства. Это право пользователя
необходимо для использования служб синхронизации каталогов LDAP (Dirsync).
Параметр Синхронизация данных службы каталогов имеет по умолчанию значение Не
определен; для сред LC и EC этого достаточно. Однако в среде SSLF этому параметру политики
присваивается значение NULL или пустое значение, то есть данное право не предоставляется никаким
группам безопасности или учетным записям.
Смена владельцев файлов и других объектов
Этот параметр политики определяет, могут ли пользователи становиться владельцами любых
защищаемых объектов в сети, включая объекты Active Directory, файлы файловой системы NTFS,
папки, принтеры, разделы реестра, службы, процессы и потоки.
В средах LC и EC параметру Смена владельцев файлов и других объектов присваивается значение
Не определен. В среде SSLF это право пользователя следует назначить только локальной группе
Администраторы.
Параметры безопасности
Параметры безопасности групповой политики используются для включения и отключения таких
функций, как доступ к дисководам гибких дисков и компакт-дисков и отображение сообщений при
входе в систему. Эти параметры политики также используются для настройки множества других
параметров, таких как параметры цифровой подписи данных, имена учетных записей администратора
и гостя и процесс установки драйверов.
В Windows Server 2003 с пакетом обновления 1 параметры безопасности можно настроить в следующем
разделе редактора объектов групповой политики:
Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\
Локальные политики\Параметры безопасности
Не все параметры, описанные в этом разделе, доступны на всех типах систем. Таким образом, чтобы
полностью задействовать параметры безопасности групповой политики, определенные в этом разделе,
их, возможно, придется изменить вручную на компьютерах, где такие параметры имеются.
В следующих разделах описаны рекомендованные настройки параметров безопасности в базовых
политиках рядовых серверов для всех трех сред, определенных в данном руководстве. Обзорные
сведения о рекомендованных настройках см. в рабочей книге Microsoft Excel «Параметры безопасности
Windows Server 2003», прилагаемой к версии данного руководства, которую можно загрузить из
Интернета. Сведения о конфигурации по умолчанию и подробное описание каждого параметра см. в
дополнительном руководстве Угрозы и меры противодействия: параметры безопасности в
Windows Server 2003 и Windows XP.
В таблицах следующих разделов приведены рекомендации по настройке параметров безопасности
разных категорий. Дополнительные сведения об этих параметрах приведены в подразделах,
следующих за каждой таблицей.
Параметры учетных записей
Таблица 4.12. Параметры безопасности: рекомендации по настройке параметров учетных
записей
Параметр
Среда
устаревших
клиентов
Среда
корпоративных
клиентов
Специальная безопасная
среда с ограниченной
функциональностью
Состояние учетной записи
Не определен
Не определен
Включен
Отключен
Отключен
Отключен
Включен
Включен
Включен
«Администратор»
Состояние учетной записи
«Гость»
Ограничить
использование пустых
паролей только для
консольного входа
Учетные записи: состояние учетной записи «Администратор»
Этот параметр политики включает или отключает учетную запись администратора в процессе обычной
работы. При загрузке в безопасном режиме учетная запись «Администратор» всегда включена, вне
зависимости от значения данного параметра.
Параметру Учетные записи: состояние учетной записи «Администратор» присваивается
значение Не определен в средах LC и EC и значение Включен в среде SSLF.
Учетные записи: состояние учетной записи «Гость»
Этот параметр политики определяет, включена или отключена учетная запись гостя. Данная учетная
запись позволяет пользователям, не прошедшим проверку подлинности, получать доступ к компьютеру
через сеть в качестве гостей.
Параметру Учетные записи: состояние учетной записи «Гость» присваивается значение
Отключен в базовых политиках всех трех сред, определенных в данном руководстве.
Учетные записи: ограничить использование пустых паролей только для консольного
входа
Этот параметр политики определяет, можно ли использовать не защищенные паролем локальные
учетные записи для входа в систему из местоположений, отличных от физической консоли
компьютера. Если этот параметр политики включен, пользователи, имеющие локальные учетные
записи с непустыми паролями, не могут входить в сеть с удаленных клиентских систем, а пользователи
с локальными учетными записями, которые не защищены паролем, могут входить в систему только с
помощью клавиатуры компьютера.
Параметр Учетные записи: ограничить использование пустых паролей только для
консольного входа имеет значение по умолчанию Включен в базовых политиках всех трех сред,
определенных в данном руководстве.
Параметры аудита
Таблица 4.13. Параметры безопасности: рекомендации по настройке параметров аудита
Параметр
Среда
устаревших
клиентов
Среда корпоративных Специальная безопасная
среда с ограниченной
клиентов
функциональностью
Аудит доступа
Отключен
Отключен
Отключен
Отключен
Отключен
Отключен
Отключен
Отключен
Включен
глобальных системных
объектов
Аудит прав на
архивацию и
восстановление
Немедленное
отключение системы,
если невозможно внести
в журнал записи об
аудите безопасности
Аудит: аудит доступа глобальных системных объектов
Этот параметр политики определяет необходимость аудита доступа глобальных системных объектов.
Если включены параметры Аудит: аудит доступа глобальных системных объектов и Выполнять
аудит доступа к объектам, регистрируется большое количество событий аудита.
Параметр Аудит: аудит доступа глобальных системных объектов имеет значение по умолчанию
Отключен в базовых политиках всех трех сред, определенных в данном руководстве.
Примечание. Изменение этого параметра политики вступит в действие только после перезагрузки
системы Windows Server 2003.
Аудит: аудит прав на архивацию и восстановление
Этот параметр политики определяет, следует ли проводить аудит всех привилегий пользователя,
включая право на архивацию и восстановление, при включенном параметре Аудит использования
привилегий. Если этот параметр включен, может создаваться большое число событий безопасности,
что замедляет работу серверов и вызывает заполнение журнала безопасности многочисленными
практически бесполезными записями.
Таким образом, параметр Аудит: аудит прав на архивацию и восстановление имеет значение по
умолчанию Отключен в базовых политиках всех трех сред, определенных в данном руководстве.
Примечание. Изменение этого параметра политики вступит в действие только после перезагрузки
системы Windows Server 2003.
Аудит: немедленное отключение компьютера, если невозможно внести в журнал
записи об аудите безопасности
Этот параметр политики определяет, следует ли немедленно отключать компьютер, если невозможно
записать в журнал события безопасности.
Тестирование показало, что включение параметра Аудит: немедленное отключение компьютера,
если невозможно внести в журнал записи об аудите безопасности в средах LC и EC связано со
значительным увеличением объема административной работы. Таким образом, в базовых политиках
этих сред данному параметру политики присваивается значение Отключен. Однако в базовой
политике среды SSLF этому параметру политики присваивается значение Включен, потому что в
данном случае дополнительная нагрузка на администраторов менее важна, чем предотвращение
удаления событий из журнала безопасности.
Параметры устройств
Таблица 4.14. Параметры безопасности: рекомендации по настройке параметров устройств
Параметр
Среда
устаревших
клиентов
Среда
корпоративных
клиентов
Специальная безопасная
среда с ограниченной
функциональностью
Разрешать отстыковку без
Отключен
Отключен
Отключен
«Администраторы»
«Администраторы»
«Администраторы»
Включен
Включен
Включен
Не определен
Не определен
Отключен
Не определен
Не определен
Отключен
входа в систему
Разрешено форматировать и
извлекать съемные носители
Запретить пользователям
установку драйверов
принтера
Разрешить доступ к
дисководам компакт-дисков
только локальным
пользователям
Разрешить доступ к
дисководам гибких дисков
только локальным
пользователям
Поведение при установке
Предупреждать, но Предупреждать, но Предупреждать, но
неподписанного драйвера
разрешать
разрешать
установку
установку
разрешать установку
Устройства: разрешать отстыковку без входа в систему
Этот параметр политики определяет, можно ли отстыковывать переносной компьютер без входа в
систему. Если этот параметр политики включен, входить в систему не требуется, а для отстыковки
компьютера можно использовать внешнюю аппаратную кнопку извлечения. Если этот параметр
отключен, пользователю, не вошедшему в систему, должно быть назначено право пользователя
Отключение компьютера от стыковочного узла.
Параметру Устройства: разрешать отстыковку без входа в систему присваивается значение
Отключен в базовых политиках всех трех сред, определенных в данном руководстве.
Устройства: разрешено форматировать и извлекать съемные носители
Этот параметр политики определяет, кому разрешено форматировать и извлекать съемные носители.
На серверах правом извлекать съемные носители должны обладать только администраторы.
Таким образом, в базовых политиках всех трех сред, определенных в данном руководстве, параметр
Устройства: разрешено форматировать и извлекать съемные носители имеет значение по
умолчанию Администраторы.
Устройства: запретить пользователям установку драйверов принтера
Чтобы компьютер мог использовать сетевой принтер, на нем должен быть установлен драйвер этого
сетевого принтера. Если параметр Устройства: запретить пользователям установку драйверов
принтера включен, устанавливать драйвер принтера при добавлении сетевого принтера разрешается
только членам групп Администраторы и Опытные пользователи, а также пользователям,
обладающим привилегиями оператора сервера. Если этот параметр отключен, установить драйвер
принтера может любой пользователь.
Параметр Устройства: запретить пользователям установку драйверов принтера имеет значение
по умолчанию Включен в базовых политиках всех трех сред, определенных в данном руководстве.
Устройства: разрешить доступ к дисководам компакт-дисков только локальным
пользователям
Этот параметр политики определяет, будет ли дисковод компакт-дисков доступен одновременно и
локальным, и удаленным пользователям. Если этот параметр включен, доступ к компакт-дискам
разрешен только пользователям, вошедшим в систему интерактивно. Если он включен, но никто не
вошел в систему интерактивно, дисковод компакт-дисков доступен через сеть.
В базовых политиках сред LC и EC параметру Устройства: разрешить доступ к дисководам
компакт-дисков только локальным пользователям присваивается значение Не определен. В
базовой политике среды SSLF ему присваивается значение Отключен.
Устройства: разрешить доступ к дисководам гибких дисков только локальным
пользователям
Этот параметр политики определяет, доступны ли съемные дисководы гибких дисков одновременно
локальным и удаленным пользователям. Если данный параметр включен, доступ к съемным
дисководам гибких дисков разрешен только пользователям, вошедшим в систему интерактивно. Если
он включен, но никто не вошел в систему интерактивно, дисководы гибких дисков доступны через
сеть.
В базовых политиках сред LC и EC параметру Устройства: разрешить доступ к дисководам гибких
дисков только локальным пользователям присваивается значение Не определен. В базовой
политике среды SSLF ему присваивается значение Отключен.
Устройства: поведение при установке неподписанного драйвера
Этот параметр политики определяет, что произойдет при попытке установки драйвера устройства
(средствами API-интерфейса установки), который не был проверен и подписан в лабораториях
Windows Hardware Quality Lab (WHQL). В зависимости от значения этого параметра политики система
блокирует установку неподписанных драйверов или предупреждает администратора о попытке
установки таких драйверов.
Параметр Устройства: поведение при установке неподписанного драйвера можно использовать
для предотвращения установки драйверов, которые не были сертифицированы для системы
Windows Server 2003 с пакетом обновления 1. Однако в базовых политиках всех трех сред,
определенных в данном руководстве, этому параметру политики присваивается значение
Предупреждать, но разрешать установку. Одна из возможных проблем, связанных с этим
параметром, заключается в том, что установить неподписанные драйверы с помощью сценариев
автоматической установки не удастся.
Параметры членов домена
Таблица 4.15. Параметры безопасности: Рекомендации по настройке параметров членов
домена
Параметр
Среда
устаревших
клиентов
Среда
корпоративных
клиентов
Специальная
безопасная среда с
ограниченной
функциональностью
Всегда требуется цифровая подпись
Отключен
Включен
Включен
Включен
Включен
Включен
Включен
Включен
Включен
Отключен
Отключен
Отключен
30 дней
30 дней
30 дней
Включен
Включен
Включен
или шифрование потока данных
безопасного канала
Шифрование данных безопасного
канала, когда это возможно
Цифровая подпись данных
безопасного канала, когда это
возможно
Отключить изменение пароля
учетных записей компьютера
Максимальный срок действия пароля
учетных записей компьютера
Требование стойкого ключа сеанса
(Windows 2000, Windows XP или
Windows Server 2003)
Член домена: всегда требуется цифровая подпись или шифрование потока данных
безопасного канала
Этот параметр политики определяет, следует ли подписывать или шифровать весь трафик безопасного
канала, инициированный членом домена. Если компьютер настроен так, чтобы данные безопасного
канала шифровались или подписывались всегда, он не сможет установить безопасный канал с
контроллером домена, который не может подписывать или шифровать весь трафик безопасного
канала.
Параметру Член домена: всегда требуется цифровая подпись или шифрование данных
безопасного канала присваивается значение Отключен в базовой политике среды LC и значение
Включен в базовых политиках сред EC и SSLF.
Примечание. Чтобы можно было воспользоваться преимуществами этого параметра на рядовых
рабочих станциях и серверах, все контроллеры домена в их домене должны работать под управлением
системы Windows NT 4.0 с пакетом обновления 6a или более поздней версии Windows. Следует также
отметить, что этот параметр политики не поддерживается клиентами под управлением Windows 98
второго издания, если на них не установлена программа Dsclient.
Член домена: шифрование данных безопасного канала, когда это возможно
Этот параметр политики определяет, может ли член домена предпринимать попытку шифрования всего
инициированного им трафика безопасного канала. Если этот параметр политики включен, член домена
будет запрашивать шифрование всего трафика безопасного канала. Если он отключен, члену домена
не разрешается предпринимать попытки шифрования трафика безопасного канала.
Таким образом, параметру Член домена: шифрование данных безопасного канала, когда это
возможно присваивается значение Включен в базовых политиках всех трех сред, определенных в
данном руководстве.
Член домена: цифровая подпись данных безопасного канала, когда это возможно
Этот параметр политики определяет, может ли член домена предпринимать попытку подписания всего
инициированного им трафика безопасного канала. Требование подписания трафика предотвращает его
изменение пользователями, имеющими возможность перехватить данные.
Параметру Член домена: цифровая подпись данных безопасного канала, когда это возможно
присваивается значение Включен в базовых политиках всех трех сред, определенных в данном
руководстве.
Член домена: отключить изменение пароля учетных записей компьютера
Этот параметр политики определяет, может ли член домена периодически изменять пароль учетной
записи своего компьютера. Если этот параметр политики включен, член домена не сможет изменять
пароль учетной записи своего компьютера. Если этот параметр политики отключен, член домена
сможет изменять пароль учетной записи своего компьютера в соответствии с параметром Член
домена: максимальный срок действия пароля учетных записей компьютера, значение
которого по умолчанию составляет 30 дней.
Компьютеры, которые не могут автоматически изменять пароли своих учетных записей, подвергаются
риску атак со стороны пользователей, способных узнать пароль учетной записи домена компьютера.
Таким образом, параметру Член домена: отключить изменение пароля учетных записей
компьютера присваивается значение Отключен в базовых политиках всех трех сред, определенных
в данном руководстве.
Член домена: максимальный срок действия пароля учетных записей компьютера
Этот параметр политики определяет максимально допустимый срок действия пароля учетной записи
компьютера. Этот параметр применяется также к компьютерам под управлением Windows 2000, но на
этих компьютерах к нему нельзя получить доступ через диспетчер настройки безопасности. По
умолчанию члены домена автоматически меняют свои доменные пароли каждые 30 дней. Если
значительно увеличить этот интервал или присвоить ему значение 0, чтобы компьютеры не меняли
пароли, хакер получит дополнительное время на проведение атак методом перебора паролей для
угадывания пароля одной или нескольких учетных записей.
Таким образом, параметру Член домена: максимальный срок действия пароля учетных записей
компьютера присваивается значение 30 дней в базовых политиках всех трех сред, определенных в
данном руководстве.
Член домена: требует стойкого ключа сеанса (Windows 2000 или выше)
Этот параметр политики определяет, требуется ли для зашифрованных данных безопасного канала
128-разрядный ключ. Если этот параметр включен, безопасный канал не может быть создан без 128разрядного шифрования. Если этот параметр политики отключен, член домена должен согласовать
разрядность ключа с контроллером домена. Ключи сеанса, используемые для создания защищенных
каналов коммуникации между контроллерами домена и рядовыми компьютерами, в системе
Windows 2000 гораздо более надежны, чем в предыдущих операционных системах Майкрософт.
Так как три среды безопасности, описываемых в этом руководстве, включают контроллеры домена под
управлением системы Windows 2000 или более поздней версии Windows, параметру Член домена:
требует стойкого ключа сеанса (Windows 2000 или выше) в базовых политиках всех трех сред
присваивается значение Включен.
Примечание. Если этот параметр политики включен, присоединить компьютеры под управлением
Windows 2000 к доменам Windows NT 4.0 невозможно.
Параметры интерактивного входа в систему
Таблица 4.16. Параметры безопасности: рекомендации по настройке параметров
интерактивного входа в систему
Параметр
Среда устаревших
клиентов
Среда
корпоративных
клиентов
Специальная безопасная
среда с ограниченной
функциональностью
Отображать сведения
Не определен
Не определен
Выводимое имя
о пользователе, если
пользователя, имена домена
сеанс заблокирован
и пользователя
Не отображать
Включен
Включен
Включен
Отключен
Отключен
Отключен
Текст сообщения для
(Обратитесь к
(Обратитесь к
(Обратитесь к
пользователей при
соответствующим
соответствующим
соответствующим
входе в систему
сотрудникам своей
сотрудникам своей
сотрудникам своей
организации.)
организации.)
организации.)
Заголовок сообщения
(Обратитесь к
(Обратитесь к
(Обратитесь к
для пользователей
соответствующим
соответствующим
соответствующим
при входе в систему
сотрудникам своей
сотрудникам своей
сотрудникам своей
организации.)
организации.)
организации.)
1
0
0
14 дней
14 дней
14 дней
Включен
Включен
Включен
Требуется смарт-карта Не определен
Не определен
Отключен
Поведение при
Блокировка рабочей
Блокировка рабочей
станции
станции
последнего имени
пользователя
Не требовать нажатия
CTRL+ALT+DEL
Количество
предыдущих
подключений к кэшу
(в случае отсутствия
доступа к
контроллеру домена)
Напоминать
пользователям об
истечении срока
действия пароля
заранее
Требовать проверки
на контроллере
домена для отмены
блокировки
компьютера
извлечении смарт-
Не определен
карты
Интерактивный вход в систему: отображать сведения о пользователе, если сеанс
заблокирован
Этот параметр политики определяет, будет ли отображаться имя учетной записи последнего
пользователя, входившего в систему, на экране входа в систему Windows соответствующего
клиентского компьютера организации. Если этот параметр политики включен, злоумышленники не
смогут подсмотреть имена учетных записей на экранах настольных или портативных компьютеров в
организации.
В средах LC и EC параметру Интерактивный вход в систему: отображать сведения о
пользователе, если сеанс заблокирован присваивается значение Не определен. В базовой
политике серверов среды SSLF ему присваивается значение Выводимое имя пользователя, имена
домена и пользователя.
Интерактивный вход в систему: не отображать последнего имени пользователя
Этот параметр политики определяет, будет ли в экране входа в систему показано имя последнего
пользователя, выполнившего вход. Если этот параметр включен, в диалоговом окне входа в Windows
имя последнего пользователя, выполнившего вход, отображаться не будет.
Параметру Интерактивный вход в систему: не отображать последнего имени пользователя
присваивается значение Включен в базовых политиках всех трех сред, определенных в данном
руководстве.
Интерактивный вход в систему: не требовать нажатия CTRL+ALT+DEL
Этот параметр политики определяет, требуется ли нажать клавиши CTRL+ALT+DEL перед входом в
систему. Если этот параметр отключен, нажатие клавиш CTRL+ALT+DEL обязательно для любого
пользователя (кроме случаев, когда для входа в систему Windows используется смарт-карта).
Параметру Интерактивный вход в систему: не требовать нажатия CTRL+ALT+DEL присваивается
значение Отключен в базовых политиках всех трех сред, определенных в данном руководстве. Это
снижает вероятность того, что хакер сможет перехватить пароли пользователей с помощью троянской
программы.
Интерактивный вход в систему: текст сообщения для пользователей при входе в
систему
Этот параметр политики задает текстовое сообщение, отображаемое при входе пользователя в систему.
Как правило, этот текст используется в правовых целях, например, чтобы предупредить пользователей
о последствиях несанкционированного доступа или разглашения коммерческой тайны или о том, что их
действия могут контролироваться.
Использовать параметр безопасности Интерактивный вход в систему: текст сообщения для
пользователей при входе в систему рекомендуется, но не требуется. Чтобы определить содержание
текста сообщения для пользователей при входе в систему, свяжитесь с соответствующими
сотрудниками своей организации.
Примечание. Параметры Интерактивный вход в систему: текст сообщения для пользователей
при входе в систему и Интерактивный вход в систему: заголовок сообщения для
пользователей при входе в систему функционируют должным образом только в том случае, если
оба они включены.
Интерактивный вход в систему: заголовок сообщения для пользователей при входе в
систему
Этот параметр политики позволяет указать заголовок диалогового окна, отображаемого при входе
пользователя в систему. Этот параметр политики имеет то же предназначение, что и параметр Текст
сообщения для пользователей при входе в систему.
Таким образом, использовать параметр Интерактивный вход в систему: заголовок сообщения
для пользователей при входе в систему рекомендуется, но не требуется. Чтобы определить
содержание текста сообщения для пользователей при входе в систему, свяжитесь с соответствующими
сотрудниками своей организации.
Примечание. Параметры Интерактивный вход в систему: текст сообщения для пользователей
при входе в систему и Интерактивный вход в систему: заголовок сообщения для
пользователей при входе в систему функционируют должным образом только в том случае, если
оба они включены.
Интерактивный вход в систему: количество предыдущих подключений к кэшу (в
случае отсутствия доступа к контроллеру домена)
Этот параметр политики определяет, разрешено ли пользователю входить в домен Windows, используя
кэшированные данные об учетной записи. Данные об учетных записях домена можно кэшировать на
локальной системе, чтобы при отсутствии доступа к контроллеру домена при последующих попытках
входа в систему в нее все же можно было войти. Так как при этом рабочая станция не связывается с
контроллером домена, пользователь может получить возможность войти в систему после отключения
или удаления его учетной записи. Этот параметр политики определяет количество уникальных
пользователей, для которых данные о входе в систему локально кэшируются. Если присвоить ему
значение 0, кэширование данных о входе в систему будет отключено.
В базовой политике сред EC и SSLF параметру политики Интерактивный вход в систему:
количество предыдущих подключений к кэшу (в случае отсутствия доступа к контроллеру
домена) присваивается значение 0. В среде LC этому параметру присваивается значение 1, чтобы
разрешить вход для клиентских систем при отсутствии у них доступа к контроллеру домена.
Интерактивный вход в систему: напоминать пользователям об истечении срока
действия пароля заранее
Этот параметр политики определяет, за сколько дней пользователи предупреждаются об истечении
срока действия пароля. В разделе «Политики учетных записей» главы 3 рекомендуется настраивать
пароли пользователей так, чтобы срок их действия периодически истекал. Если не уведомлять
пользователей о скором истечении срока действия их паролей, они могут испытать замешательство,
когда этот момент все-таки наступит. Кроме того, неожиданное истечение срока действия паролей
делает невозможным для удаленных пользователей вход в систему через коммутируемое подключение
или VPN-подключение.
Таким образом, параметр Интерактивный вход в систему: напоминать пользователям об
истечении срока действия пароля заранее имеет значение по умолчанию 14 дней в базовых
политиках всех трех сред, определенных в данном руководстве.
Интерактивный вход в систему: требовать проверки на контроллере домена для
отмены блокировки компьютера
Для учетных записей домена этот параметр политики определяет, необходимо ли связываться с
контроллером домена для отмены блокировки компьютера. Этот параметр и параметр Интерактивный
вход в систему: количество предыдущих подключений к кэшу (в случае отсутствия доступа к
контроллеру домена) устраняют похожие уязвимости. Пользователь может отсоединить сетевой
кабель от сервера, разблокировать сервер с помощью старого пароля и получить к нему доступ без
проверки подлинности.
Чтобы предотвратить это, параметру Интерактивный вход в систему: требовать проверки на
контроллере домена для отмены блокировки компьютера присваивается значение Включен в
базовых политиках всех трех сред, определенных в данном руководстве.
Внимание! Этот параметр политики применяется на компьютерах под управлением Windows 2000,
Windows XP и Windows Server 2003, но недоступен через диспетчер конфигурации безопасности на
компьютерах под управлением Windows 2000.
Интерактивный вход в систему: требуется смарт-карта
Этот параметр политики требует использования смарт-карты для входа в систему. Требование
использовать длинные сложные пароли повышает безопасность, особенно если их к тому же требуется
регулярно менять. Это уменьшает вероятность того, что злоумышленник сможет угадать пароль
методом перебора. Однако проследить за тем, надежные ли пароли выбирают пользователи, трудно, к
тому же даже надежные пароли уязвимы для атак, основанных на переборе паролей.
Использование смарт-карт вместо паролей для проверки подлинности существенно улучшает
безопасность, практически исключая вероятность того, что хакеру удастся выдать себя за другого
пользователя. Смарт-карты, требующие применения ПИН-кодов, обеспечивают двойную проверку
подлинности: пользователь должен иметь смарт-карту и знать ее ПИН-код. Хакеру, перехватившему
трафик проверки подлинности между компьютером пользователя и контроллером домена, будет крайне
сложно дешифровать этот трафик. Даже если ему это удастся, при следующем входе пользователя в
сеть будет создан новый ключ сеанса для шифрования трафика между компьютером пользователя и
контроллером домена.
Корпорация Майкрософт рекомендует организациям перейти на использование смарт-карт или других
надежных технологий проверки подлинности. Однако включать параметр Интерактивный вход в
систему: требуется смарт-карта следует только в том случае, если технология смарт-карт уже
реализована. По этой причине в базовых политиках сред LC и EC данному параметру присваивается
значение Не определен. В базовой политике среды SSLF ему присваивается значение Отключен.
Интерактивный вход в систему: поведение при извлечении смарт-карты
Этот параметр политики определяет, что происходит при извлечении смарт-карты вошедшего
пользователя из устройства чтения смарт-карт. Если этому параметру присвоено значение
Блокировка рабочей станции, при извлечении смарт-карты рабочая станция будет блокироваться,
чтобы пользователи могли оставлять рабочие места, забирая смарт-карты с собой. Если этому
параметру присвоено значение Принудительный выход из системы, при извлечении смарт-карты
автоматически осуществляется выход пользователя из системы.
Параметру Интерактивный вход в систему: поведение при извлечении смарт-карты
присваивается значение Не определен в базовой политике среды LC и значение Блокировка
рабочей станции в базовых политиках сред EC и SSLF.
Параметры клиента сети Microsoft
Таблица 4.17. Параметры безопасности: рекомендации по настройке параметров клиента
сети Microsoft
Параметр
Среда
устаревших
клиентов
Среда
корпоративных
клиентов
Специальная
безопасная среда с
ограниченной
функциональностью
Использовать цифровую
Отключен
Включен
Включен
Включен
Включен
Включен
Отключен
Отключен
Отключен
подпись (всегда)
Использовать цифровую
подпись (с согласия сервера)
Посылать незашифрованный
пароль сторонним SMBсерверам
Клиент сети Microsoft: использовать цифровую подпись (всегда)
Этот параметр политики определяет, требуется ли для клиентского компонента SMB цифровая подпись
пакетов. Если этот параметр включен, клиенты сети Microsoft не смогут взаимодействовать с сервером
сети Microsoft, пока сервер не согласится выполнять подписывание SMB-пакетов. В смешанных средах
с устаревшими клиентскими компьютерами этому параметру следует присвоить значение Отключен,
поскольку эти компьютеры не смогут выполнить проверку подлинности или получить доступ к
контроллерам домена. Однако в средах с компьютерами, работающими под управлением
Windows 2000, Windows XP и Windows Server 2003, этот параметр использовать можно. Среды EC и
SSLF, рассматриваемые в данном руководстве, содержат компьютеры, работающие под управлением
только этих операционных систем, поддерживающих цифровые подписи.
Таким образом, для обеспечения более высокой безопасности связи между компьютерами в базовых
политиках сред EC и SSLF параметру Клиент сети Microsoft: использовать цифровую подпись
(всегда) присваивается значение Включен.
Клиент сети Microsoft: использовать цифровую подпись (с согласия сервера)
Этот параметр политики определяет, следует ли SMB-клиенту предпринять попытку подписывать SMBпакеты. Реализация цифровой подписи в сетях Windows помогает защититься от перехвата сеансов.
Если этот параметр политики включен, клиенты сети Microsoft на рядовых серверах будут запрашивать
подписи только в том случае, если серверы, с которыми они взаимодействуют, принимают
подписанные данные.
Параметру Клиент сети Microsoft: использовать цифровую подпись (с согласия сервера)
присваивается значение Включен в базовых политиках всех трех сред, рассматриваемых в данном
руководстве.
Клиент сети Microsoft: посылать незашифрованный пароль сторонним SMB-серверам
Если этот параметр политики включен, перенаправителю SMB разрешается отправлять пароли
открытым текстом SMB-серверам сторонних производителей, которые не поддерживают шифрование
паролей во время проверки подлинности.
Параметр Клиент сети Microsoft: посылать незашифрованный пароль сторонним SMBсерверам имеет значение по умолчанию Отключен в базовых политиках всех трех сред,
рассматриваемых в данном руководстве, если только параметры приложения не переопределяют
требование хранить секретные пароли.
Параметры сервера сети Microsoft
Таблица 4.18. Параметры безопасности: рекомендации по настройке параметров сервера
сети Microsoft
Параметр
Среда
устаревших
клиентов
Среда
корпоративных
клиентов
Специальная
безопасная среда с
ограниченной
функциональностью
Длительность простоя перед
15 минут
15 минут
15 минут
Отключен
Включен
Включен
Включен
Включен
Включен
Включен
Включен
Включен
отключением сеанса
Использовать цифровую
подпись (всегда)
Использовать цифровую
подпись (с согласия клиента)
Отключать клиентов по
истечении разрешенных часов
входа
Сервер сети Microsoft: длительность простоя перед отключением сеанса
Этот параметр политики определяет время непрерывного простоя, которое должно пройти в сеансе
SMB, перед тем как сеанс будет отключен из-за бездействия. Администраторы могут использовать этот
параметр политики для контроля отключения компьютером неактивного сеанса SMB. Если активность
клиента возобновляется, сеанс автоматически восстанавливается.
Параметру Сервер сети Microsoft: длительность простоя перед отключением сеанса
присваивается значение 15 минут в базовых политиках всех трех сред, рассматриваемых в данном
руководстве.
Сервер сети Microsoft: использовать цифровую подпись (всегда)
Этот параметр политики определяет, должен ли SMB-сервер требовать подписывания пакетов, прежде
чем будет разрешено дальнейшее взаимодействие с SMB-клиентом. Системы Windows 2000 Server,
Windows 2000 Professional, Windows Server 2003 и Windows XP Professional включают версии SMB,
поддерживающие технологию взаимной проверки подлинности. Она блокирует попытки перехвата
сеансов и поддерживает проверку подлинности сообщений для предотвращения атак типа
«злоумышленник в середине». Подписывание SMB обеспечивает такую проверку подлинности путем
интеграции в каждый пакет SMB цифровой подписи, которая затем проверяется и клиентом, и
сервером. Если настроить компьютеры так, чтобы они игнорировали все неподписанные пакеты SMB,
унаследованные приложения и операционные системы не смогут устанавливать подключения. Если
подписывание пакетов SMB полностью отключено, компьютеры уязвимы перед атаками,
направленными на перехват сеансов связи.
Параметру Сервер сети Microsoft: использовать цифровую подпись (всегда) присваивается
значение Отключен в базовой политике среды LC и значение Включен в базовых политиках сред EC
и SSLF.
Сервер сети Microsoft: использовать цифровую подпись (с согласия клиента)
Этот параметр политики определяет, будет ли SMB-сервер выполнять согласование подписания
пакетов SMB с запросившими это клиентами. Системы Windows 2000 Server, Windows 2000 Professional,
Windows Server 2003 и Windows XP Professional включают версии SMB, поддерживающие технологию
взаимной проверки подлинности. Она блокирует попытки перехвата сеансов и поддерживает проверку
подлинности сообщений для предотвращения атак типа «злоумышленник в середине». Подписывание
SMB обеспечивает такую проверку подлинности путем интеграции в каждый пакет SMB цифровой
подписи, которая затем проверяется и клиентом, и сервером. Если настроить компьютеры так, чтобы
они игнорировали все неподписанные пакеты SMB, унаследованные приложения и операционные
системы не смогут устанавливать подключения. Если подписывание пакетов SMB полностью
отключено, компьютеры уязвимы перед атаками, направленными на перехват сеансов связи.
Параметру Сервер сети Microsoft: использовать цифровую подпись (с согласия клиента)
присваивается значение Включен в базовых политиках всех трех сред, определенных в данном
руководстве.
Сервер сети Microsoft: Отключать клиентов по истечении разрешенных часов входа
Этот параметр политики определяет, следует ли отключать пользователей, подключившихся к
сетевому компьютеру вне разрешенных часов для входа в систему. Этот параметр влияет на работу
компонента SMB. Если в организации для пользователей заданы допустимые часы входа в систему,
имеет смысл включить этот параметр политики. В противном случае пользователям следует запретить
получение доступа к сетевым ресурсам вне разрешенного интервала времени, или они смогут
продолжить использование этих ресурсов в сеансах, созданных в разрешенное время.
Параметру Сервер сети Microsoft: Отключать клиентов по истечении разрешенных часов
входа присваивается значение Включен в базовых политиках всех трех сред, определенных в данном
руководстве.
Параметры доступа к сети
Таблица 4.19. Параметры безопасности: рекомендации по настройке параметров доступа к
сети
Параметр
Среда устаревших
клиентов
Среда
корпоративных
клиентов
Специальная
безопасная среда с
ограниченной
функциональностью
Разрешить трансляцию
Не определен
Не определен
Отключен
Включен
Включен
Включен
анонимного SID в имя
Не разрешать
перечисление учетных
записей SAM
анонимными
пользователями
Не разрешать
Включен
Включен
Включен
Включен
Включен
Включен
Отключен
Отключен
Отключен
Не определен
Не определен
COMNAP, COMNODE,
перечисление учетных
записей SAM и общих
ресурсов анонимными
пользователями
Не разрешать
сохранение учетных
данных или цифровых
паспортов .NET для
сетевой проверки
подлинности
пользователя
Разрешать применение
разрешений для всех к
анонимным
пользователям
Разрешать анонимный
доступ к именованным
SQL\QUERY, SPOOLSS,
каналам
LLSRPC, netlogon, lsarpc,
samr, browser
Пути в реестре,
System\
System\
System\
доступные через
CurrentControlSet\
CurrentControlSet\
CurrentControlSet\
удаленное
Control\
Control\
Control\
подключение
Product Options;
Product Options;
Product Options;
System\
System\
System\
CurrentControlSet\
CurrentControlSet\
CurrentControlSet\
Control\
Control\
Control\
Server Applications;
Server Applications;
Server Applications;
Software\Microsoft\
Software\Microsoft\
Software\Microsoft\
Windows NT\
Windows NT\
Windows NT\Current
CurrentVersion
Current Version
Version
Пути и вложенные
(см. сведения о
(см. сведения о
(см. сведения о настройке
пути в реестре,
настройке в
настройке в
в следующем подразделе)
доступные через
следующем
следующем
удаленное
подразделе)
подразделе)
Включен
Включен
Включен
Не определен
Не определен
Нет
подключение
Запретить анонимный
доступ к именованным
каналам и общим
ресурсам
Разрешать анонимный
доступ к общим
ресурсам
Модель совместного
Обычная — локальные
Обычная — локальные
Обычная — локальные
доступа и
пользователи
пользователи
пользователи
безопасности для
удостоверяются как
удостоверяются как
удостоверяются как они
локальных учетных
они сами
они сами
сами
записей
Доступ к сети: разрешить трансляцию анонимного SID в имя
Этот параметр политики определяет, может ли анонимный пользователь запрашивать атрибуты SID
другого пользователя. Если этот параметр политики включен, локальный пользователь может с
помощью известного идентификатора безопасности администратора узнать реальное имя встроенной
учетной записи администратора, даже если она была переименована. После этого данную учетную
запись можно использовать для проведения атаки, основанной на переборе паролей.
В базовых политиках сред LC и EC параметру Доступ к сети: разрешить трансляцию анонимного
SID в имя присваивается значение Не определен. В базовой политике среды SSLF ему
присваивается значение Отключен.
Доступ к сети: не разрешать перечисление учетных записей SAM анонимными
пользователями
Этот параметр политики определяет, какие дополнительные разрешения будут предоставлены
анонимным подключениям к компьютеру. Windows разрешает анонимным пользователям совершать
определенные действия, такие как перечисление имен учетных записей домена. Это удобно, например,
когда администратору требуется предоставить доступ пользователям в доверенном домене, не
поддерживающем взаимное доверие. Но даже если этот параметр включен, анонимные пользователи
все же будут иметь доступ к любым ресурсам с разрешениями, которые явно предоставлены
специальной встроенной группе Анонимный вход.
Параметру Доступ к сети: не разрешать перечисление учетных записей SAM анонимными
пользователями присваивается значение Включен в базовых политиках всех трех сред,
определенных в данном руководстве.
Доступ к сети: не разрешать перечисление учетных записей SAM и общих ресурсов
анонимными пользователями
Этот параметр политики определяет, разрешено ли перечисление учетных записей SAM и общих
ресурсов анонимными пользователями.
Параметру Доступ к сети: не разрешать перечисление учетных записей SAM и общих ресурсов
анонимными пользователями присваивается значение Включен в базовых политиках всех трех
сред, определенных в данном руководстве.
Доступ к сети: не разрешать сохранение учетных данных или цифровых паспортов
.NET для сетевой проверки подлинности пользователя
Этот параметр политики определяет, сохраняются ли при проверке подлинности домена пароли,
учетные данные или цифровые паспорта Microsoft .NET в средстве сохранения имен и паролей.
Параметру Доступ к сети: не разрешать сохранение учетных данных или цифровых паспортов
.NET для сетевой проверки подлинности пользователя присваивается значение Включен в
базовых политиках всех трех сред, определенных в данном руководстве.
Примечание. Изменение этого параметра политики вступит в действие только после перезагрузки
системы Windows.
Доступ к сети: разрешать применение разрешений для всех к анонимным
пользователям
Этот параметр политики определяет, какие дополнительные разрешения будут предоставлены
анонимным подключениям к компьютеру. Если этот параметр политики включен, анонимным
пользователям Windows будет разрешено выполнять определенные действия, например перечислять
имена учетных записей домена и общих сетевых ресурсов. Злоумышленник может анонимно получить
список имен учетных записей и общих ресурсов, а затем использовать эти данные для подбора
паролей или осуществления атак методами социотехники.
Поэтому параметру Доступ к сети: разрешать применение разрешений для всех к анонимным
пользователям присваивается значение Отключен в базовых политиках всех трех сред,
определенных в данном руководстве.
Примечание. Домены, для которых включен этот параметр политики, не могут устанавливать или
поддерживать доверительные отношения с доменами или контроллерами домена под управлением
Windows NT 4.0.
Доступ к сети: разрешать анонимный доступ к именованным каналам
Этот параметр политики определяет, какие сеансы связи (именованные каналы) будут иметь атрибуты
и разрешения на анонимный доступ.
В среде SSLF параметр Доступ к сети: разрешать анонимный доступ к именованным каналам
должен иметь значения по умолчанию. Они соответствуют следующим именованным каналам.
•
COMNAP — доступ к сеансу SNA
•
COMNODE — доступ к сеансу SNA
•
SQL\QUERY — доступ к экземпляру SQL
•
SPOOLSS — служба диспетчера очереди печати
•
LLSRPC — служба учета лицензий
•
Netlogon — служба сетевого входа в систему
•
Lsarpc — доступ к LSA
•
Samr — доступ к SAM
•
browser — служба обозревателя компьютеров
Внимание! Если нужно включить этот параметр политики, убедитесь в том, что в его значения
добавлены только те именованные каналы, которые нужны для поддержки приложений в среде. Перед
использованием этого параметра политики в рабочей среде его нужно тщательно протестировать. Это
относится ко всем параметрам, описываемым в данном руководстве.
Доступ к сети: пути в реестре, доступные через удаленное подключение
Этот параметр политики определяет, какие пути в реестре доступны через сеть.
Параметр Доступ к сети: пути в реестре, доступные через удаленное подключение имеет
значение по умолчанию в базовых политиках всех трех сред, определенных в данном руководстве.
Примечание. Даже если этот параметр политики настроен, для того чтобы реестр был доступен
авторизованным пользователям через сеть, необходимо также запустить службу удаленного реестра.
Доступ к сети: пути и вложенные пути в реестре, доступные через удаленное
подключение
Этот параметр политики определяет, какие пути и вложенные пути в реестре доступны через сеть.
В базовых шаблонах безопасности всех трех сред, определенных в данном руководстве, параметр
Доступ к сети: пути и вложенные пути в реестре, доступные через удаленное подключение
должен иметь значения по умолчанию. Значения по умолчанию состоят из следующих путей и
вложенных путей реестра:
•
System\CurrentControlSet\Control\Print\Printers
•
System\CurrentControlSet\Services\Eventlog
•
Software\Microsoft\OLAP Server
•
Software\Microsoft\Windows NT\CurrentVersion\Print
•
Software\Microsoft\Windows NT\CurrentVersion\Windows
•
System\CurrentControlSet\Control\ContentIndex
•
System\CurrentControlSet\Control\Terminal Server
•
System\CurrentControlSet\Control\Terminal Server\UserConfig
•
System\CurrentControlSet\Control\Terminal Server\DefaultUserConfiguration
•
Software\Microsoft\Windows NT\CurrentVersion\Perflib
•
System\CurrentControlSet\Services\SysmonLog
Доступ к сети: запретить анонимный доступ к именованным каналам и общим
ресурсам
Это параметр политики можно использовать для ограничения анонимного доступа к общим ресурсам и
именованным каналам, заданным с помощью перечисленных ниже параметров.
•
Доступ к сети: разрешать анонимный доступ к именованным каналам
•
Доступ к сети: разрешать анонимный доступ к общим ресурсам
Параметру Доступ к сети: запретить анонимный доступ к именованным каналам и общим
ресурсам присваивается значение Включен в базовых политиках всех трех сред, определенных в
данном руководстве.
Доступ к сети: разрешать анонимный доступ к общим ресурсам
Этот параметр политики определяет, к каким сетевым папкам общего доступа разрешен анонимный
доступ. Конфигурация по умолчанию для этого параметра практически не имеет значения, поскольку
всем пользователям необходимо пройти проверку подлинности, прежде чем они смогут получить
доступ к общим ресурсам на сервере.
Параметру Доступ к сети: разрешать анонимный доступ к общим ресурсам присваивается
значение Не определен для сред LC и EC и значение Нет для среды SSLF.
Примечание. Этот параметр политики может быть очень опасным, потому что он обеспечивает доступ
к указанным общим ресурсам всем пользователям сети. Если он включен, возможны утечки и
повреждения конфиденциальных данных.
Доступ к сети: модель совместного доступа и безопасности для локальных учетных
записей
Этот параметр политики определяет, каким образом выполняется проверка подлинности при входе в
сеть с использованием локальных учетных записей. Значение Обычная обеспечивает высокую
степень контроля доступа к ресурсам и позволяет предоставлять разным пользователям разные
возможности доступа к одному ресурсу. Значение Гостевая позволяет обращаться со всеми
пользователями одинаково. В данном контексте все пользователи проходят проверку подлинности по
модели Гостевая, чтобы получить одинаковый уровень доступа к данному ресурсу.
Параметр Доступ к сети: модель совместного доступа и безопасности для локальных учетных
записей имеет значение по умолчанию Обычная в базовых политиках всех трех сред, определенных
в данном руководстве.
Параметры сетевой безопасности
Таблица 4.20. Параметры безопасности: рекомендации по настройке параметров сетевой
безопасности
Параметр
Среда устаревших
клиентов
Среда
корпоративных
клиентов
Специальная
безопасная среда с
ограниченной
функциональностью
Не хранить хэш-значения
Включен
Включен
Включен
Уровень проверки
Отправлять только
Отправлять только
Отправлять только
подлинности LAN Manager
NTLMv2-ответ
NTLMv2-ответ,
NTLMv2-ответ, отказывать
отказывать LM
LM и NTLM
LAN Manager при
следующей смене пароля
Требование цифровой
Согласование
Согласование
Согласование цифровой
подписи для LDAP-клиента
цифровой подписи
цифровой подписи
подписи
Минимальная сеансовая
Минимума нет
Включены все
Включены все параметры
безопасность для клиентов
параметры
на базе NTLM SSP
(включая безопасный RPC)
Минимальная сеансовая
Минимума нет
безопасность для серверов
Включены все
Включены все параметры
параметры
на базе NTLM SSP
(включая безопасный RPC)
Сетевая безопасность: не хранить хэш-значения LAN Manager при следующей смене
пароля
Этот параметр политики определяет, будут ли храниться хэш-значения LAN Manager (LM) для новых
паролей при изменении пароля. Хэш LM относительно ненадежен и уязвим для атак в сравнении более
криптостойким хэшем Windows NT.
По этой причине параметру Сетевая безопасность: не хранить хэш-значения LAN Manager при
следующей смене пароля присваивается значение Включен в базовых политиках всех трех сред
безопасности, определенных в данном руководстве.
Примечание. Если включить этот параметр, очень старые операционные системы и некоторые
приложения могут утратить работоспособность. Кроме того, после включения этого параметра
политики необходимо изменить пароли всех учетных записей.
Сетевая безопасность: уровень проверки подлинности LAN Manager
Этот параметр политики определяет, какие протоколы проверки подлинности с запросом и ответом
используются для входа в сеть. Значение этого параметра влияет на уровень протокола проверки
подлинности, который используют клиентские компьютеры, на уровень согласованной безопасности, а
также на уровень проверки подлинности, принимаемой серверами, следующим образом. Возможные
значения параметра реестра LMCompatibilityLevel приведены в следующей таблице.
Таблица 4.21. Значения параметра реестра LMCompatibilityLevel
Значение
Протокол
0
Клиенты используют проверку подлинности LAN Manager и NTLM и никогда не
используют сеансовую безопасность NTLMv2.
1
Клиенты используют проверку подлинности LAN Manager и NTLM, а также сеансовую
безопасность NTLMv2, если сервер ее поддерживает.
2
Клиенты используют только проверку подлинности NTLM, а также сеансовую
безопасность NTLMv2, если сервер ее поддерживает.
3
Клиенты используют только проверку подлинности NTLMv2, а также сеансовую
безопасность NTLMv2, если сервер ее поддерживает.
4
Клиенты используют только проверку подлинности NTLM, а также сеансовую
безопасность NTLMv2, если сервер ее поддерживает. Контроллер домена отклоняет
проверку подлинности LAN Manager.
5
Клиенты используют только проверку подлинности NTLMv2, а также сеансовую
безопасность NTLMv2, если сервер ее поддерживает. Контроллер домена отклоняет
проверку подлинности LAN Manager и NTLM, принимая только проверку подлинности
NTLMv2.
Этому параметру политики следует назначить самый высокий уровень, поддерживаемый средой, в
соответствии с изложенными ниже рекомендациями.
В среде, включающей только компьютеры с Windows NT 4.0 с пакетом обновления 4 (SP4),
Windows 2000 и Windows XP Professional, присвойте этому параметру политики значение Отправлять
только NTLMv2-ответ, отказывать LM и NTLM на всех клиентах, а после настройки всех клиентов
присвойте ему это же значениена всех серверах. Исключением из этого правила являются серверы
маршрутизации и удаленного доступа Windows Server 2003, которые работают неправильно, если
этому параметру политики присвоено значение, более строгое, чем Отправлять только NTLMv2ответ, отказывать LM.
В среде EC поддержка серверов маршрутизации и удаленного доступа иногда бывает необходима,
поэтому в базовой политике этой среды параметру Сетевая безопасность: уровень проверки
подлинности LAN Manager присваивается значение Отправлять только NTLMv2-ответ,
отказывать LM. В среде SSLF серверы маршрутизации и удаленного доступа не поддерживаются,
поэтому в ней этому параметру политики присваивается значение Отправлять только NTLMv2-ответ,
отказывать LM и NTLM.
При наличии клиентов Windows 9x, на которые можно установить программу DSClient, присвойте этому
параметру политики значение Отправлять только NTLMv2-ответ, отказывать LM и NTLM на
компьютерах с Windows NT (Windows NT, Windows 2000 и Windows XP Professional). В противном случае
в базовой политике компьютеров без Windows 9x этот параметр должен иметь значение, не более
строгое, чем Отправлять только NTLMv2-ответ. Именно это значение присвоено данному параметру
в среде LC.
Если при включении этого параметра нарушается работоспособность приложений, присваивайте ему
поэтапно менее строгие значения, пока не выясните причину сбоев. Как минимум, в базовой политике
на всех компьютерах этому параметру следует присвоить значение Отправлять LM и NTLM —
использовать сеансовую безопасность NTLMv2 при согласовании. Как правило, на всех
компьютерах в среде ему можно присвоить значение Отправлять только NTLMv2-ответ.
Сетевая безопасность: требование цифровой подписи для LDAP-клиента
Этот параметр политики определяет уровень подписывания данных, запрашиваемый от имени
клиентов, выполняющих запросы LDAP BIND. Неподписанный сетевой трафик уязвим для атак типа
«злоумышленник в середине». Это позволяет злоумышленнику заставить сервер LDAP принимать
решения, основанные на ложных запросах от клиента LDAP.
Таким образом, параметру Сетевая безопасность: требование цифровой подписи для LDAPклиента присваивается значение Согласование цифровой подписи в базовых политиках всех трех
сред, определенных в данном руководстве.
Сетевая безопасность: минимальная сеансовая безопасность для клиентов на базе
NTLM SSP (включая безопасный RPC)
Этот параметр политики позволяет клиенту требовать согласования конфиденциальности сообщений
(шифрования), подписания сообщений, 128-разрядного шифрования или сеансовой безопасности
NTLMv2. Назначьте этому параметру политики максимально возможный уровень безопасности, но
помните, что при этом все равно нужно разрешить работу приложений в сети. Правильная настройка
этого параметра помогает защитить трафик серверов на базе NTLM SSP от атак типа «злоумышленник в
середине» и несанкционированного доступа.
В базовой политике среды LC параметру Сетевая безопасность: минимальная сеансовая
безопасность для клиентов на базе NTLM SSP (включая безопасный RPC) присваивается
значение Минимума нет. Для сред EC и SSLF включаются все параметры.
Сетевая безопасность: минимальная сеансовая безопасность для серверов на базе
NTLM SSP (включая безопасный RPC)
Этот параметр политики позволяет серверу требовать согласования конфиденциальности сообщений
(шифрования), целостности сообщений, 128-разрядного шифрования или сеансовой безопасности
NTLMv2. Назначьте этому параметру политики максимально возможный уровень безопасности, но
помните, что при этом все равно нужно разрешить работу приложений в сети. Правильная настройка
этого параметра помогает защитить трафик клиентов на базе NTLM SSP от атак «злоумышленник в
середине» и несанкционированного доступа.
В базовой политике среды LC параметру Сетевая безопасность: минимальная сеансовая
безопасность для серверов на базе NTLM SSP (включая безопасный RPC) присваивается
значение Минимума нет. Для сред EC и SSLF включаются все параметры.
Параметры консоли восстановления
Таблица 4.22. Параметры безопасности: рекомендации по настройке параметров консоли
восстановления
Параметр
Среда
устаревших
клиентов
Среда
корпоративных
клиентов
Специальная безопасная
среда с ограниченной
функциональностью
Разрешить автоматический
Отключен
Отключен
Отключен
Включен
Включен
Отключен
вход администратора
Разрешить копирование
дискет и доступ ко всем
дискам и папкам
Консоль восстановления: разрешить автоматический вход администратора
Этот параметр политики определяет, необходимо ли вводить пароль учетной записи администратора
для получения доступа к компьютеру. Если он включен, консоль восстановления не требует ввода
пароля и автоматически осуществляет вход в систему. Консоль восстановления бывает очень полезна
при работе с компьютерами, на которых возникают проблемы при запуске. Однако включать этот
параметр иногда нецелесообразно, потому что при этом любой пользователь может отключить сервер
от источника питания, перезапустить его, выбрать пункт Консоль восстановления в меню
Перезагрузка и получить полный контроль над сервером.
Таким образом, параметр Консоль восстановления: разрешить автоматический вход
администратора имеет значение по умолчанию Отключен в базовых политиках всех трех сред,
определенных в данном руководстве. Чтобы использовать консоль восстановления, если этот параметр
отключен, пользователь должен ввести правильные имя пользователя и пароль для получения доступа
к учетной записи консоли восстановления.
Консоль восстановления: разрешить копирование дискет и доступ ко всем дискам и
папкам
При включении этого параметра политики становится доступной команда SET консоли восстановления,
которая позволяет задать следующие переменные среды консоли восстановления.
•
vAllowWildCards. Включает поддержку подстановочных знаков для некоторых команд (таких как
•
AllowAllPaths. Разрешает доступ ко всем файлам и папкам на компьютере.
•
AllowRemovableMedia. Разрешает копирование файлов на съемные носители, например на гибкие
•
NoCopyPrompt. Отменяет вывод предупреждения при перезаписи существующего файла.
команда DEL).
диски.
Ради обеспечения максимальной безопасности в базовой политике среды SSLF параметру Консоль
восстановления: разрешить копирование дискет и доступ ко всем дискам и папкам
присваивается значение Отключен. Однако для сред LC и EC этому параметру политики
присваивается значение Включен.
Параметры завершения работы
Таблица 4.23. Параметры безопасности: рекомендации по настройке параметров
завершения работы
Параметр
Среда
устаревших
клиентов
Среда корпоративных
клиентов
Специальная безопасная
среда с ограниченной
функциональностью
Разрешить завершение
Отключен
Отключен
Отключен
Отключен
Отключен
Отключен
работы системы без
выполнения входа в
систему
Очистка файла
подкачки виртуальной
памяти
Завершение работы: разрешить завершение работы системы без выполнения входа в
систему
Этот параметр политики определяет, можно ли завершить работу компьютера без входа в
операционную систему Windows. Завершить работу компьютера может любой пользователь, имеющий
доступ к консоли. Злоумышленник или пользователь, введенный в заблуждение, может подключиться
к серверу с помощью служб терминалов и выключить или перезапустить его без прохождения
идентификации.
Таким образом, параметр Завершение работы: разрешить завершение работы системы без
выполнения входа в систему имеет значение по умолчанию Отключен в базовых политиках всех
трех сред, определенных в данном руководстве.
Завершение работы: очистка файла подкачки виртуальной памяти
Этот параметр политики определяет, выполняется ли очистка файла подкачки виртуальной памяти при
завершении работы системы. Если он включен, системный файл подкачки очищается при каждом
нормальном завершении работы компьютера. При включении данного параметра политики на
переносном компьютере также обнуляется файл спящего режима (Hiberfil.sys), если спящий режим
отключен. Для выключения и перезапуска серверов требуется больше времени, что особенно заметно
на серверах с большими файлами подкачки.
По этим причинам параметру Завершение работы: очистка файла подкачки виртуальной памяти
присваивается значение Отключен во всех трех средах, определенных в данном руководстве.
Примечание. Злоумышленник, имеющий физический доступ к серверу, может обойти этот рубеж
защиты, просто отключив сервер от источника питания.
Параметры системной криптографии
Таблица 4.24. Параметры безопасности: рекомендации по настройке параметров системной
криптографии
Параметр
Среда устаревших Среда корпоративных Специальная безопасная
среда с ограниченной
клиентов
клиентов
функциональностью
Применять сильную
Пользователь
Пользователь получает
Пользователь должен
защиту
получает запрос
запрос при первом
вводить пароль при каждом
пользовательских
при первом
использовании ключа
использовании ключа
ключей, хранящихся
использовании
на компьютере
ключа
Использовать FIPS-
Отключен
Отключен
Включен
совместимые
алгоритмы для
шифрования,
хэширования и
подписывания
Системная криптография: применять сильную защиту пользовательских ключей,
хранящихся на компьютере
Этот параметр политики определяет, требуют ли закрытые ключи пользователей (такие как ключи SMIME) использования паролей. Если настроить этот параметр политики таким образом, чтобы при
каждом использовании ключа пользователи указывали пароль, отличный от доменного пароля,
злоумышленникам будет сложнее получить доступ к ключам, хранящимся на локальной системе, даже
если удастся раздобыть пароли для входа в систему.
Ради удобства работы в базовых политиках сред LC и EC параметру Системная криптография:
применять сильную защиту пользовательских ключей, хранящихся на компьютере
присваивается значение Пользователь получает запрос при первом использовании ключа. Для
обеспечения более надежной защиты в среде SSLF этому параметру присваивается значение
Пользователь должен вводить пароль при каждом использовании ключа.
Системная криптография: использовать FIPS-совместимые алгоритмы для
шифрования, хэширования и подписывания
Этот параметр политики определяет, поддерживает ли поставщик безопасности TLS/SSL только
комплект шифров TLS_RSA_WITH_3DES_EDE_CBC_SHA. Хотя этот параметр политики повышает
уровень безопасности, большинство публичных веб-узлов, использующих протоколы TLS и SSL, не
поддерживают эти алгоритмы. Многие клиентские компьютеры также не настроены на поддержку этих
алгоритмов.
Поэтому параметру Системная криптография: использовать FIPS-совместимые алгоритмы для
шифрования, хэшированияи подписывания присваивается значение Отключен. Для среды SSLF
этому параметру политики присваивается значение Включен.
Параметры системных объектов
Таблица 4.25. Параметры безопасности: рекомендации по настройке параметров системных
объектов
Параметр
Среда
устаревших
клиентов
Среда
корпоративных
клиентов
Специальная безопасная
среда с ограниченной
функциональностью
Владелец по умолчанию для
Создатель
Создатель объекта
Создатель объекта
объектов, созданных
объекта
Включен
Включен
Включен
Включен
Включен
Включен
членами группы
администраторов
Учитывать регистр для
подсистем, отличных от
Windows
Усилить разрешения по
умолчанию для внутренних
системных объектов
(например символических
ссылок)
Системные объекты: владелец по умолчанию для объектов, созданных членами
группы администраторов
Этот параметр политики определяет, кто является владельцем по умолчанию любых создаваемых
системных объектов: члены группы Администраторы или создатель объекта. Во втором случае при
создании системных объектов владельцем является создавшая их учетная запись, а не более общая
группа Администраторы.
Параметру Системные объекты: владелец по умолчанию для объектов, созданных членами
группы администраторов присваивается значение Создатель объекта в базовых политиках всех
трех сред, определенных в данном руководстве.
Системные объекты: учитывать регистр для подсистем, отличных от Windows
Этот параметр безопасности определяет, необходимо ли учитывать регистр для всех подсистем.
Подсистема Microsoft Win32® нечувствительна к регистру. Однако ядро поддерживает
чувствительность к регистру для других подсистем, таких как POSIX (Portable Operating System
Interface for UNIX). Поскольку система Windows нечувствительна к регистру, а подсистема POSIX
чувствительна, неправильное применение этого параметра позволяет пользователю POSIX создать
файл с именем другого файла, включив в его имя буквы разного регистра. В результате другой
пользователь может лишиться доступа к нужному файлу с помощью обычных средств Win32, так как
будет доступен только один из файлов.
Для обеспечения согласованности имен файлов параметру Системные объекты: учитывать регистр
для подсистем, отличных от Windows присваивается значение Включен в базовых политиках всех
трех сред, определенных в данном руководстве.
Системные объекты: усилить разрешения по умолчанию для внутренних системных
объектов (например символических ссылок)
Этот параметр политики определяет степень влияния списка управления доступом на уровне
пользователей (DACL) по умолчанию на объекты и помогает защитить объекты, которые могут быть
найдены и совместно использованы несколькими процессами. Для увеличения степени влияния списка
DACL можно использовать значение по умолчанию Включен, которое позволяет пользователям, не
являющимся администраторами, читать совместно используемые объекты, но не изменять объекты,
созданные другими пользователями.
Параметру Системные объекты: усилить разрешения по умолчанию для внутренних
системных объектов (например символических ссылок) имеет значение по умолчанию Включен
в базовых политиках всех трех сред, определенных в данном руководстве.
Параметры системы
Таблица 4.26. Параметры безопасности: рекомендации по настройке параметров системы
Параметр
Среда
устаревших
клиентов
Среда корпоративных Специальная безопасная
среда с ограниченной
клиентов
функциональностью
Параметры системы:
Нет
Нет
Нет
Не определен
Отключен
Включен
необязательные
подсистемы
Параметры системы:
использовать правила
сертификатов для
исполняемых файлов
Windows для политик
ограниченного
использования программ
Параметры системы: необязательные подсистемы
Этот параметр политики определяет подсистемы, используемые для поддержки приложений в среде. В
Windows Server 2003 этот параметр политики имеет по умолчанию значение POSIX.
Для отключения подсистемы POSIX параметру Параметры системы: необязательные подсистемы
присваивается значение Нет в базовых политиках всех трех сред, определенных в данном
руководстве.
Параметры системы: использовать правила сертификатов для исполняемых файлов
Windows для политик ограниченного использования программ
Этот параметр политики определяет, нужно ли обрабатывать цифровые сертификаты, если включены
политики ограниченного использования программ, а пользователь или процесс пытается запустить
файл с расширением EXE. Этот параметр включает или отключает правила сертификатов (тип правил
политик ограниченного использования программ). Благодаря политикам ограниченного использования
программ можно создать правило сертификатов, разрешающее или запрещающее выполнение
программ, подписанных с использованием технологии Authenticode®, на основе цифрового
сертификата, сопоставленного с программой. Если требуется активировать правила сертификатов в
политиках ограниченного использования программ, этот параметр необходимо включить.
В среде SSLF параметру Параметры системы: использовать правила сертификатов для
исполняемых файлов Windows для политик ограниченного использования программ
присваивается значение Включен. Однако из-за возможного ухудшения производительности в среде
EC ему присваивается значение Отключен, а в среде LC — Не определен.
Журнал событий
В журнал событий записываются события, происходящие на компьютере, а в журнал безопасности —
события аудита. Контейнер журнала событий групповой политики используется для определения
атрибутов журналов событий приложений, безопасности и системы, таких как максимальный размер
журнала, права доступа для каждого журнала, а также параметры и методы сохранения. Параметры
журналов событий приложений, безопасности и системы настраиваются в базовой политике рядовых
серверов и применяются ко всем рядовым серверам в домене.
В Windows Server 2003 с пакетом обновления 1 параметры журнала событий можно настроить в
следующем разделе редактора объектов групповой политики:
Конфигурация компьютера\Параметры Windows\Параметры безопасности\Журнал событий
В данном разделе описаны рекомендованные настройки параметров журнала событий в базовых
политиках рядовых серверов для всех трех сред, определенных в данном руководстве. Обзорные
сведения о настройках, рекомендованных в этом разделе, см. в рабочей книге Microsoft Excel
«Параметры безопасности Windows Server 2003», входящей в версию данного руководства, которую
можно загрузить из Интернета. Сведения о конфигурации по умолчанию и подробное описание
каждого параметра см. в дополнительном руководстве Угрозы и меры противодействия: параметры
безопасности в Windows Server 2003 и Windows XP по адресу
http://go.microsoft.com/fwlink/?LinkId=15159 (на английском языке).
В таблице ниже приведены рекомендации по настройке параметров журнала событий для всех трех
сред, определенных в данном руководстве. Дополнительные сведения о каждом параметре приведены
в подразделах, следующих за таблицей.
Таблица 4.27. Рекомендации по настройке параметров журнала событий
Параметр
Среда
устаревших
клиентов
Среда корпоративных
клиентов
Специальная безопасная
среда с ограниченной
функциональностью
Максимальный размер
16 384 КБ
16 384 КБ
16 384 КБ
81 920 КБ
81 920 КБ
81 920 КБ
16 384 КБ
16 384 КБ
16 384 КБ
Включен
Включен
Включен
Включен
Включен
Включен
Включен
Включен
Включен
журнала приложений
Максимальный размер
журнала безопасности
Максимальный размер
системного журнала
Запретить доступ
локальной группы
гостей к журналу
приложений
Запретить доступ
локальной группы
гостей к журналу
безопасности
Запретить доступ
локальной группы
гостей к системному
журналу
Сохранение событий в
По необходимости По необходимости
По необходимости
По необходимости По необходимости
По необходимости
По необходимости По необходимости
По необходимости
журнале приложений
Сохранение событий в
журнале безопасности
Сохранение событий в
системном журнале
Максимальный размер журнала приложений
Этот параметр политики задает максимальный размер журнала событий приложений, который не может
превышать 4 ГБ. Однако использовать такой размер не рекомендуется из-за возможной фрагментации
памяти, которая приводит к снижению производительности системы и надежности регистрации
событий. Требования к размеру журнала приложений зависят от функций платформы и от
необходимости накопления записей журнала о событиях приложений.
Параметр Максимальный размер журнала приложений имеет значение по умолчанию 16384 КБ в
базовых политиках всех трех сред, определенных в данном руководстве.
Максимальный размер журнала безопасности
Этот параметр политики задает максимальный размер журнала событий безопасности, который не
может превышать 4 ГБ. На контроллерах домена и автономных серверах размер журнала безопасности
должен составлять не менее 80 МБ, чтобы в нем можно было хранить достаточный объем сведений для
проведения аудита. При настройке этого параметра политики на других компьютерах следует
учитывать такие факторы, как частота просмотра журнала, объем свободного места на дисках и т. д.
Параметру Максимальный размер журнала безопасности присваивается значение 81920 КБ в
базовых политиках всех трех сред, определенных в данном руководстве.
Максимальный размер системного журнала
Этот параметр политики задает максимальный размер журнала системных событий, который не может
превышать 4 ГБ. Однако использовать такой размер не рекомендуется из-за возможной фрагментации
памяти, которая приводит к снижению производительности системы и надежности регистрации
событий. Требования к размеру системного журнала зависят от функций платформы и от
необходимости накопления записей журнала.
Параметр Максимальный размер системного журнала имеет значение по умолчанию 16384 КБ в
базовых политиках всех трех сред, определенных в данном руководстве.
Запретить доступ локальной группы гостей к журналу приложений
Этот параметр политики определяет, запрещен ли гостям доступ к журналу событий приложений. В
Windows Server 2003 с пакетом обновления 1 гостевой доступ по умолчанию запрещен на всех
компьютерах. Таким образом, на работу компьютеров с конфигурацией по умолчанию этот параметр не
влияет.
Но поскольку считается, что параметр Запретить доступ локальной группы гостей к журналу
приложений обеспечивает дополнительную защиту без побочных эффектов, ему присваивается
значение Включен в базовых политиках всех трех сред, определенных в данном руководстве.
Примечание. Этот параметр отсутствует в объекте локальной политики компьютера.
Запретить доступ локальной группы гостей к журналу безопасности
Этот параметр политики определяет, запрещен ли гостям доступ к журналу событий безопасности. Для
доступа к журналу безопасности пользователю должно быть назначено право Управление аудитом и
журналом безопасности (не рассматриваемое в данном руководстве). Таким образом, на работу
компьютеров с конфигурацией по умолчанию этот параметр не влияет.
Но поскольку считается, что параметр Запретить доступ локальной группы гостей к журналу
безопасности обеспечивает дополнительную защиту без побочных эффектов, ему присваивается
значение Включен в базовых политиках всех трех сред, определенных в данном руководстве.
Примечание. Этот параметр отсутствует в объекте локальной политики компьютера.
Запретить доступ локальной группы гостей к системному журналу
Этот параметр политики определяет, запрещен ли гостям доступ к системному журналу событий. В
Windows Server 2003 с пакетом обновления 1 гостевой доступ по умолчанию запрещен на всех
компьютерах. Таким образом, на работу компьютеров с конфигурацией по умолчанию этот параметр не
влияет.
Но поскольку считается, что параметр Запретить доступ локальной группы гостей к системному
журналу обеспечивает дополнительную защиту без побочных эффектов, ему присваивается значение
Включен в базовых политиках всех трех сред, определенных в данном руководстве.
Примечание. Этот параметр отсутствует в объекте локальной политики компьютера.
Сохранение событий в журнале приложений
Этот параметр политики определяет способ перезаписи журнала приложений. Если события,
хранящиеся в журнале приложений, могут пригодиться для использования в суде или для устранения
неполадок, журнал приложений необходимо регулярно архивировать. Если события перезаписываются
по мере необходимости, в журнале всегда будут храниться самые недавние события, хотя при этом
могут утрачиваться более старые сведения.
Параметру Сохранение событий в журнале приложений присваивается значение По
необходимости в базовых политиках всех трех сред, определенных в данном руководстве.
Сохранение событий в журнале безопасности
Этот параметр политики определяет способ перезаписи журнала безопасности. Если события,
хранящиеся в журнале безопасности, могут пригодиться для использования в суде или для устранения
неполадок, журнал безопасности необходимо регулярно архивировать. Если события
перезаписываются по мере необходимости, в журнале всегда будут храниться самые недавние
события, хотя при этом могут утрачиваться более старые сведения.
Параметру Сохранение событий в журнале безопасности присваивается значение По
необходимости в базовых политиках всех трех сред, определенных в данном руководстве.
Сохранение событий в системном журнале
Этот параметр политики определяет способ перезаписи системного журнала. Если события,
хранящиеся в системном журнале, могут пригодиться для использования в суде или для устранения
неполадок, системный журнал необходимо регулярно архивировать. Если события перезаписываются
по мере необходимости, в журнале всегда будут храниться самые недавние события, хотя при этом
могут утрачиваться более старые сведения.
Параметру Сохранение событий в системном журнале присваивается значение По
необходимости в базовых политиках всех трех сред, определенных в данном руководстве.
Дополнительные параметры реестра
Для файлов базовых шаблонов безопасности, не определенных в файле административного шаблона
(расширение ADM), который по умолчанию используется в трех описываемых средах безопасности,
были созданы дополнительные записи реестра (также называемые значениями реестра). Файлы ADM
определяют политики и ограничения для рабочего стола, оболочки и системы безопасности
Windows Server 2003.
Для автоматизации изменения эти параметры реестра встроены в шаблоны безопасности (в разделе
«Параметры безопасности»). При удалении политики эти записи реестра не удаляются автоматически
вместе с ней; их нужно вручную изменить с помощью средства редактирования реестра, такого как
Regedt32.exe. Во всех трех средах используются одинаковые записи реестра.
Дополнительные записи реестра, описываемые в данном руководстве, добавляются в редакторе
конфигураций безопасности (SCE). Для добавления этих записей нужно изменить файл Sceregvl.inf (в
папке %windir%\inf) и заново зарегистрировать файл Scecli.dll file. В указанных ранее оснастках и
средствах исходные и дополнительные записи безопасности отображаются в разделе Локальные
политики\Безопасность. На всех компьютерах, на которых будут редактироваться шаблоны
безопасности и групповые политики, описываемые в данном руководстве, нужно будет обновить файл
Sceregvl.inf и заново зарегистрировать файл Scecli.dll. Сведения об обновлении этих файлов см. в
дополнительном руководстве Угрозы и меры противодействия: параметры безопасности в системах
Windows Server 2003 и Windows XP, которое можно загрузить по адресу
http://go.microsoft.com/fwlink/?LinkId=15159 (на английском языке).
В данном разделе приводятся только обзорные сведения о дополнительных параметрах реестра,
подробно описанных в указанном руководстве. Сведения о параметрах по умолчанию и подробное
описание каждого параметра, упоминаемого в этом разделе, см. в дополнительном руководстве Угрозы
и меры противодействия: параметры безопасности в Windows Server 2003 и Windows XP.
Защита от сетевых атак
Атаки типа «отказ в обслуживании» (DoS) — это сетевые атаки, призванные пользователей сети
доступа к компьютеру или конкретной службе на нем. Защититься от таких атак непросто.
Для этого на компьютерах, работающих под управлением Windows Server 2003 с пакетом обновления 1
и открытых для атак злоумышленников, нужно обеспечить своевременную установку исправлений
безопасности и усилить защиту стека протоколов TCP/IP. В конфигурации по умолчанию стек
протоколов TCP/IP оптимизирован для обработки стандартного трафика интрасети. Если компьютер
подключен непосредственно к Интернету, рекомендуется усилить защиту стека TCP/IP от атак типа
«отказ в обслуживании».
Значения реестра, приведенные в следующей таблице, можно добавить в файл шаблона в разделе
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\
.
Таблица 4.28. Рекомендации по настройке параметров TCP/IP в реестре
Параметр реестра
Тип
Среда
устаревши
х клиентов
Среда
корпоративны
х клиентов
Специальная
безопасная среда с
ограниченной
функциональность
ю
EnableICMPRedirect
DWOR
0
0
0
1
1
1
0
0
0
300 000
300 000
300 000
2
2
2
2
2
2
D
SynAttackProtect
DWOR
D
EnableDeadGWDetect
DWOR
D
KeepAliveTime
DWOR
D
DisableIPSourceRouting
DWOR
D
TcpMaxConnectResponseRetransmissio
DWOR
ns
D
TcpMaxDataRetransmissions
DWOR
3
3
3
0
0
0
D
PerformRouterDiscovery
DWOR
D
Другие параметры реестра
В следующей таблице приведены рекомендации по настройке других параметров реестра, не
уникальных для протоколов TCP/IP. Дополнительные сведения о каждом параметре приведены в
подразделах, следующих за таблицей.
Таблица 4.29. Рекомендации по настройке других параметров реестра
Среда
Среда
Специальная
устаревших корпоративных безопасная среда с
ограниченной
клиентов
клиентов
функциональностью
Параметр реестра
Тип
MSS: (NoNameReleaseOnDemand)
DWORD 1
1
1
DWORD 0
0
1
DWORD 0xFF
0xFF
0xFF
Строка
0
0
DWORD 90
90
90
DWORD 1
1
1
DWORD 1
1
0
разрешить компьютеру пропускать
запросы на освобождение имени
NetBIOS за исключением запросов
от WINS-серверов
MSS:
(NtfsDisable8dot3NameCreation)
разрешить компьютеру не
создавать имена файлов в формате
8.3 (рекомендуется)
MSS: (NoDriveTypeAutoRun)
отключить автозапуск для всех
дисков (рекомендуется)
MSS: (ScreenSaverGracePeriod)
0
время в секундах до истечения
периода отсрочки для экранной
заставки (рекомендуется 0)
MSS: (WarningLevel) пороговое
значение (в процентах) для
журнала событий безопасности,
при котором система выдаст
предупреждение
MSS: (SafeDllSearchMode)
включить безопасный режим
поиска DLL (рекомендуется)
MSS: (AutoReboot) разрешить
автоматический перезапуск
Windows после сбоя системы
(рекомендуется во всех случаях за
исключением сред с высоким
уровнем безопасности)
MSS: (AutoAdminLogon) включить
DWORD 0
0
0
DWORD 1
1
0
DWORD 1
1
1
DWORD 3
3
3
автоматический вход в систему (не
рекомендуется)
MSS: (AutoShareWks) включить
административные общие ресурсы
(рекомендуется во всех случаях за
исключением сред с высоким
уровнем безопасности)
MSS: (DisableSavePassword)
предотвращать сохранение
паролей удаленного доступа
(рекомендуется)
MSS: (NoDefaultExempt) включить
исключение NoDefaultExempt для
фильтрации IPSec (рекомендуется)
Настройка безопасности освобождения имени NetBIOS: разрешить компьютеру
пропускать запросы на освобождение имени NetBIOS за исключением запросов от
WINS-серверов
В редакторе конфигураций безопасности эта запись выглядит следующим образом: MSS:
(NoNameReleaseOnDemand) разрешить компьютеру пропускать запросы на освобождение
имени NetBIOS за исключением запросов от WINS-серверов.
NetBIOS поверх TCP/IP — это сетевой протокол, который (помимо других возможностей) позволяет
легко разрешать имена NetBIOS, зарегистрированные на компьютерах с операционной системой
Windows, в IP-адреса, заданные на этих компьютерах. Этот параметр определяет, освобождает ли
компьютер имя NetBIOS при получении запроса на освобождение имени.
Это значение реестра можно добавить в файл шаблона в разделе
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Netbt\Parameters\
.
Отключение автоматического создания имен файлов в формате 8.3: разрешить
компьютеру не создавать имена файлов в формате 8.3
В редакторе конфигураций безопасности эта запись выглядит следующим образом: MSS:
(NtfsDisable8dot3NameCreation) разрешить компьютеру не создавать имена файлов в
формате 8.3 (рекомендуется).
В Windows Server 2003 с пакетом обновления 1 имена файлов в формате 8.3 поддерживаются ради
обеспечения обратной совместимости с 16-разрядными приложениями. Соглашение об именах файлов
вида 8.3 — это формат, позволяющий использовать имена файлов длиной не более восьми знаков.
Это значение реестра можно добавить в файл шаблона в разделе
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\FileSystem\
.
Отключение автозапуска: отключить автозапуск для всех дисков
В редакторе конфигураций безопасности эта запись выглядит следующим образом: MSS:
(NoDriveTypeAutoRun) отключить автозапуск для всех дисков (рекомендуется).
При автозапуске чтение данных с диска на компьютере начинается сразу же после вставки носителя.
Благодаря этому, например, при вставке носителя немедленно начинается установка программы или
воспроизведение звука.
Это значение реестра можно добавить в файл шаблона в разделе
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\
.
Немедленная защита экранной заставки паролем: время в секундах до истечения
периода отсрочки для экранной заставки (рекомендуется 0)
В редакторе конфигураций безопасности эта запись выглядит следующим образом: MSS:
(ScreenSaverGracePeriod) время в секундах до истечения периода отсрочки для экранной
заставки (рекомендуется 0).
Windows включает период отсрочки между запуском экранной заставки и фактической автоматической
блокировкой консоли, если включена блокировка при запуске экранной заставки.
Это значение реестра можно добавить в файл шаблона в разделе
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\
Winlogon\
.
Предупреждение о заполнении журнала безопасности: пороговое значение (в
процентах) для журнала событий безопасности, при котором система выдаст
предупреждение
В редакторе конфигураций безопасности эта запись выглядит следующим образом: MSS:
(WarningLevel) пороговое значение (в процентах) для журнала событий безопасности, при
котором система выдаст предупреждение.
Этот параметр появился в пакете обновления 3 для Windows 2000. Если он задан, при достижении
журналом безопасности указанного пользователем размера в журнал вносится запись аудита
безопасности. Например, если этому параметру реестра присвоено значение 90, то при заполнении
журнала безопасности на 90 процентов в него будет внесена следующая запись с идентификатором
события 523: «Журнал событий безопасности заполнен на 90 процентов».
Примечание. Если для журнала задан параметр Затирать старые события по необходимости или
Затирать события старее x дней, это событие не создается.
Это значение реестра можно добавить в файл шаблона безопасности в разделе
HKEY_LOCAL_MACHINE\ SYSTEM\CurrentControlSet\Services\Eventlog\Security\
.
Включение безопасного режима поиска DLL: включить безопасный режим поиска DLL
(рекомендуется)
В редакторе конфигураций безопасности эта запись выглядит следующим образом: MSS:
(SafeDllSearchMode) включить безопасный режим поиска DLL (рекомендуется).
Порядок поиска библиотек DLL, необходимых запущенным процессам, можно задать одним из двух
способов:
•
сначала производится поиск по системному пути, затем — в текущей рабочей папке;
•
сначала производится поиск в текущей рабочей папке, затем — по системному пути.
Этому параметру реестра присваивается значение 1, при котором сначала производится поиск по
системному пути, а затем — в текущей рабочей папке. Если присвоить этому параметру значение 0,
сначала будет производиться поиск в текущей рабочей папке, а затем — по системному пути.
Это значение реестра можно добавить в файл шаблона в разделе
HKEY_LOCAL_MACHINE\ SYSTEM\CurrentControlSet\Control\Session Manager\
.
Автоматическая перезагрузка: разрешить автоматический перезапуск Windows
после сбоя системы
В редакторе конфигураций безопасности эта запись выглядит следующим образом: MSS:
(AutoReboot) разрешить автоматический перезапуск Windows после сбоя
системы (рекомендуется во всех случаях за исключением сред с высоким уровнем
безопасности).
Если этот параметр включен, серверу разрешается автоматически выполнять перезагрузку после
критических сбоев. По умолчанию он включен, что на серверах с высокими требованиями к
безопасности нежелательно.
Это значение реестра можно добавить в файл шаблона в разделе
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\CrashControl\.
Автоматический вход в систему: включить автоматический вход в систему
В редакторе конфигураций безопасности эта запись выглядит следующим образом: MSS:
(AutoAdminLogon) включить автоматический вход в систему (не рекомендуется). По
умолчанию этот параметр отключен, и включать его на серверах не следует практически никогда.
Дополнительные сведения см. в статье базы знаний Майкрософт Автоматизация входа в систему на
компьютере под управлением Windows XP (на английском языке), доступной по адресу
http://support.microsoft.com/default.aspx?kbid=315231.
Это значение реестра можно добавить в файл шаблона в разделе
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\
Winlogon\.
Административные общие ресурсы: включить административные общие ресурсы
В редакторе конфигураций безопасности эта запись выглядит следующим образом: MSS:
(AutoShareWks) включить административные общие ресурсы (рекомендуется во всех
случаях за исключением сред с высоким уровнем безопасности). Если на сервере активен
сетевой модуль Windows, система Windows по умолчанию создает скрытые административные общие
ресурсы, что на серверах с высокими требованиями к безопасности нежелательно.
Это значение реестра можно добавить в файл шаблона в разделе
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\RasMan\Parameters\.
Отключение сохранения паролей: предотвращать сохранение паролей удаленного
доступа
В редакторе конфигураций безопасности эта запись выглядит следующим образом: MSS:
(DisableSavePassword) предотвращать сохранение паролей удаленного
доступа (рекомендуется). По умолчанию система Windows предлагает возможность сохранять
пароли удаленного доступа и VPN-подключений, что на сервере нежелательно.
Это значение реестра можно добавить в файл шаблона в разделе
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\
Parameters\.
Включение протокола IPSec для защиты трафика Kerberos RSVP: включить
исключение NoDefaultExempt для фильтрации IPSec
В редакторе конфигураций безопасности эта запись выглядит следующим образом: MSS:
(NoDefaultExempt) включить исключение NoDefaultExempt для фильтрации
IPSec (рекомендуется). Исключения по умолчанию для фильтров политики IPsec описаны в
интерактивной справке по Microsoft Windows Server 2003. Эти фильтры позволяют функционировать
протоколам IKE (Internet Key Exchange) и Kerberos. Эти фильтры также позволяют сигнализировать о
качестве обслуживания (RSVP), когда безопасность трафика обеспечивается IPsec, и о трафике,
безопасность которого не может обеспечиваться IPsec, таком как трафик многоадресной и
широковещательной рассылок.
Это значение реестра можно добавить в файл шаблона в разделе
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\IPSEC\.
Группы с ограниченным доступом
Группы с ограниченным доступом позволяют управлять членством в группах с помощью политик и
предотвращать умышленное или случайное использование групп с правами пользователя,
предоставляющими широкие возможности. При определении групп, для которых следует ограничить
доступ, прежде всего нужно проанализировать требования организации.
Во всех трех средах, определенных в данном руководстве, группы Операторы архива и Опытные
пользователи являются группами с ограниченным доступом. Хотя члены групп Операторы архива и
Опытные пользователи имеют более ограниченные права, чем члены группы Администраторы, эти
права все же предоставляют широкие возможности.
Примечание. Если в организации используются какие-либо из этих групп, следует тщательно
контролировать членство в них и отказаться от выполнения рекомендаций по настройке групп с
ограниченным доступом. Если организация добавляет пользователей в группу «Опытные
пользователи», можно использовать необязательные разрешения на работу с файловой системой,
описанные в следующем разделе, «Защита файловой системы».
В Windows Server 2003 с пакетом обновления 1 параметр «Группы с ограниченным доступом» можно
настроить в следующем разделе редактора объектов групповой политики:
Конфигураця компьютера\Конфигурация Windows\Параметры безопасности\Группы с
ограниченным доступом\
Администраторы могут настраивать группы с ограниченным доступом, добавляя нужные группы
непосредственно в базовую политику рядовых серверов. Если для группы ограничен доступ, можно
определить ее члены и любые другие группы, к которым она относится. Если члены группы не
указаны, доступ для группы остается полностью ограниченным.
Защита файловой системы
Файловая система NTFS совершенствовалась с каждым выпуском новой системы Microsoft Windows, и
разрешения на работу с ней, действующие по умолчанию, отвечают требованиям большинства
организаций. Параметры, описываемые в этом разделе, являются необязательными и ориентированы
на организации, которые не используют группы с ограниченным доступом, но желают реализовать
дополнительный уровень защиты серверов.
Параметры безопасности файловой системы можно настроить в следующем разделе редактора
объектов групповой политики:
Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Файловая
система
Примечание. Перед изменением действующих по умолчанию параметров безопасности файловой
системы в крупной организации изменения следует тщательно протестировать в лабораторной среде.
Крупные изменения разрешений на работу с файлами могут потребовать полного восстановления
конфигурации компьютеров.
В большинстве случаев разрешения на работу с файлами, действующие по умолчанию в системе
Windows Server 2003 с пакетом обновления 1, изменять не требуется. Однако если в организации не
планируется блокировать членство группы Опытные пользователи с помощью функции групп с
ограниченным доступом или предполагается включить параметр Доступ к сети: разрешать
применение разрешений для всех к анонимным пользователям, можно использовать
необязательные разрешения, указанные в следующем абзаце. Они очень специфичны и налагают
дополнительные ограничения на работу с некоторыми средствами, которые злоумышленник с
повышенными привилегиями может использовать для дальнейшего проведения атак на компьютер или
сеть.
Имейте в виду, что эти изменения нельзя осуществить сразу для нескольких папок или корневой папки
системного тома. Такой способ изменения разрешений сопряжен с высоким риском и мог бы нарушать
стабильность работы компьютера. Все указанные ниже файлы хранятся в папке
%SystemRoot%\System32\, и всем им назначены разрешения Администраторы: полный доступ
и Система: полный доступ.
•
regedit.exe
•
arp.exe
•
at.exe
•
attrib.exe
•
cacls.exe
•
debug.exe
•
edlin.exe
•
eventcreate.exe
•
eventtriggers.exe
•
ftp.exe
•
nbtstat.exe
•
net.exe
•
net1.exe
•
netsh.exe
•
netstat.exe
•
nslookup.exe
•
ntbackup.exe
•
rcp.exe
•
reg.exe
•
regedt32.exe
•
regini.exe
•
regsvr32.exe
•
rexec.exe
•
route.exe
•
rsh.exe
•
sc.exe
•
secedit.exe
•
subst.exe
•
systeminfo.exe
•
telnet.exe
•
tftp.exe
•
tlntsvr.exe
Ради удобства пользователей эти необязательные разрешения уже настроены в шаблоне безопасности
Optional-File-Permissions.inf, прилагаемом к версии данного руководства, которую можно загрузить
из Интернета.
Дополнительные параметры безопасности
Хотя большинство описанных в этом руководстве мер по усилению защиты базовых серверов основаны
на использовании групповой политики, некоторые параметры сложно или невозможно задать с
помощью групповой политики. Подробное описание всех мер противодействия, упомянутых в этом
разделе, см. дополнительном руководстве Угрозы и меры противодействия: параметры безопасности в
Windows Server 2003 и Windows XP, которое доступно по адресу
http://go.microsoft.com/fwlink/?LinkId=15159.
Усиление защиты вручную
В этом разделе рассказано о том, как для каждой среды безопасности, определенной в данном
руководстве, вручную реализовать некоторые дополнительные меры обеспечения безопасности (такие
как защита учетных записей).
Сопоставление уникальных групп безопасности с правами пользователя вручную
Большинство рекомендованных групп безопасности для назначения прав пользователя настроены в
шаблонах безопасности, прилагаемых к данному руководству. Однако некоторые права невозможно
включить в шаблоны безопасности, потому что идентификаторы безопасности конкретных групп
безопасности уникальны для различных доменов Windows Server 2003. Проблема заключается в том,
что относительный идентификатор (RID), который является частью идентификатора безопасности,
уникален. Эти права указаны в следующей таблице.
Внимание! Следующая таблица включает параметры, задаваемые для встроенной учетной записи
администратора. Это встроенная учетная запись пользователя, а не группа безопасности
Администраторы. Если с какими-либо из следующих прав, отказывающих в выполнении тех или иных
действий, будет сопоставлена группа безопасности Администраторы, для исправления этой ошибки
нужно будет выполнить локальный вход в систему. Следует также отметить, что встроенная учетная
запись администратора может иметь другое имя, если она была переименована в соответствии с
данным ранее советом. При сопоставлении этой учетной записи с любыми из следующих прав
пользователя убедитесь в том, что выбрана переименованная учетная запись администратора.
Таблица 4.30. Права пользователя, назначаемые вручную
Название
параметра в
пользовательском
интерфейсе
Среда устаревших
клиентов
Среда корпоративных Среда
специализированной
клиентов
безопасности с
ограниченной
функциональностью
Отказ в доступе к
Встроенная учетная
Встроенная учетная
компьютеру из сети
запись администратора; запись администратора;
администратора;
Support_388945a0;
Support_388945a0;
Support_388945a0;
«Гость»; все учетные
«Гость»; все учетные
«Гость»; все учетные
записи служб не
записи служб не
записи служб не
операционной системы
операционной системы
операционной системы
Отказ во входе в
Support_388945a0 и
Support_388945a0 и
Support_388945a0 и
качестве пакетного
«Гость»
«Гость»
«Гость»
Запретить вход в
Встроенная учетная
Встроенная учетная
Встроенная учетная запись
систему через
запись администратора; запись администратора;
администратора; «Гости»;
службу терминалов
«Гости»;
«Гости»;
Support_388945a0;
Support_388945a0;
Support_388945a0;
«Гость»; все учетные
«Гость»; все учетные
«Гость»; все учетные
записи служб не
записи служб не
записи служб не
операционной системы
операционной системы
операционной системы
Встроенная учетная запись
задания
Важно. Все учетные записи служб не операционной системы представляют собой учетные записи
служб, используемые конкретными приложениями в среде организации. В их число не входят
встроенные учетные записи операционной системы «Локальная система», «Локальная служба» и
«Сетевая служба».
Чтобы вручную добавить указанные группы безопасности в базовую политику рядовых серверов для
среды корпоративных клиентов, сделайте следующее.
Сопоставление групп безопасности с правами пользователя
В оснастке «Active Directory — пользователи и компьютеры» щелкните правой кнопкой мыши
подразделение рядовых серверов и выберите пункт Свойства.
1.
На вкладке «Групповая политика» выберите базовую политику рядовых серверов для среды
корпоративных клиентов, чтобы изменить связанный с ней объект групповой политики.
2.
Выберите базовую политику рядовых серверов для среды корпоративных клиентов и нажмите
кнопку «Изменить».
3.
В окне «Групповая политика» щелкните узел «Конфигурация компьютера\Конфигурация
Windows\Параметры безопасности\Локальные политики\Назначение прав пользователя», чтобы
сопоставить уникальные группы безопасности из приведенной выше таблицы с каждым правом.
4.
Закройте измененную групповую политику.
5.
Закройте окно свойств подразделения рядовых серверов.
6.
Выполните принудительную репликацию между контроллерами домена, чтобы политика
вступила в силу на всех этих системах. Сделайте для этого следующее.
1.
Откройте окно командной строки, введите команду gpupdate /Force и нажмите клавишу
ВВОД, чтобы сервер обновил политику.
2.
7.
Перезагрузите сервер.
Проверьте по журналу событий, что групповая политика успешно загружена на сервер и что
сервер может взаимодействовать с другими контроллерами домена.
Защита известных учетных записей
Система Windows Server 2003 с пакетом обновления 1 включает ряд встроенных учетных записей
пользователей, которые нельзя удалить, но можно переименовать. Одними из самых известных
встроенных учетных записей в Windows Server 2003 являются учетные записи «Гость» и
«Администратор».
На рядовых серверах и контроллерах домена учетная запись «Гость» по умолчанию отключена.
Изменять это не следует. Осуществляя первые попытки нарушения защиты сервера, многие хакеры и
вредоносные программы используют встроенную учетную запись администратора. Для предотвращения
этого имя и описание встроенной учетной записи администратора можно изменить.
За последние годы важность этого уменьшилась из-за появления средств проведения атак, которые
указывают идентификатор безопасности встроенной учетной записи администратора для определения
ее настоящего имени и затем взламывают защиту сервера. Идентификатор безопасности — это
значение, уникально идентифицирующее в сети каждого пользователя, группу, учетную запись
компьютера и сеанс работы с системой. Изменить идентификатор безопасности встроенной учетной
записи администратора невозможно. Однако попытки проведения атак на нее можно легко
отслеживать, если присвоить ей уникальное имя.
Чтобы защитить известные учетные записи в доменах и на серверах, сделайте следующее.
•
Переименуйте учетные записи «Администратор» и «Гость» и назначьте им длинные сложные пароли
•
Используйте на каждом сервере разные имена и пароли. Если во всех доменах и на всех серверах
в каждом домене и на каждом сервере.
используются одинаковые имена учетных записей и пароли, хакер, получивший доступ к одному
рядовому серверу, сможет получить доступ ко всем остальным системам с такими же именами
учетных записей и паролями.
•
Измените описания учетных записей, используемые по умолчанию, чтобы затруднить
•
Сохраните сведения о внесенных изменениях в надежном месте.
идентификацию учетных записей.
Примечание. Встроенную учетную запись администратора можно переименовать с помощью
групповой политики. Соответствующий параметр не реализован в базовой политике потому, что в
каждой организации следует выбрать уникальное имя для этой учетной записи. Однако во всех трех
средах, определенных в данном руководстве, параметр Учетные записи: переименование учетной
записи администратора можно настроить так, чтобы учетным записям администраторов были
присвоены другие имена. Этот параметр входит в число параметров безопасности объекта групповой
политики.
Защита учетных записей служб
Никогда не настраивайте службу для выполнения в контексте безопасности учетной записи домена,
если этого можно избежать. При получении физического доступа к серверу пароли учетных записей
домена можно легко узнать, создав дамп секретных данных LSA. Дополнительные сведения об
обеспечении безопасности учетных записей служб см. в Руководстве по планированию обеспечения
безопасности служб и учетных записей служб (на английском языке) по адресу
http://go.microsoft.com/fwlink/?LinkId=41311.
Файловая система NTFS
Разделы дисков с файловой системой NTFS поддерживают списки управления доступом (ACL) на
уровнях файлов и папок. Файловые системы FAT и FAT32 списки управления доступом не
поддерживают. FAT32 — это версия файловой системы FAT, которая создает по умолчанию кластеры
значительно меньшего размера и поддерживает жесткие диски объемом до 2 ТБ. Файловая система
FAT32 поддерживается в операционных системах Windows 95 OSR2, Windows 98, Microsoft Windows Me,
Windows 2000, Windows XP Professional и Windows Server 2003.
Во всех разделах дисков на всех серверах следует создать файловую систему NTFS. Для
преобразования разделов FAT в NTFS используйте программу преобразования, но помните, что для
преобразованных дисков она настраивает списки управления доступом как Все: полный доступ.
На компьютерах под управлением Windows 2003 Server с пакетом обновления 1 следует локально
применить два следующих шаблона безопасности с целью настройки используемых по умолчанию
списков управления доступом файловой системы для рядовых серверов и контроллеров домена
соответственно:
•
%windir%\inf\defltsv.inf
•
%windir%\inf\defltdc.inf
Примечание. При преобразовании сервера в контроллер домена применяются действующие по
умолчанию параметры безопасности контроллера домена.
Все разделы дисков на серверах во всех трех средах, определенных в данном руководстве,
отформатированы как разделы NTFS, чтобы можно было управлять безопасностью файлов и каталогов
с помощью списков управления доступом.
Параметры служб терминалов
Параметр Установить уровень шифрования для клиентских подключений определяет уровень
шифрования клиентских подключений служб терминалов в среде. Значение Высокий, при котором
используется 128-разрядное шифрование, предотвращает прослушивание сеансов служб терминалов с
помощью анализатора пакетов. Некоторые старые версии клиентов служб терминалов не
поддерживают этот уровень шифрования. Если сеть содержит такие клиенты, задайте для
отправляемых и принимаемых данных самый высокий уровень шифрования, поддерживаемый
клиентом.
Настроить этот параметр можно в следующем разделе редактора объектов групповой политики:
Конфигурация компьютера\Административные шаблоны\Компоненты Windows\
Службы терминалов\Шифрование и безопасность
Таблица 4.31. Рекомендации по настройке уровня шифрования клиентских подключений
Название параметра
в пользовательском
интерфейсе
Среда устаревших
клиентов
Среда
корпоративных
клиентов
Специальная безопасная
среда с ограниченной
функциональностью
Установить уровень
Высокий
Высокий
Высокий
шифрования для
клиентских
подключений
Три возможных уровня шифрования описаны в таблице ниже.
Таблица 4.32. Уровни шифрования подключений служб терминалов
Уровень шифрования
Описание
Высокий
Данные, отправляемые клиентом серверу и сервером клиенту, шифруются
с использованием надежного 128-разрядного алгоритма. Используйте этот
уровень, если сервер терминалов работает в среде, включающей только
128-разрядные клиенты (такие как клиенты удаленного рабочего стола).
Клиенты, не поддерживающие этот уровень шифрования, не смогут
подключаться к серверу терминалов.
Совместимый с
Данные, пересылаемые между клиентом и сервером, шифруются с
клиентским
максимальной разрядностью ключа, поддерживаемой клиентом.
Используйте этот уровень, если сервер терминалов работает в среде, в
состав которой входят разные или устаревшие клиенты.
Низкий
Данные, отправляемые клиентом серверу, шифруются с использованием
56-разрядного алгоритма.
Внимание! Данные, отправляемые сервером клиенту, не шифруются.
Отчеты об ошибках
Таблица 4.33. Рекомендации по настройке параметров регистрации ошибок
Параметр
Среда устаревших
клиентов
Среда
корпоративных
клиентов
Специальная безопасная
среда с ограниченной
функциональностью
Отключить отчеты об
Включен
Включен
Включен
ошибках Windows
Данная служба помогает корпорации Майкрософт отслеживать и устранять ошибки. Эту службу можно
настроить на создание отчетов об ошибках операционной системы, компонентов Windows или
программ. Она имеется только в системах Windows XP Professional и Windows Server 2003.
Служба отчетов об ошибках может уведомить корпорацию Майкрософт об ошибках через Интернет
или сохранить сведения о них во внутренней общей папке. Хотя отчеты об ошибках могут содержать
важные и даже конфиденциальные сведения, политика конфиденциальности корпорации Майкрософт
гарантирует, что корпорация Майкрософт не будет использовать эти сведения ненадлежащим образом.
Однако посторонние могут перехватить и просмотреть эти данные, так как они передаются по
протоколу HTTP открытым текстом.
Параметр Отключить отчеты об ошибках Windows позволяет разрешить или запретить службе
регистрации ошибок передавать какие-либо данные.
В системе Windows Server 2003 этот параметр политики можно настроить в следующем разделе
редактора объектов групповой политики:
Конфигурация компьютера\Административные шаблоны\Система\Управление связью через
Интернет\Параметры связи через Интернет
Присвойте параметру Отключить отчеты об ошибках Windows значение Включен в базовой
политике контроллеров домена для всех трех сред, определенных в данном руководстве.
Включение поддержки создания дампов памяти вручную
Система Windows Server 2003 с пакетом обновления 1 поддерживает функцию, которая позволяет
остановить работу компьютера и создать файл Memory.dmp. Включать эту функцию необходимо явным
образом, но ее использование на всех серверах в организации может быть нецелесообразным. Если на
некоторых серверах целесообразно создавать дампы памяти, можете выполнить действия, описанные в
статье Функция Windows позволяет создать файл Memory.dmp с помощью клавиатуры по адресу
http://support.microsoft.com/default.aspx?kbid=244139 (на английском языке).
Внимание! При копировании содержимого памяти на диск в соответствии с процессом, описанным в
указанной статье, в файл Memory.dmp могут быть включены конфиденциальные данные. В идеале все
серверы должны быть защищены от несанкционированного физического доступа. Если дамп памяти
создается на сервере, который подвергается риску физического взлома защиты, не забудьте удалить
файл дампа после устранения неполадок.
Создание базовой политики с помощью мастера настройки безопасности
Для развертывания необходимых параметров безопасности нужно сначала создать базовую политику
рядовых серверов. Для этого нужно использовать мастер настройки безопасности и шаблоны
безопасности, прилагаемые к версии данного руководства, которую можно загрузить из Интернета.
При создании собственной политики пропустите разделы «Параметры реестра» и «Политика аудита».
Соответствующие параметры будут взяты из шаблонов безопасности для выбранной среды. Такой
способ настройки гарантирует, что элементы политики, содержащиеся в шаблонах, будут иметь более
высокий приоритет по сравнению с элементами, заданными с помощью мастера настройки
безопасности.
Все настройки следует выполнять на компьютере с вновь установленной операционной системой,
чтобы избежать переноса устаревших параметров или приложений из прежних конфигураций. Для
обеспечения максимальной совместимости старайтесь использовать оборудование, аналогичное тому,
которое будет применяться при развертывании. Компьютер с заново установленной операционной
системой называется контрольным компьютером.
В ходе создания базовой политики рядовых серверов из списка обнаруженных ролей можно удалить
роль файлового сервера. Эта роль часто бывает настроена на серверах, где она не нужна, и может
представлять угрозу безопасности. Если на сервере требуется роль файлового сервера, ее можно
включить при настройке другой политики, описанной ниже.
Создание базовой политики рядовых серверов
1.
Установите систему Windows Server 2003 с пакетом обновления 1 (SP1) на новый контрольный
компьютер.
2.
Установите компонент мастера настройки безопасности. Для этого откройте окно «Панель
управления», выберите пункт «Установка и удаление программ» и щелкните пункт «Установка
компонентов Windows».
3.
Присоедините компьютер к домену.
4.
Установите и настройте только обязательные приложения, которые будут использоваться на
каждом сервере в среде. В их число могут входить агенты программного обеспечения и
управления, агенты внешних хранилищ, а также антивирусные и антишпионские программы.
5.
Запустите графический интерфейс пользователя мастера настройки безопасности, выберите
пункт Создать новую политику и укажите контрольный компьютер.
6.
Удалите из списка обнаруженных ролей роль файлового сервера.
7.
Убедитесь в том, что обнаруженные роли сервера подходят для среды.
8.
Убедитесь в том, что обнаруженные функции клиента подходят для среды.
9.
Убедитесь в том, что обнаруженные административные возможности подходят для среды.
10.
Убедитесь в том, что найдены все дополнительные службы, необходимые для выполнения
базовых функций, например агенты внешних хранилищ и антивирусные программы.
11.
Определите порядок работы со службами, которые не были указаны при создании политики.
Для обеспечения дополнительной безопасности можно установить этот параметр политики в
значение Отключен. Прежде чем развертывать конфигурацию в рабочей сети, ее необходимо
протестировать, так как могут возникнуть проблемы, если на рабочих серверах запущены
дополнительные службы, не продублированные на контрольном компьютере.
12.
Убедитесь в том, что в разделе «Безопасность сети» снят флажок Пропустить этот раздел,
затем нажмите кнопку Далее. Соответствующие порты и приложения, определенные ранее,
настраиваются в качестве исключений брандмауэра Windows.
13.
В разделе «Параметры реестра» установите флажок Пропустить этот раздел и нажмите
кнопку Далее. Данные параметры политики импортируются из прилагаемого файла с
расширением INF.
14.
В разделе «Политика аудита» установите флажок Пропустить этот раздел и нажмите кнопку
Далее. Данные параметры политики импортируются из прилагаемого файла с расширением
INF.
15.
Включите соответствующий шаблон безопасности (например EC-Member Server Baseline.inf).
16.
Сохраните политику с подходящим именем (например Member Server Baseline.xml).
Проверка политики с помощью мастера настройки безопасности
После создания и сохранения политики, настоятельно рекомендуется развернуть ее в тестовой среде.
В идеале тестовые серверы должны включать то же оборудование и конфигурацию программного
обеспечения, что и рабочие серверы. Это позволит обнаружить и устранить возможные проблемы,
например присутствие непредусмотренных служб, затребованных определенными устройствами.
Для тестирования политики используются два способа. Можно воспользоваться встроенными
функциями развертывания мастера настройки безопасности или развернуть политики с помощью
объекта групповой политики.
Приступая к созданию политик, следует рассмотреть возможность использования встроенных средств
развертывания мастера настройки безопасности. Принудительно отправить политику на отдельный
сервер можно с помощью мастера настройки безопасности, для группы серверов можно использовать
средство Scwcmd. Встроенный метод развертывания делает возможным откат примененных политик с
помощью мастера настройки безопасности. Данная функция может быть очень полезна при внесении
множественных изменений в политики в ходе тестирования.
Цель тестирования политик — удостовериться, что применение той или иной политики к серверам не
повлияет негативно на их основные функции. После применения настроек, следует проверить базовую
функциональность компьютера. Например, если сервер настроен как центр сертификации, следует
удостовериться, что клиенты смогут запрашивать и загружать сертификаты, списки отзыва
сертификатов и т. д.
По окончании работы с настройкой политик, следует использовать команду Scwcmd (см. процедуру
ниже) для преобразования политик в объекты групповой политики.
Дополнительные сведения о тестировании политик мастера настройки безопасности см. в руководстве
по развертыванию для мастера настройки безопасности по адресу
http://technet2.microsoft.com/WindowsServer/rus/Library/5254f8cd-143e-4559-a2999c723b3669461033.mspx (на английском языке) и в документации по мастеру настройки безопасности
по адресу http://go.microsoft.com/fwlink/?linkid=43450 (на английском языке).
Преобразование и развертывание политики
После тщательного тестирования политики выполните следующие действия по преобразованию в
объект групповой политики и развертыванию:
1.
введите в командной строке команду
scwcmd transform /p:<путь_к_политике.xml> /g:<отображаемое_имя_GPO>
и нажмите клавишу ВВОД. Пример.
Примечание. Строка разбита на несколько строк для удобства чтения. Однако при
использовании в системе необходимо ввести команды одной строкой без разрывов.
scwcmd transform /p:"C:\Windows\Security\msscw\Policies\
Member Server Baseline.xml" /g:"Member Server Baseline Policy"
Примечание. В приведенном примере текст, который необходимо ввести в командную строку,
разбит на две части в связи с ограничениями экрана. Этот текст следует вводить одной строкой.
2.
Используйте консоль управления групповыми политиками для сопоставления созданного
объекта групповой политики соответствующему подразделению.
Если файл политики безопасности для мастера настройки безопасности содержит параметры
брандмауэра Windows, то для успешного завершения этой процедуры брандмауэр Windows должен
быть запущен на локальном компьютере. Чтобы запустить брандмауэр Windows, откройте панель
управления и выберите пункт Брандмауэр Windows.
Выполните окончательную проверку правильности значений параметров объекта групповых политик.
Для завершения процедуры подтвердите, что значения параметров установлены правильно и
функциональные возможности не изменились.
Заключение
В этой главе описаны процедуры усиления защиты серверов, которые первоначально применяются ко
всем серверам под управлением системы Windows Server 2003 с пакетом обновления 1 во всех трех
средах безопасности, определенных в данном руководстве. В большинстве этих процедур для
достижения целевого уровня безопасности создается уникальный шаблон безопасности для каждой
среды безопасности, после чего он импортируется в объект групповой политики, связываемый с
родительским подразделением рядового сервера.
Однако некоторые из этих процедур усиления защиты невозможно выполнить с помощью групповой
политики. Для соответствующих параметров в этой главе приведены инструкции по их настройке
вручную. Кроме того, в ней описаны дополнительные действия, которые нужно выполнить для
обеспечения максимальной безопасности конкретных серверных ролей.
В число этих специфичных для серверных ролей действий входят как процедуры усиления защиты, так
и процедуры, ослабляющие строгость настройки параметров безопасности в базовой политике
безопасности. Эти изменения подробно рассматриваются в следующих главах данного руководства.
Дополнительные сведения
Приведенные ниже ссылки указывают на материалы с дополнительными сведениями об укреплении
защиты серверов с Windows Server 2003 с пакетом обновления 1 (SP1).
•
Дополнительные сведения о параметрах безопасности Windows Server 2003 см. на странице
Описание параметров безопасности по адресу
http://technet2.microsoft.com/WindowsServer/rus/Library/dd980ca3-f686-4ffc-a61750c6240f55821033.mspx (на английском языке).
•
Дополнительные сведения о безопасности системы Windows Server 2003 см. в Центре обеспечения
безопасности Windows Server 2003 по адресу
www.microsoft.com/technet/security/prodtech/windowsserver2003.mspx (на английском языке).
•
Дополнительные сведения о политике аудита Windows Server 2003 см. на странице Политика аудита
по адресу http://technet2.microsoft.com/WindowsServer/rus/Library/6847e72b-9c47-42ab-b3e3691addac9f331033.mspx (на английском языке).
•
Дополнительные сведения о службе Microsoft Operations Manager (MOM) см. на странице Microsoft
•
Дополнительные сведения о правах пользователей в Windows Server 2003 см. на странице Права
Operations Manager по адресу www.microsoft.com/mom/ (на английском языке).
пользователей по адресу http://technet2.microsoft.com/WindowsServer/rus/Library/589980fb-1a83-
490e-a745-357750ced3d91033.mspx (на английском языке).
•
Дополнительные сведения о параметрах безопасности по умолчанию в Windows Server 2003 см. на
странице Различия параметров безопасности по умолчанию по адресу
http://technet2.microsoft.com/WindowsServer/rus/Library/1494bf2c-b596-4785-93bbbc86f8e548d51033.mspx (на английском языке).
•
Дополнительные сведения о защите служб терминалов Windows 2000 см. в статье Защита служб
терминалов Windows 2000 по адресу
www.microsoft.com/technet/prodtechnol/win2kts/maintain/optimize/secw2kts.mspx (на английском
языке).
•
Дополнительные сведения о защите стека протоколов TCP/IP в Windows Server 2003 см. в статье
базы знаний Майкрософт Защита стека протоколов TCP/IP от атак типа «отказ в обслуживании» в
Windows Server 2003 по адресу http://support.microsoft.com/?kbid=324270 (на английском языке).
•
Дополнительные сведения о настройке параметров безопасности для приложений Windows Sockets
см. в статье базы знаний Майкрософт Сервер Интернета недоступен из-за SYN-атак по адресу
http://support.microsoft.com/?kbid=142641 (на английском языке).
•
Дополнительные сведения о расположении файлов ADM см. в статье базы знаний Майкрософт
Расположение файлов административных шаблонов (ADM) в Windows по адресу
http://support.microsoft.com/?kbid=228460 (на английском языке).
•
Дополнительные сведения о настройке пользовательского интерфейса редактора конфигураций
безопасности см. в статье базы знаний Майкрософт Добавление пользовательских параметров
реестра в редактор конфигураций безопасности по адресу
http://support.microsoft.com/?kbid=214752 (на английском языке).
•
Дополнительные сведения о создании файлов пользовательских административных шаблонов в
Windows см. в статье базы знаний Майкрософт Создание пользовательских административных
шаблонов в Windows 2000 по адресу http://support.microsoft.com/?kbid=323639. См. также документ
Использование файлов административного шаблона с групповой политикой на основе реестра по
адресу www.microsoft.com/technet/prodtechnol/windowsserver2003/
technologies/management/gp/admtgp.mspx (на английском языке).
•
Дополнительные сведения о том, как гарантировать работоспособность параметров более
защищенного уровня проверки подлинности LAN Manager в смешанной среде с компьютерами под
управлением Windows 2000 и Windows NT 4.0, см. в статье базы знаний Майкрософт Проблемы
проверки подлинности в системе Windows 2000 с уровнями NTLM 2 выше двух в домене Windows NT
4.0 по адресу http://support.microsoft.com/?kbid=305379 (на английском языке).
•
Дополнительные сведения о проверке подлинности NTLMv2 см. в статье базы знаний Майкрософт
•
Дополнительные сведения о действующих по умолчанию параметрах служб Windows Server 2003 см.
Активизация проверки подлинности NTLM 2 по адресу http://support.microsoft.com/?kbid=239869.
на странице Параметры служб, действующие по умолчанию по адресу
http://technet2.microsoft.com/WindowsServer/rus/Library/2b1dc6cf-2e34-4681-9aa68d0ffba2d3e31033.mspx (на английском языке).
•
Дополнительные сведения о реализации технологии смарт-карт см. в статье Сделайте сеть более
«интеллектуальной» с помощью смарт-карт по адресу
www.microsoft.com/technet/technetmag/issues/2005/01/SmartCards/default.aspx (на английском
языке).
•
Дополнительные сведения о значении реестра, запрещающем анонимный доступ, и системе
Windows 2000 см. в статье базы знаний Майкрософт Значение реестра «RestrictAnonymous» может
нарушить доверие домену Windows 2000 http://support.microsoft.com/?kbid=296405 (на английском
языке).
•
Дополнительные сведения о создании отчетов об ошибках см. на странице Корпоративные отчеты
об ошибках по адресу www.microsoft.com/resources/satech/cer/ (на английском языке).
•
Сведения о сетевых портах, используемых приложениями корпорации Майкрософт, см. в статье
базы знаний Майкрософт Службы и сетевые порты в серверных системах Microsoft Windows по
адресу http://support.microsoft.com/kb/832017.
Глава 5. Базовая политика контроллеров домена
Обзор
Обеспечение безопасности серверной роли контроллера домена — одна из самых важных задач в
любой среде с компьютерами с Microsoft® Windows Server™ 2003 с пакетом обновления 1 и службой
каталогов Active Directory®. Любые сбои в работе контроллера домена и нарушения его защиты в
такой среде могут серьезно повлиять на функционирование клиентских компьютеров, серверов и
приложений, которые используют контроллеры домена для проверки подлинности, реализации
групповой политики и как центральный каталог LDAP.
Ввиду важности контроллеров домена их всегда следует размещать в физически защищенных местах,
доступных только квалифицированным сотрудникам административной службы. Если контроллеры
домена находятся в незащищенных местах, таких как филиалы компаний, настроив некоторые
параметры безопасности, можно уменьшить потенциальный ущерб от физических угроз.
Базовая политика контроллеров домена
В отличие от политик других серверных ролей, которые будут описаны позднее, групповая политика
для серверной роли контроллера домена является базовой, как и базовая политика рядовых серверов,
определенная в главе 4 «Базовая политика рядовых серверов». Базовая политика контроллеров
домена связана с подразделением контроллеров домена и имеет более высокий приоритет, чем
политика контроллеров домена по умолчанию. Параметры, входящие в базовую политику
контроллеров домена, позволяют повысить общую безопасность всех контроллеров домена в любой
среде.
Базовая политика контроллеров домена мало чем отличается от базовой политики рядовых серверов.
Таким образом, чтобы полностью разобраться со многими параметрами базовой политики контроллеров
домена, следует повторить материал, изложенный в главе 4 «Базовая политика рядовых серверов». В
данной главе описываются только те параметры базовой политики контроллеров домена, которые
отличаются от параметров базовой политики рядовых серверов.
Шаблоны контроллеров домена специально разработаны для удовлетворения требований,
предъявляемых к безопасности в трех средах, определенных в данном руководстве. В таблице ниже
указаны прилагаемые к данному руководству файлы INF для контроллеров домена в средах
устаревших клиентов (LC), корпоративных клиентов (EC) и специальной безопасной среды с
ограниченной функциональностью (SSLF). Например, файл шаблона безопасности для среды
корпоративных клиентов называется EC-Domain Controller.inf.
Таблица 5.1. Базовые шаблоны безопасности контроллеров домена
Среда устаревших
клиентов
Среда корпоративных
клиентов
Специальная безопасная среда
с ограниченной
функциональностью
LC-Domain Controller.inf
EC-Domain Controller.inf
SSLF-Domain Controller.inf
Примечание. Сопоставление неправильно настроенного объекта групповой политики (GPO) с
подразделением контроллеров домена может крайне отрицательно сказаться на работе домена. Будьте
очень внимательны при импорте этих шаблонов безопасности и проверяйте правильность настройки
всех импортируемых параметров политики при сопоставлении объекта групповой политики с
подразделением контроллеров домена.
Параметры политики аудита
Параметры политики аудита контроллеров домена почти не отличаются от параметров базовой
политики рядовых северов. Дополнительные сведения см. в главе 4 «Базовая политика рядовых
серверов». Эти параметры в базовой политике контроллеров домена гарантируют, что на контроллерах
домена будут сохраняться все необходимые сведения аудита безопасности.
Таблица 5.2. Рекомендации по настройке параметров политики аудита
Параметр
Среда
устаревших
клиентов
Среда
корпоративных
клиентов
Специальная безопасная
среда с ограниченной
функциональностью
Аудит доступа к службе
Нет аудита
Нет аудита
Отказ
каталогов
Аудит доступа к службе каталогов
Этот параметр политики определяет необходимость аудита доступа пользователей к объекту Active
Directory, имеющему собственный системный список управления доступом (SACL). Определяя параметр
Аудит доступа к службе каталогов, можно задать аудит успехов или неудач либо отключить аудит
всех типов событий. При аудите успехов запись аудита создается, когда пользователь успешно
получает доступ к объекту Active Directory с заданным списком SACL. При аудите неудач запись аудита
создается, когда пользователь неудачно пытается получить доступ к объекту Active Directory с
заданным списком SACL.
Если включить параметр Аудит доступа к службе каталогов в базовой политике контроллеров
домена и настроить списки SACL для объектов каталога, в журналы безопасности на контроллерах
домена может добавляться большое количество записей. Включать этот параметр следует только в том
случае, если записываемые в журнал сведения действительно нужны.
В средах LC и EC параметру Аудит доступа к службе каталогов присваивается значение Нет
аудита. В среде SSLF он настраивается для регистрации событий Отказ.
В таблице ниже указаны важные события безопасности, которые регистрируются в журнале
безопасности при заданном параметре Аудит доступа к службе каталогов.
Таблица 5.3. События доступа к службе каталогов
Код события Описание события
Код
Описание
566
Выполнена общая операция над объектом.
Параметры назначения прав пользователя
В базовой политике контроллеров домена им назначается ряд прав пользователя. Некоторые
параметры прав пользователя по умолчанию в ней изменены для повышения безопасности
контроллеров домена во всех трех средах, определенных в данном руководстве.
В этом разделе приводятся рекомендации по настройке прав пользователя в базовой политике
контроллеров домена для тех случаев, когда она отличается от базовой политики рядовых серверов.
Обзорные сведения о параметрах, рекомендованных в этом разделе, см. в рабочей книге Microsoft
Excel® «Параметры безопасности Windows Server 2003», прилагаемой к версии данного руководства,
которую можно загрузить из Интернета.
В следующей таблице приведены рекомендации по настройке прав пользователя в базовой политике
контроллеров домена. Дополнительные сведения о каждом параметре приведены в подразделах,
следующих за таблицей.
Таблица 5.4. Рекомендации по настройке прав пользователя
Параметр
Среда устаревших
клиентов
Среда
корпоративных
клиентов
Специальная
безопасная среда с
ограниченной
функциональностью
Доступ к компьютеру из
Не определен
Не определен
«Администраторы»,
сети
«Прошедшие
проверку»,
«КОНТРОЛЛЕРЫ
ДОМЕНА
ПРЕДПРИЯТИЯ»
Добавление рабочих
Не определен
Не определен
«Администраторы»
«Администраторы»,
«Администраторы»,
«Администраторы»
«Операторы сервера»,
«Операторы сервера»,
«Операторы архива»
«Операторы архива»
«Администраторы»
«Администраторы»
«Администраторы»
Изменение системного
«Администраторы»,
«Администраторы»,
«Администраторы»,
времени
«ЛОКАЛЬНАЯ
«ЛОКАЛЬНАЯ
«ЛОКАЛЬНАЯ
СЛУЖБА»
СЛУЖБА»
СЛУЖБА»
Не определен
Не определен
«Администраторы»
«Администраторы»
«Администраторы»
«Администраторы»
«Администраторы»
«Администраторы»
«Администраторы»
«Администраторы»
«Администраторы»
«Администраторы»
станций к домену
Локальный вход в систему
Разрешать вход в систему
через службу терминалов
Разрешение доверия к
учетным записям
компьютеров и
пользователей при
делегировании
Загрузка и выгрузка
драйверов устройств
Восстановление файлов и
каталогов
Завершение работы
системы
Доступ к компьютеру из сети
Этот параметр политики определяет пользователей и группы, которым разрешено подключаться к
контроллеру домена по сети. Это необходимо для выполнения ряда сетевых операций, в том числе
репликации Active Directory между контроллерами домена, отправки запросов проверки подлинности от
пользователей и компьютеров контроллерам домена и доступа к общим папкам и принтерам.
Несмотря на то, что разрешения, назначенные группе безопасности Все в Windows Server 2003 с
пакетом обновления 1, больше не предоставляют доступа к системе анонимным пользователям, его все
же можно предоставить гостевым группам и учетным записям с помощьюэтой группы безопасности.
Поэтому в базовой политике контроллеров домена для среды SSLF группа безопасности Все лишена
права пользователя Доступ к компьютеру из сети. Это обеспечивает дополнительную защиту от
атак, направленных на получение гостевого доступа к домену. В средах LC и EC этому параметру
политики присваивается значение Не определен.
Добавление рабочих станций к домену
Этот параметр политики определяет, какие пользователи могут добавлять рабочие станции к
определенному домену. Чтобы он вступил в силу, его нужно назначить пользователю в политике
контроллеров домена по умолчанию. Пользователь, которому назначено это право, может добавить к
домену до 10 рабочих станций. Пользователи, которым назначено право Создание объектовкомпьютеров для подразделения или контейнера компьютеров в Active Directory, могут добавить к
домену неограниченное число компьютеров независимо от того, назначено ли им право Добавление
рабочих станций к домену.
По умолчанию все пользователи из группы Прошедшие проверку могут добавить до 10 учетных
записей компьютеров к домену Active Directory. Эти учетные записи компьютеров создаются в
контейнере компьютеров.
В сетях Windows участниками безопасности называются пользователи, группы или компьютеры,
которым автоматически назначаются идентификаторы безопасности для управления доступом к
ресурсам. В домене Active Directory каждая учетная запись компьютера является полноценным
участником безопасности, способным проверять подлинность ресурсов домена и получать к ним
доступ. Однако в некоторых организациях иногда желательно ограничить количество компьютеров в
среде Active Directory, чтобы можно было согласованно следить за ними, настраивать их и
администрировать. Если пользователям разрешено добавлять компьютеры к домену, следить за
компьютерами и управлять ими сложнее. Кроме того, при этом пользователи могут выполнять
действия, которые труднее отслеживать из-за имеющейся у пользователей возможности
несанкционированно создавать дополнительные компьютеры домена.
Поэтому в базовой политике контроллеров домена для среды SSLF право пользователя Добавление
рабочих станций к домену назначается только группе Администраторы. В средах LC и EC этому
параметру политики присваивается значение Не определен.
Локальный вход в систему
Этот параметр политики определяет пользователей, которым разрешается начинать интерактивные
сеансы работы на контроллере домена. Пользователи, не имеющие этого права, могут удаленно
начинать интерактивные сеансы работы на контроллере домена, если им назначено право Разрешать
вход в систему через службу терминалов.
Число учетных записей, которым разрешается использовать консоли контроллера домена, следует
ограничить ради предотвращения несанкционированного доступа к файловым системам и системным
службам контроллера домена. Пользователь, которому предоставлен доступ к консоли контроллера
домена, может злоупотребить уязвимостями компьютера и нарушить безопасность всего домена или
леса.
По умолчанию на контроллерах домена право пользователя Локальный вход в систему назначается
группам Операторы учета, Операторы архива, Операторы печати и Операторы сервера.
Членам этих групп не нужна возможность входа в систему контроллера домена для выполнения задач
управления, и они должны быть способны выполнять свои задачи с других рабочих станций.
Выполнять задачи обслуживания на контроллерах домена должны только члены группы
Администраторы.
Если право пользователя Локальный вход в систему назначено только группе Администраторы,
физический и интерактивный доступ к контроллеру домена имеют только надежные компетентные
пользователи, что повышает безопасность среды. Поэтому в базовой политике контроллеров домена
для среды SSLF право пользователя Локальный вход в систему назначается только группе
Администраторы. В средах LC и EC это право назначается группам Операторы сервера и
Операторы архива.
Разрешать вход в систему через службу терминалов
Этот параметр политики определяет пользователей, которым разрешается входить в систему на
контроллере домена с помощью подключения к удаленному рабочему столу.
Число учетных записей, которым разрешается получать доступ к консолям контроллера домена через
службу терминалов, следует ограничить ради предотвращения несанкционированного доступа к
файловым системам и системным службам контроллера домена. Пользователь, которому предоставлен
доступ к консоли контроллера домена через службу терминалов, может злоупотребить уязвимостями
компьютера и нарушить безопасность всего домена или леса.
Если право пользователя Разрешать вход в систему через службу терминалов назначено только
группе Администраторы, интерактивный доступ к контроллеру домена имеют только надежные
компетентные пользователи, что повышает безопасность среды. По этой причине в базовой политике
контроллеров домена право пользователя Разрешать вход в систему через службу терминалов
назначается только группе Администраторы во всех трех средах, определенных в данном
руководстве. Хотя по умолчанию для входа в систему контроллера домена через службу терминалов
необходим административный доступ, настроив этот параметр политики, можно улучшить защиту от
случайных или умышленных действий, которые могут нарушить безопасность сети.
Ради дополнительного укрепления безопасности в базовой политике контроллеров домена учетная
запись администратора по умолчанию лишена права Разрешать вход в систему через службу
терминалов. Это блокирует попытки злоумышленников удаленно получить доступ к контроллеру
домена с помощью учетной записи администратора по умолчанию. Дополнительные сведения об этом
параметре политики см. в главе 4 «Базовая политика рядовых серверов».
Изменение системного времени
Этот параметр политики определяет, какие пользователи могут изменять время на внутренних часах
компьютера. Однако для изменения часового пояса или других отображаемых характеристик
системного времени это право не требуется.
Синхронизация системного времени крайне важна для работы службы Active Directory. Процессы
репликации Active Directory и создания билетов проверки подлинности, используемые протоколом
проверки подлинности Kerberos, требуют, чтобы время было синхронизировано во всей среде.
Несоответствие времени на разных контроллерах домена в среде может нарушить нормальную работу
служб домена. Если изменять системное время могут только администраторы, вероятность того, что
показания системных часов на контроллере домена окажутся неправильными, будет сведена к
минимуму.
Право изменять системное время на контроллерах домена имеют по умолчанию только члены группы
Операторы сервера. Из-за проблем, которые могут возникнуть после неправильного изменения
показаний часов контроллера домена членами этой группы, в базовой политике контроллеров домена
для всех трех сред, определенных в данном руководстве, право пользователя Изменение системного
времени назначается только группе Администраторы и учетной записи Локальная служба.
Дополнительные сведения о службе времени Microsoft Windows® см. в Техническом руководстве по
службе времени Windows, доступном по адресу
http://technet2.microsoft.com/WindowsServer/rus/Library/a0fcd250-e5f7-41b3-b0e8240f8236e2101033.mspx (на английском языке).
Разрешение доверия к учетным записям компьютеров и пользователей при
делегировании
Этот параметр политики определяет, кто из пользователей может изменять параметр Делегирование
разрешено для объектов пользователей или компьютеров в Active Directory. Делегирование проверки
подлинности используется многоуровневыми приложениями с архитектурой «клиент-сервер». Оно
позволяет службе на внешнем сервере (например приложению) использовать учетные данные клиента
при выполнении проверки подлинности для службы на внутреннем сервере (например, для базы
данных). Чтобы такая проверка подлинности была возможна, и на клиенте, и на сервере должны
использоваться учетные записи, доверие к которым при делегировании разрешено.
Неправильное применение этого права пользователя может позволить пользователям, не имеющим
соответствующих полномочий, выдавать себя за других пользователей в сети. Злоумышленник может
воспользоваться этим правом для получения доступа к сетевым ресурсам под видом другого
пользователя, что может затруднить анализ происшествий в сфере безопасности.
На контроллерах домена в среде SSLF право пользователя Разрешение доверия к учетным
записям компьютеров и пользователей при делегировании назначается только группе
Администраторы. В средах LC и EC этому параметру политики присваивается значение Не
определен.
Примечание. Хотя в политике контроллеров домена по умолчанию это право пользователя
назначается группе Администраторы, в базовой политике контроллеров домена это право
реализуется только в среде SSLF, потому что данная политика первоначально была основана на
базовой политике рядовых серверов. В базовой политике рядовых серверов этому параметру
присваивается значение NULL.
Загрузка и выгрузка драйверов устройств
Этот параметр политики определяет, какие пользователи могут загружать и выгружать драйверы
устройств, и необходим для загрузки и выгрузки драйверов устройств, поддерживающих технологию
Plug and Play.
Небрежное управление драйверами устройств на контроллерах домена повышает вероятность того, что
нормальная работа контроллеров домена будет нарушена из-за ошибок или вредоносных программ.
Если право загружать и выгружать драйверы устройств предоставить в базовой политике контроллеров
домена только самым надежным пользователям, вероятность нарушения безопасности контроллеров
домена с помощью драйверов устройств будет сведена к минимуму.
По умолчанию право пользователя Загрузка и выгрузка драйверов устройств назначается группе
Операторы печати. Как уже говорилось, создавать общие принтеры на контроллерах домена не
рекомендуется, поэтому членам группы Операторы печати возможность загрузки и выгрузки
драйверов устройств не нужна. Таким образом, в базовой политике контроллеров домена во всех трех
средах, определенных в данном руководстве, право пользователя Загрузка и выгрузка драйверов
устройств назначается только группе Администраторы.
Восстановление файлов и каталогов
Этот параметр политики определяет пользователей, которые могут обойти разрешения на работу с
файлами и каталогами при их восстановлении. Владельцем объекта может быть назначен любой
действительный участник безопасности.
Учетная запись, которой разрешено восстанавливать файлы и каталоги в файловой системе
контроллера домена, может легко изменять исполняемые файлы. Злоумышленники могут использовать
это не только для нарушения работы контроллера домена, но и для взлома защиты домена или всего
леса.
По умолчанию право пользователя Восстановление файлов и каталогов назначается группам
Операторы сервера и Операторы архива. Если лишить эти группы данного права и назначить его
только группе Администраторы, вероятность нарушения безопасности контроллера домена из-за
неправильных изменений файловой системы будет снижена. Таким образом, в базовой политике
контроллеров домена во всех трех средах, определенных в данном руководстве, право пользователя
Восстановление файлов и каталогов назначается только группе Администраторы.
Завершение работы системы
Этот параметр политики определяет, какие пользователи могут завершать работу локального
компьютера.
Злоумышленники, имеющие возможность завершать работу контроллеров домена, способны легко
устроить атаку типа «отказ в обслуживании», которая может серьезно нарушить работу всего домена
или леса. Хакер может использовать это право для повышения уровня прав учетной записи на
контроллере домена при перезапуске служб. Успешное повышение уровня прав ставит под угрозу
безопасность домена или всего леса.
По умолчанию право пользователя Завершение работы системы назначается группам
Администраторы, Операторы сервера, Операторы печати и Операторы архива. В средах с
высокими требованиями к безопасности ни одна из этих групп за исключением группы
Администраторы не нуждается в данном праве для выполнения административных задач. Поэтому в
базовой политике контроллеров домена во всех трех средах, определенных в данном руководстве,
право пользователя Завершение работы системы назначается только группе Администраторы.
Параметры безопасности
Большинство параметров безопасности контроллеров домена не отличаются от аналогичных
параметров в базовой политике рядовых серверов. Дополнительные сведения см. в главе 4 «Базовая
политика рядовых серверов». Различия параметров базовой политики рядовых серверов и базовой
политики контроллеров домена описаны в следующих разделах.
Параметры контроллеров домена
Таблица 5.5. Параметры безопасности: рекомендации по настройке параметров
контроллеров домена
Параметр
Среда
устаревших
клиентов
Среда
корпоративных
клиентов
Специальная безопасная
среда с ограниченной
функциональностью
Разрешить операторам
Отключен
Отключен
Отключен
Не определен
Не определен
Требуется цифровая
сервера задавать
выполнение заданий по
расписанию
Требование цифровой
подписи для LDAP-сервера
Запретить изменение
подпись
Отключен
Отключен
Отключен
пароля учетных записей
компьютера
Контроллер домена: разрешить операторам сервера задавать выполнение заданий
по расписанию
Этот параметр политики определяет, разрешено ли членам группы Операторы сервера запускать
задания при помощи средства создания расписаний «AT».
Параметру Контроллер домена: разрешить операторам сервера задавать выполнение заданий
по расписанию присваивается значение Отключен в базовой политике контроллеров домена во всех
трех средах, определенных в данном руководстве. В большинстве организаций настройка этого
параметра политики не приводит к значительным изменениям. Пользователи, в том числе члены
группы Операторы сервера, все равно могут создавать задания с помощью мастера планирования
заданий, но они будут выполняться в контексте учетной записи, с которой пользователь прошел
проверку подлинности при настройке задания.
Примечание. Учетную запись службы «AT» можно изменить таким образом, чтобы выбиралась
учетная запись, отличная от учетной записи «ЛОКАЛЬНАЯ СИСТЕМА». Для изменения учетной записи
выберите в меню «Служебные» пункт Назначенные задания и щелкните папку Стандартные. Затем
выберите в меню Дополнительно пункт Учетная запись службы «AT».
Контроллер домена: требование цифровой подписи для LDAP-сервера
Этот параметр политики определяет, требует ли LDAP-сервер подпись до ее согласования с LDAPклиентами. Неподписанный и незашифрованный сетевой трафик уязвим для атак «злоумышленник в
середине», при которых хакер перехватывает пакеты, передаваемые сервером клиенту, изменяет их и
отправляет измененные пакеты клиенту. На LDAP-сервере это позволяет злоумышленнику заставить
LDAP-клиент принимать решения, основанные на ложных записях каталога LDAP.
Если все контроллеры домена работают под управлением Windows 2000 или Windows Server 2003,
присвойте параметру Контроллер домена: требование цифровой подписи для LDAP-сервера
значение Требуется цифровая подпись. В противном случае оставьте значение Не определен,
которое присваивается данному параметру в базовой политике контроллеров домена для сред LC и EC.
В базовой политике контроллеров домена для среды SSLF этому параметру политики присваивается
значение Требуется цифровая подпись, потому что все компьютеры в этой среде работают под
управлением Windows 2000 или Windows Server 2003.
Контроллер домена: запретить изменение пароля учетных записей компьютера
Этот параметр политики определяет, будут ли контроллеры домена отклонять запросы компьютеров,
входящих в домен, на изменение паролей их учетных записей. Если включить этот параметр политики
на всех контроллерах домена в домене, пароли учетных записей компьютеров на членах домена
нельзя будет изменить, из-за чего они будут более уязвимы для атак.
Таким образом, в базовой политике контроллеров домена во всех трех средах, определенных в данном
руководстве, параметру Контроллер домена: запретить изменение пароля учетных записей
компьютера присваивается значение Отключен.
Параметры сетевой безопасности
Таблица 5.6. Параметры безопасности: рекомендации по настройке параметров сетевой
безопасности
Параметр
Среда
Среда
Специальная
устаревших корпоративных безопасная среда с
ограниченной
клиентов
клиентов
функциональностью
Не хранить хэш-значения LAN Manager
Включен
Включен
Включен
при следующей смене пароля
Сетевая безопасность: не хранить хэш-значения LAN Manager при следующей смене
пароля
Этот параметр политики определяет, будут ли храниться хэш-значения LAN Manager (LM) для новых
паролей при изменении пароля. Хэш LM относительно ненадежен и уязвим для атак в сравнении с
более криптостойким хэшем Windows NT®.
По этой причине в базовой политике контроллеров домена во всех трех средах, определенных в
данном руководстве, параметр Сетевая безопасность: не хранить хэш-значения LAN Manager
при следующей смене пароля включен.
Примечание. Включение этого параметра может привести к ошибкам в работе старых операционных
систем и некоторых приложений сторонних разработчиков. Например, в системах Windows 95 и
Windows 98 будут происходить ошибки, если в них не установлено расширение клиента
Active Directory. Кроме того, при включении данного параметра политики нужно изменить пароли всех
учетных записей.
Параметры журнала событий
Параметры журнала событий на контроллерах домена не отличаются от аналогичных параметров в
базовой политике рядовых серверов. Дополнительные сведения см. в главе 4 «Базовая политика
рядовых серверов». Базовые параметры в базовой политике контроллеров домена гарантируют, что на
контроллерах домена будут сохраняться все необходимые сведения аудита безопасности, включая
сведения о доступе к службе каталогов.
Группы с ограниченным доступом
Как было сказано в предыдущей главе, параметр Группы с ограниченным доступом позволяет
управлять членством групп в Windows Server 2003 с пакетом обновления 1 (SP1) с помощью групповой
политики Active Directory. При определении групп, для которых следует ограничить доступ, прежде
всего нужно проанализировать требования организации. Во всех трех средах, описанных в данном
руководстве, группы Операторы сервера и Операторы архива являются на контроллерах домена
группами с ограниченным доступом. Хотя члены групп Операторы сервера и Операторы архива
имеют более ограниченные права, чем члены группы Администраторы, они все равно обладают
широкими возможностями.
Примечание. Если в организации используются какие-либо из этих групп, следует тщательно
контролировать членство в них и отказаться от выполнения рекомендаций по настройкегрупп с
ограниченным доступом. Если организация добавляет пользователей в группу «Пользователи
сервера», можно реализовать необязательные разрешения на работу с файловой системой, описанные
в предыдущей главе в разделе «Защита файловой системы».
Таблица 5.7. Рекомендации по настройке групп с ограниченным доступом
Локальная группа
Среда устаревших Среда корпоративных Специальная безопасная
среда с ограниченной
клиентов
клиентов
функциональностью
Операторы архива
Нет членов
Нет членов
Нет членов
Операторы сервера
Нет членов
Нет членов
Нет членов
В Windows Server 2003 с пакетом обновления 1 (SP1) параметр Группы с ограниченным доступом
можно настроить в следующем разделе редактора объектов групповой политики:
Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Группы с
ограниченным доступом\
Чтобы настроить группы с ограниченным доступом для объекта групповой политики, администраторы
могут добавить нужные группы непосредственно в узел Группы с ограниченным доступом
пространства имен объекта групповой политики.
Если для группы ограничен доступ, можно определить ее членов и любые другие группы, к которым
она относится. Если члены группы не указаны, группа остается полностью закрытой. Доступ для групп
можно ограничить только с помощью шаблонов безопасности.
Просмотр или изменение групп с ограниченным доступом
1.
Откройте консоль управления шаблонами безопасности.
Примечание. По умолчанию консоль управления шаблонами безопасности не добавляется в
меню «Администрирование». Чтобы добавить ее, запустите консоль управления (mmc.exe) и
добавьте надстройку «Шаблоны безопасности».
2.
Дважды щелкните каталог с конфигурационным файлом, а затем — конфигурационный файл.
3.
Дважды щелкните элемент Группы с ограниченным доступом.
4.
Щелкните элемент Группы с ограниченным доступом правой кнопкой мыши.
5.
Выберите пункт Добавить группу.
6.
Нажмите кнопку Обзор, а затем Размещение, выберите места, которые нужно просмотреть, и
нажмите кнопку ОК.
Примечание. Как правило, после этого локальный компьютер отображается в начале списка.
7.
Введите имя группы в поле Введите имена объектов для выбора и нажмите кнопку
Проверить имена.
— или —
Нажмите кнопку Дополнительно, а затем Найти, чтобы просмотреть список всех доступных
групп.
8.
Выберите группы, для которых нужно ограничить доступ, и нажмите кнопку ОК.
9.
Нажмите кнопку ОК в диалоговом окне Добавление групп, чтобы закрыть его.
В средах LC и EC все члены — пользователи и группы — удалены из групп Операторы сервера и
Операторы архива, чтобы полностью закрыть для них доступ. В среде SSLF все члены удалены также
из группы Пользователи удаленного рабочего стола. Корпорация Майкрософт рекомендует
ограничивать доступ для всех встроенных групп, которые не предполагается использовать в
организации.
Примечание. Конфигурация групп с ограниченным доступом, описанная в данном разделе, очень
проста. Системы Windows XP с пакетом обновления 1 и 2 и Windows Server 2003 поддерживают более
сложные схемы. Дополнительные сведения см. в статье базы знаний Майкрософт Изменения работы
пользовательских локальных групп в контексте групп с ограниченным доступом по адресу
http://support.microsoft.com/default.aspx?kbid=810076 (на английском языке).
Дополнительные параметры безопасности
В этом разделе описаны изменения, которые необходимо вручную внести в базовую политику
контроллеров домена, а также дополнительные параметры и защитные меры, которые нельзя
реализовать через групповую политику.
Сопоставление уникальных групп безопасности с правами пользователя вручную
Большинство прав пользователя, назначаемых с помощью базовой политики контроллеров домена,
настроены в шаблонах безопасности, прилагаемых к данному руководству. Однако некоторые учетные
записи и группы безопасности нельзя включить в эти шаблоны, так как их идентификаторы
безопасности (SID) различаются для каждого домена Windows Server 2003. Права пользователей,
которые следует настроить вручную, указаны в таблице ниже.
Внимание! Таблица ниже содержит значения для встроенной учетной записи администратора. Не
следует путать эту учетную запись со встроенной группой безопасности Администраторы. Если с
какими-либо из следующих прав запрета доступа, будет сопоставлена группа безопасности
Администраторы, для исправления этой ошибки нужно будет выполнить локальный вход в систему.
Кроме того, если встроенная учетная запись администратора была переименована в соответствии с
рекомендациями, приведенными в главе 4, при ее сопоставлении со следующими правами
пользователя нужно убедиться в том, что выбрана действительно переименованная учетная запись.
Таблица 5.8. Права пользователя, назначаемые вручную
Параметр
Среда устаревших
клиентов
Среда корпоративных
клиентов
Специальная безопасная
среда с ограниченной
функциональностью
Отказ в
Встроенная учетная запись
Встроенная учетная запись
Встроенная учетная запись
доступе к
администратора,
администратора,
администратора,
компьютеру
Support_388945a0,
Support_388945a0,
Support_388945a0,
из сети
Учетная запись гостя, все
Учетная запись гостя, все
Учетная запись гостя, все
учетные записи служб, не
учетные записи служб, не
учетные записи служб, не
относящихся к
относящихся к
относящихся к
операционной системе
операционной системе
операционной системе
Отказ во
Support_388945a0 и
Support_388945a0 и
Support_388945a0 и
входе в
учетная запись гостя
учетная запись гостя
учетная запись гостя
Запретить
Встроенная учетная запись
Встроенная учетная запись
Встроенная учетная запись
вход в
администратора; все
систему в
качестве
пакетного
задания
администратора; все
администратора; все
систему через учетные записи служб, не
учетные записи служб, не
учетные записи служб, не
службу
относящихся к
относящихся к
относящихся к
терминалов
операционной системе
операционной системе
операционной системе
Внимание! К понятию «все учетные записи служб, не относящихся к операционной системе»
относятся учетные записи служб, используемые на предприятии для определенных приложений,
КРОМЕ таких учетных записей как «ЛОКАЛЬНАЯ СИСТЕМА», «ЛОКАЛЬНАЯ СЛУЖБА» и «СЕТЕВАЯ
СЛУЖБА». Эти встроенные учетные записи используются операционной системой.
Службы каталогов
Контроллеры домена с Windows Server 2003 с пакетом обновления 1 (SP1) хранят данные каталогов и
управляют взаимодействием пользователей и доменов, в том числе процессами входа пользователей в
систему, проверки подлинности и поиска данных в каталогах.
Перемещение файлов баз данных и журналов Active Directory
Для поддержания целостности и надежности каталогов необходимо защищать базу данных
Active Directory и ее файлы журналов.
Файлы Ntds.dit, Edb.log и Temp.edb можно переместить из папки по умолчанию в другое место. Это
помогает скрыть их от злоумышленника на тот случай, если безопасность контроллера домена будет
нарушена. Если переместить их с системного тома на отдельный физический диск, это к тому же
повысит производительность контроллера домена.
Поэтому на контроллерах домена рекомендуется перемещать файлы базы данных и журналов
Active Directory на чередующийся или чередующийся зеркальный том диска, не содержащий
операционной системы. Это относится ко всем трем средам, рассматриваемым в данном руководстве.
Изменение размера файлов журналов Active Directory
Для эффективного контроля и поддержания целостности, надежности и готовности среды
Active Directory необходимо собирать релевантные сведения в адекватном объеме на всех
контроллерах домена в среде.
Выполнение этой задачи можно облегчить, увеличив максимальный размер файлов журналов.
Дополнительные сведения в журналах могут помочь администраторам в проведении аудита при
реагировании на атаки хакеров.
Во всех трех средах, рассматриваемых в данном руководстве, максимальный размер файлов журналов
службы каталогов и службы репликации файлов рекомендуется увеличить на контроллерах домена со
значения по умолчанию (512 КБ) до 16 МБ.
Использование программы Syskey
На контроллерах домена сведения о паролях хранятся в службе Active Directory. Программы взлома
паролей часто используются для проведения атак на базу данных диспетчера учетных записей
безопасности (SAM) или службы каталогов с целью получения паролей учетных записей
пользователей.
Программа System Key (Syskey) обеспечивает дополнительную защиту от таких программ, работающих
в автономном режиме. Для защиты паролей учетных записей, хранящихся в базе данных SAM на
контроллере домена, программа Syskey использует алгоритмы надежного шифрования данных.
Таблица 5.9. Режимы работы программы Syskey
Параметр программы
System Key
Уровень
безопасности
Описание
Режим 1. Создаваемый
Высокий
В качестве системного ключа используется
системой пароль, хранить
создаваемый компьютером случайный ключ,
ключ запуска на локальном
зашифрованная версия которого сохраняется на
диске
локальном компьютере. Этот вариант
обеспечивает надежное шифрование паролей в
реестре и позволяет пользователям
перезапускать компьютер без обращения к
администратору с тем, чтобы он ввел пароль или
вставил дискету.
Режим 2. Создаваемый
Более высокий
В качестве системного ключа используется
администратором пароль,
создаваемый компьютером случайный ключ,
пароль запуска
зашифрованная версия которого сохраняется на
локальном компьютере. Кроме того, ключ
защищается паролем, который выбирает
администратор. Пароль системного ключа
запрашивается у пользователя в ходе запуска
компьютера. На компьютере этот пароль не
хранится.
Режим 3. Создаваемый
Самый высокий
Используется создаваемый компьютером
системой пароль, хранить
случайный ключ, который сохраняется на
ключ запуска на дискете
дискете. Дискета с системным ключом
необходима для запуска компьютера и должна
быть вставлена в дисковод при отображении
соответствующего приглашения в ходе запуска
компьютера. На компьютере системный ключ не
хранится.
Программа Syskey используется на всех серверах Windows Server 2003 с пакетом обновления 1 (SP1) в
режиме 1 (зашифрованный ключ). С точки зрения безопасности это на первый взгляд кажется
благоразумным. Однако при работе в режиме 1 программа Syskey позволяет злоумышленникам читать
и изменять содержимое каталога, что делает контроллер домена легкой мишенью для
злоумышленников, имеющих физический доступ к нему.
Есть много причин рекомендовать использовать программу Syskey в режиме 2 (консольный пароль)
или режиме 3 (хранение пароля Syskey на дискете) на всех контроллерах домена, подвергающихся
физическим угрозам. Однако необходимость перезапускать контроллеры домена затрудняет
использование программы Syskey в режиме 2 или 3. Чтобы можно было воспользоваться
преимуществами дополнительной защиты, обеспечиваемой этими режимами, в среде необходимо
реализовать соответствующие операционные процессы для удовлетворения конкретных требований к
доступности контроллеров домена.
Управление паролями Syskey или дискетами может быть довольно сложным, особенно в филиалах
компаний. Например, если менеджерам филиала или локальным администраторам раз за разом
приходится приезжать ночью в офис, чтобы ввести пароли или вставить дискету в дисковод для
предоставления пользователям доступа к системе, связанные с этим расходы могут оказаться
неприемлемо высокими. Такие строгие требования могут значительно затруднить выполнение
соглашений об уровне обслуживания в контексте доступности систем.
С другой стороны, чтобы централизованное ИТ-отделение могло предоставлять пароли Syskey
удаленно, необходимо дополнительное оборудование. Некоторые изготовители оборудования
предлагают дополнительные решения, обеспечивающие удаленный доступ к консолям сервера.
Наконец, при утрате пароля Syskey или дискеты перезапустить контроллер домена будет невозможно.
Нет никакого способа, позволяющего восстановить контроллер домена в такой ситуации. При утрате
пароля Syskey или дискеты контроллер домена необходимо настраивать заново.
Тем не менее, если реализованы соответствующие операционные процедуры, программа Syskey
позволяет надежнее защитить важные данные каталогов на контроллерах домена. По этим причинам
на контроллерах домена без надежной физической защиты рекомендуется использовать программу
Syskey в режиме 2 или 3. Это относится к контроллерам доменов во всех трех средах, описанных в
данном руководстве.
Чтобы создать или обновить системный ключ, выполните следующие действия.
1.
Нажмите кнопку Пуск, выберите пункт Выполнить, введите syskey и нажмите кнопку ОК.
2.
Установите переключатель в положение Шифрование включено и нажмите кнопку Обновить.
3.
Выберите в появившемся окне нужный вариант и нажмите кнопку ОК.
Служба DNS, интегрированная в Active Directory
Рекомендуется использовать во всех трех средах, описанных в данном руководстве, службу DNS,
интегрированную в Active Directory. Одной из причин этого является то, что интеграция зон Active
Directory упрощает обеспечение безопасности DNS-инфраструктуры в среде со службой DNS,
интегрированной в Active Directory, в сравнении со средой, в которой служба DNS, интегрированная в
Active Directory, не используется.
Защита DNS-серверов
В любой среде Active Directory крайне важно обеспечить безопасность DNS-серверов. В следующих
разделах приводятся рекомендации и указания по поводу того, как это сделать.
При проведении атаки на DNS-сервер одной из целей злоумышленника может быть получение
контроля над данными DNS, возвращаемыми в ответ на запросы DNS-клиентов. Если хакер
контролирует эти данные, он может тайно перенаправить клиентские системы на неавторизованные
компьютеры. Примерами атак этого типа могут служить подделка IP-адресов и заброс ложных данных в
кэш.
При подделке IP-адресов пересылаемому пакету назначается IP-адрес авторизованного пользователя
ради получения доступа к компьютеру или сети. Заброс ложных данных в кэш — это атака, при
которой неавторизованный узел передает ложные сведения о другом узле, записываемые в кэш DNSсервера. В результате клиенты перенаправляются к неавторизованным компьютерам.
Если клиентам разрешено взаимодействовать с неавторизованными компьютерами, пользователи этих
компьютеров могут попытаться получить доступ к сведениям, хранящимся на клиентских системах.
Не все атаки направлены на подделку DNS-серверов. При некоторых атаках типа «отказ в
обслуживании» злоумышленники могут попытаться изменить записи DNS на подлинных DNS-серверах,
чтобы клиентам в ответ на их запросы предоставлялись неверные адреса. Если DNS-сервер будет
возвращать неверные адреса, клиенты и серверы не смогут обнаружить ресурсы, нужные для их
работы, такие как контроллеры домена, веб-серверы или общие папки.
Поэтому маршрутизаторы, используемые в трех средах, определенных в данном руководстве,
настраиваются для отбрасывания поддельных IP-пакетов. Это помогает бороться с подделкой IPадресов DNS-серверов другими компьютерами.
Настройка безопасных динамических обновлений
Клиентская служба DNS в Windows Server 2003 с пакетом обновления 1 поддерживает динамические
обновления DNS, что позволяет клиентским компьютерам добавлять записи DNS непосредственно в
базу данных. Если сервер динамической службы DNS настроен для приема незащищенных обновлений,
злоумышленник может отправить ему вредоносные или несанкционированные обновления с
клиентского компьютера, поддерживающего протокол динамического обновления DNS.
Как минимум, злоумышленник может добавить ложные записи в базу данных DNS. В худшем случае
злоумышленник может перезаписать или удалить подлинные записи в базе данных DNS. Такой
злоумышленник может добиться следующих результатов:
•
Направить клиентские системы на неавторизованные контроллеры доменов. Когда клиент
отправляет запрос DNS, чтобы определить адрес контроллера домена, DNS-сервер с нарушенной
защитой может в соответствии с указаниями злоумышленника возвратить ему адрес
неавторизованного сервера. Затем при помощи других атак, не связанных с DNS, злоумышленник
может добиться передачи клиентом конфиденциальных сведений на неавторизованный сервер.
•
Отправить в ответ на запрос DNS неверный адрес. В этом случае клиенты и серверы не смогут
найти друг друга. Если клиент не может найти сервер, ему не удается получить доступ к каталогу.
Если контроллер домена не может найти другой контроллер домена, репликация каталогов
останавливается, что приводит к отказу в обслуживании, влияющему на пользователей во всем
лесу.
•
Создать условия для отказа в обслуживании. Хранение на сервере крупного файла зоны,
заполненного бессмысленными записями или включающего большое количество записей,
замедляющих репликацию, может привести к исчерпанию свободного места на диске сервера.
Использование безопасных динамических обновлений DNS гарантирует, что запросы на регистрацию
будут обрабатываться только в том случае, если они получены от настоящих клиентов в лесу
Active Directory. Это значительно затрудняет злоумышленнику нарушение целостности DNS-сервера.
По этим причинам во всех трех средах, определенных в данном руководстве, DNS-серверы
Active Directory настраиваются так, чтобы принимать только безопасные динамические обновления.
Ограничение передач зоны авторизованными системами
Зоны имеют большое значение в DNS, поэтому они должны быть доступны более чем с одного DNSсервера в сети. Это необходимо для обеспечения адекватной доступности и отказоустойчивости
системы, обслуживающей запросы разрешения имен. Если зону обслуживают дополнительные
серверы, для репликации и синхронизации всех копий зоны для каждого сервера, обслуживающего
зону, необходимо выполнить передачу зоны.
Кроме того, DNS-сервер, который не ограничивает число узлов, способных запросить передачу зоны,
уязвим перед передачей всей зоны DNS любому, кто ее запросит. Это можно легко сделать с помощью
таких программ, как Nslookup.exe. Подобные средства могут предоставить доступ к набору данных DNS
всего домена, в том числе к сведениям о том, какие узлы выполняют функции контроллеров домена
или веб-серверов, интегрированных в каталог, либо обслуживают базы данных Microsoft SQL Server™.
Поэтому во всех трех средах, определенных в данном руководстве, для DNS-серверов,
интегрированных в Active Directory, разрешается передача зон, но ограничивается диапазон
компьютеров, которые могут запрашивать передачу зоны.
Изменение размера журнала событий и журнала службы DNS
Для эффективного контроля и обслуживания службы DNS необходимо собирать сведения в адекватном
объеме на всех контроллерах домена в среде.
Чтобы администраторы могли эффективно проводить аудит в случае атаки, можно увеличить
максимальный размер файла журнала службы DNS.
Во всех трех средах, описанных в данном руководстве, максимальный размер файла журнала службы
DNS рекомендуется увеличить на контроллерах домена по меньшей мере до 16 МБ. Кроме того,
следует убедиться в том, что для службы DNS задан параметр Затирать старые события по
необходимости; это позволяет хранить в журнале больше записей.
Обеспечение безопасности известных учетных записей
Операционная система Windows Server 2003 с пакетом обновления 1 (SP1) содержит ряд встроенных
учетных записей пользователей, которые нельзя удалить, но можно переименовать. Две самые
известные встроенные учетные записи Windows Server 2003 — «Гость» и «Администратор».
На рядовых серверах и контроллерах домена учетная запись гостя по умолчанию отключена и
включать ее не рекомендуется. Многие вредоносные программы для получения несанкционированного
доступа к серверу в первую очередь пытаются использовать встроенную учетную запись
администратора. Поэтому следует переименовать встроенную учетную запись «Администратор» и
изменить ее описание, чтобы предотвратить нарушение безопасности удаленных серверов
злоумышленниками, пытающимися использовать эту широко известную учетную запись.
Эффективность такого переименования в последние годы снизилась из-за появления средств атаки,
указывающих при обращении к серверу идентификатор безопасности (SID) встроенной учетной записи
администратора. По идентификатору безопасности определяется настоящее имя учетной записи, после
чего делается попытка несанкционированного доступа. Идентификатор безопасности — это число,
однозначно определяющее каждого пользователя, группу, учетную запись компьютера или сеанс входа
в систему при работе в сети. Изменить идентификатор безопасности этой встроенной учетной записи
невозможно. Однако оперативные группы организации смогут с легкостью отслеживать попытки атак
на учетную запись администратора, если ей будет присвоено уникальное имя.
Чтобы защитить известные учетные записи в доменах и на серверах, выполняйте приведенные ниже
рекомендации.
•
Переименуйте учетные записи администратора и гостя в каждом домене и на каждом сервере,
•
Для каждого сервера назначайте разные пароли и имена учетных записей. При использовании
используйте длинные и сложные пароли.
одинаковых паролей и имен учетных записей злоумышленник, получив доступ к одному из рядовых
серверов, сможет получить доступ и к остальным системам, где используется то же сочетание имени
и пароля.
•
Чтобы предотвратить идентификацию учетной записи по ее описанию, смените описание.
•
Храните записи сделанных изменений в безопасном месте.
Примечание. Встроенную учетную запись администратора можно переименовать с помощью
групповой политики. Данный параметр политики не был реализован ни в одном из шаблонов
безопасности, содержащихся в настоящем руководстве, так как каждая организация должна сама
выбрать уникальное имя для данной учетной записи. Однако во всех трех средах, описанных в данном
руководстве, параметр Учетные записи: переименование учетной записи администратора
можно настроить так, чтобы учетным записям администраторов были присвоены другие имена. Этот
параметр политики является одним из параметров безопасности объекта групповой политики.
Защита учетных записей служб
Без необходимости не настраивайте службы на запуск в контексте безопасности учетной записи
домена. Имея физический доступ к серверу, пароли учетной записи домена очень просто получить,
выгрузив секретные данные из LSA. Дополнительные сведения об укреплении безопасности учетных
записей служб см. в руководстве по планированию обеспечения безопасности служб и служебных
учетных записей по адресу http://go.microsoft.com/fwlink/?LinkId=41311 (на английском языке).
Параметры служб терминалов
Таблица 5.10. Рекомендации по настройке параметров служб терминалов
Параметр по умолчанию
Среда
устаревших
клиентов
Среда
Специальная безопасная
корпоративных среда с ограниченной
клиентов
функциональностью
Установить уровень
Высокий
Высокий
Высокий
шифрования для клиентских
подключений
Параметр Установить уровень шифрования для клиентских подключений определяет уровень
шифрования клиентских подключений служб терминалов в среде. Значение Высокий, при котором
используется 128-разрядное шифрование, предотвращает прослушивание сеансов служб терминалов с
помощью анализатора пакетов. Некоторые старые версии клиентов служб терминалов не
поддерживают этот уровень шифрования. Если сеть содержит такие клиенты, задайте для
отправляемых и принимаемых данных самый высокий уровень шифрования, поддерживаемый
клиентом.
В базовой политике контроллеров домена во всех трех средах, рассматриваемых в данном
руководстве, параметру Установить уровень шифрования для клиентских подключений
присваивается значение Включен и выбирается Высокий уровень шифрования.
В системе Windows Server 2003 этот параметр политики можно настроить в следующем разделе
редактора объектов групповой политики:
Конфигурация компьютера\Административные шаблоны\Компоненты Windows\
Службы терминалов\Шифрование и безопасность
Три возможных уровня шифрования описаны в таблице ниже.
Таблица 5.11. Уровни шифрования подключений служб терминалов
Уровень шифрования
Описание
Высокий
Данные, отправляемые клиентом серверу и сервером клиенту, шифруются
с использованием надежного 128-разрядного алгоритма. Используйте этот
уровень, если сервер терминалов работает в среде, содержащей только
128-разрядные клиенты (такие как клиенты удаленного рабочего стола).
Клиенты, не поддерживающие этот уровень шифрования, не смогут
подключаться к серверу терминалов.
Совместимый с
Данные, пересылаемые между клиентом и сервером, шифруются с
клиентским
максимальной разрядностью ключа, поддерживаемой клиентом.
Используйте этот уровень, если сервер терминалов работает в среде, в
состав которой входят разные или устаревшие клиенты.
Низкий
Данные, отправляемые клиентом серверу, шифруются с использованием
56-разрядного алгоритма.
Внимание! Данные, отправляемые сервером клиенту, не шифруются.
Отчеты об ошибках
Таблица 5.12. Рекомендации по настройке параметров отчетов об ошибках
Параметр
Среда устаревших
клиентов
Среда
корпоративных
клиентов
Специальная безопасная
среда с ограниченной
функциональностью
Отключить отчеты об
Включен
Включен
Включен
ошибках Windows
Данная служба помогает корпорации Майкрософт отслеживать и устранять ошибки. Эту службу можно
настроить на создание отчетов об ошибках операционной системы, компонентов Windows или
программ. Она имеется только в системах Windows XP Professional и Windows Server 2003.
Служба отчетов об ошибках может уведомить корпорацию Майкрософт об ошибках через Интернет
или сохранить сведения о них во внутренней общей папке. Хотя отчеты об ошибках могут содержать
важные и даже конфиденциальные сведения, политика конфиденциальности корпорации Майкрософт
гарантирует, что корпорация Майкрософт не будет использовать эти сведения ненадлежащим образом.
Однако посторонние могут перехватить и просмотреть эти данные, так как они передаются по
протоколу HTTP открытым текстом.
Параметр Отключить отчеты об ошибках Windows позволяет разрешить или запретить службе
отчетов об ошибках передавать какие-либо данные.
В системе Windows Server 2003 этот параметр политики можно настроить в следующем разделе
редактора объектов групповой политики:
Конфигурация компьютера\Административные шаблоны\Система\Управление связью через
Интернет\Параметры связи через Интернет
Присвойте параметру Отключить отчеты об ошибках Windows значение Включен в базовой
политике контроллеров домена для всех трех сред, определенных в данном руководстве.
Создание политики с помощью мастера настройки безопасности
Для развертывания необходимых параметров безопасности нужно создать базовую политику
контроллеров домена с помощью мастера настройки безопасности и шаблонов безопасности,
прилагаемых к версии данного руководства, которую можно загрузить из Интернета.
При создании собственной политики пропустите разделы «Параметры реестра» и «Политика аудита».
Соответствующие параметры политики будут взяты из шаблонов безопасности для выбранной среды.
Такой способ настройки гарантирует, что элементы политики, содержащиеся в шаблонах, будут иметь
более высокий приоритет по сравнению с элементами, заданными с помощью мастера настройки
безопасности.
Все настройки следует выполнять на компьютере с вновь установленной операционной системой,
чтобы избежать переноса устаревших параметров или приложений из прежних конфигураций. При
возможности, следует установить операционную систему на компьютер, оборудование которого
соответствует использовавшемуся для внедрения, чтобы обеспечить максимальную совместимость.
Компьютер с заново установленной операционной системой называется контрольным компьютером.
Создание базовой политики контроллеров домена
Для создания базовой политики контроллеров домена необходимо использовать компьютер,
настроенный как контроллер домена. Можно использовать существующий контроллер домена или
создать компьютер-образец и сделать его контроллером домена с помощью средства Dcpromo. Однако
большинство организаций предпочитают не добавлять контроллер домена в рабочую среду, потому что
это может нарушить политику безопасности. Если принято решение использовать существующий
контроллер домена, не применяйте к нему никакие параметры с помощью мастера настройки
безопасности и не изменяйте его конфигурацию.
1.
Установите на компьютер мастер настройки безопасности. Откройте для этого панель
управления, дважды щелкните значок «Установка и удаление программ» и выберите вариант
«Установка компонентов Windows».
2.
Запустите графический интерфейс пользователя мастера настройки безопасности, выберите
пункт Создать новую политику и укажите контрольный компьютер.
3.
Убедитесь в том, что обнаруженные роли сервера подходят для среды. Не удаляйте роль
файлового сервера, потому что она необходима для правильной работы контроллеров домена.
4.
Убедитесь в том, что обнаруженные функции клиента подходят для среды.
5.
Убедитесь в том, что обнаруженные административные возможности подходят для среды.
Примечание. Если среда содержит контроллеры домена на разных сайтах, убедитесь в том,
что задан параметр Почтовая репликация Active Directory.
6.
Убедитесь в том, что найдены все дополнительные службы, необходимые для выполнения
базовых функций, например агенты внешних хранилищ и антивирусные программы.
7.
Определите порядок работы со службами, которые не были указаны при создании политики.
Для обеспечения дополнительной безопасности можно установить этот параметр политики в
значение Отключен. Прежде чем развертывать конфигурацию в рабочей сети, ее необходимо
протестировать, так как могут возникнуть проблемы, если на рабочих серверах запущены
дополнительные службы, не продублированные на контрольном компьютере.
8.
Убедитесь в том, что в разделе «Безопасность сети» снят флажок Пропустить этот раздел,
затем нажмите кнопку Далее. Соответствующие порты и приложения, определенные ранее,
настраиваются в качестве исключений брандмауэра Windows.
Примечание. Убедитесь в том, что задан параметр Порты, используемые системными
RPC-приложениями.
9.
В разделе «Параметры реестра» установите флажок Пропустить этот раздел и нажмите
кнопку Далее. Данные параметры политики импортируются из прилагаемого файла с
расширением INF.
10.
В разделе «Политика аудита» установите флажок Пропустить этот раздел и нажмите кнопку
Далее. Данные параметры политики импортируются из прилагаемого файла с расширением
INF.
11.
Включите в политику подходящий шаблон безопасности (например EC-Domain Controller.inf).
12.
Сохраните политику с подходящим именем (например Domain Controller.xml).
Проверка политики с помощью мастера настройки безопасности
После создания и сохранения политики, настоятельно рекомендуется развернуть ее в тестовой среде.
В идеале тестовые серверы должны иметь такое же оборудование и программное обеспечение, как и
рабочие серверы. Это позволит обнаружить и устранить возможные проблемы, например присутствие
непредусмотренных служб, затребованных определенными устройствами.
Для тестирования политики используются два способа. Можно воспользоваться встроенными
функциями развертывания мастера настройки безопасности или развернуть политики с помощью
объекта групповой политики.
Приступая к созданию политик, следует рассмотреть возможность использования встроенных средств
развертывания мастера настройки безопасности. Принудительно отправить политику на отдельный
сервер можно с помощью мастера настройки безопасности, для группы серверов можно использовать
средство Scwcmd. Встроенный метод развертывания делает возможным откат примененных политик с
помощью мастера настройки безопасности. Данная функция может быть очень полезна при внесении
множественных изменений в политики в ходе тестирования.
Цель тестирования политик — удостовериться, что применение той или иной политики к серверам не
повлияет негативно на их основные функции. После применения настроек следует проверить базовые
возможности компьютера. Например, если сервер настроен как центр сертификации, следует
удостовериться, что клиенты смогут запрашивать и загружать сертификаты, списки отзыва
сертификатов и т. д.
По окончании работы с настройкой политик, следует использовать команду Scwcmd (см. процедуру
ниже) для преобразования политик в объекты групповой политики.
Дополнительные сведения о тестировании политик мастера настройки безопасности см. в руководстве
по развертыванию для мастера настройки безопасности по адресу
http://technet2.microsoft.com/WindowsServer/rus/Library/5254f8cd-143e-4559-a299-
9c723b3669461033.mspx (на английском языке) и в документации по мастеру настройки безопасности
по адресу http://go.microsoft.com/fwlink/?linkid=43450 (на английском языке).
Преобразование и развертывание политики
После всестороннего тестирования политики выполните следующие действия для ее преобразования в
объект групповой политики и последующего развертывания.
1.
введите в командной строке команду
scwcmd transform /p:<путь_к_политике.xml> /g:<отображаемое_имя_GPO>
и нажмите клавишу ВВОД. Пример.
Примечание. Строка разбита на несколько строк для удобства чтения. Однако при
использовании в системе необходимо ввести команды одной строкой без разрывов.
scwcmd transform /p:"C:\Windows\Security\msscw\Policies\
Domain Controller.xml" /g:"Domain Controller Policy"
Примечание. В приведенном примере текст, который необходимо ввести в командную строку,
разбит на две части в связи с ограничениями экрана. Этот текст следует вводить одной строкой.
2.
Свяжите с помощью консоли управления групповыми политиками созданный объект групповой
политики с подразделением контроллеров домена и переместите его выше политики
контроллеров домена по умолчанию, чтобы назначить ему наивысший приоритет.
Если файл политики безопасности для мастера настройки безопасности содержит параметры
брандмауэра Windows, то для успешного завершения этой процедуры брандмауэр Windows должен
быть запущен на локальном компьютере. Чтобы запустить брандмауэр Windows, откройте панель
управления и выберите пункт Брандмауэр Windows.
Помните, что для репликации созданного объекта групповой политики на все контроллеры доменов
может потребоваться некоторое время, особенно если контроллеры доменов расположены на
нескольких сайтах. Проверив, что репликация объекта групповой политики прошла успешно,
выполните последнюю проверку: убедитесь в том, что нужные параметры политики вступили в силу, а
функциональность систем не пострадала.
Заключение
В этой главе рассказано о том, как усилить защиту серверов контроллеров домена под управлением
Windows Server 2003 с пакетом обновления 1 (SP1) в каждой из трех сред, описанных в данном
руководстве. Большинство описанных в ней параметров политики настраиваются и применяются с
помощью групповой политики. В этой главе также приведены сведения о том, как связать базовую
политику контроллеров домена, дополняющую политику контроллеров домена по умолчанию, с
подразделением контроллеров домена.
Параметры базовой политики контроллеров домена позволяют повысить общую надежность защиты
контроллеров домена в любой среде. Использование двух объектов групповой политики для
обеспечения безопасности контроллеров домена позволяет оставить среду по умолчанию без
изменений и упрощает устранение неполадок.
Некоторые из описываемых в этой главе параметров нельзя применить с помощью групповой
политики. Для этих параметров приведены инструкции по их настройке вручную.
После настройки параметров безопасности контроллеров домена можно позаботиться об обеспечении
безопасности других ролей сервера. Именно этому и посвящены следующие главы данного
руководства.
Дополнительные сведения
Следующие ссылки указывают на материалы с дополнительными сведениями об усилении защиты
контроллеров домена с Windows Server 2003 с пакетом обновления 1 (SP1).
•
Сведения об архитектуре систем корпорации Майкрософт см. в архитектурных руководствах по
корпоративным центрам данных по адресу
www.microsoft.com/resources/documentation/msa/edc/all/solution/
en-us/pak/pag/default.mspx (на английском языке).
•
Сведения о том, как включить анонимный доступ к службе Active Directory, см. в статье базы знаний
Майкрософт Описание вариантов настройки разрешений в программе Dcpromo по адресу
http://support.microsoft.com/?kbid=257988 (на английском языке).
•
Сведения о службе DNS в Windows 2000 см. в документе Служба DNS в Windows 2000 по адресу
www.microsoft.com/technet/prodtechnol/windows2000serv/plan/
w2kdns2.mspx (на английском языке).
•
Дополнительные сведения о службе DNS в Windows 2000 см. в главе 6 интерактивной версии
руководства по базовым сетевым технологиям TCP/IP в наборе ресурсов по Windows 2000 Server по
адресу www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/w2rkbook/CoreNetwork.mspx
(на английском языке).
•
Дополнительные сведения об изменении службы DNS в Windows Server 2003 см. в презентации
PowerPoint Изменения службы DNS в Windows Server 2003 по адресу
http://download.microsoft.com/download/e/1/a/e1aba157-4983-480e-aae5347b4a38ea52/ChangestoDNS.ppt (на английском языке).
•
Дополнительные сведения об ограничении передачи трафика Active Directory см. в статье базы
знаний Майкрософт Ограничение передачи трафика репликации Active Directory определенным
портом по адресу http://support.microsoft.com/?kbid=224196 (на английском языке).
•
Дополнительные сведения об ограничении передачи трафика службы репликации файлов см. в
статье базы знаний Майкрософт Ограничение передачи трафика службы репликации файлов
определенным статическим портом по адресу http://support.microsoft.com/?kbid=319553 (на
английском языке).
•
Дополнительные сведения о службе времени Windows см. в Техническом руководстве по службе
времени Windows по адресу http://technet2.microsoft.com/WindowsServer/rus/Library/a0fcd250-e5f741b3-b0e8-240f8236e2101033.mspx (на английском языке).
•
Дополнительные сведения о подделке IP-адресов см. в PDF-версии статьи Введение в подделку IPадресов по адресу www.giac.org/practical/gsec/Victor_Velasco_GSEC.pdf (на английском языке).
Глава 6. Роль сервера инфраструктуры
Обзор
В этой главе описываются параметры политики, которые можно использовать для укрепления защиты
серверов инфраструктуры с Microsoft® Windows Server™ 2003 с пакетом обновления 1 в трех средах,
описанных в данном руководстве. В данном руководстве под серверами инфраструктуры понимаются
серверы, предоставляющие услуги DHCP или Microsoft WINS.
Большинство параметров, описанных в этой главе, настраиваются и применяются с помощью
групповой политики. Для усиления защиты серверов объект групповой политики, дополняющий
базовую политику рядовых серверов, можно связать с подходящими подразделениями, включающими
серверы инфраструктуры. В данной главе рассматриваются параметры политик, отличающиеся от
параметров базовой политики рядовых серверов.
Данные параметры политик по возможности объединяются и включаются в добавочный объект
групповой политики, применяемый к подразделению серверов инфраструктуры. Некоторые из
описываемых в этой главе параметров нельзя применить с помощью групповой политики. Для этих
параметров приведены подробные сведения по их настройке вручную.
Таблица ниже содержит имена шаблонов безопасности серверов инфраструктуры в трех средах,
описанных в этом руководстве. Эти шаблоны предоставляют параметры политики для добавочного
шаблона сервера инфраструктуры, который, в свою очередь, используется для создания нового
объекта групповой политики, связанного с подразделением серверов инфраструктуры в
соответствующей среде. Пошаговые инструкции по созданию подразделений и групповых политик и
последующему импорту соответствующего шаблона безопасности в объект групповой политики
содержатся в главе 2 «Механизмы укрепления безопасности Windows Server 2003».
Таблица 6.1. Шаблоны и политики безопасности для серверов инфраструктуры
Среда устаревших клиентов
Среда корпоративных
клиентов
Специальная безопасная среда
с ограниченной
функциональностью
LC-Infrastructure Server.inf
EC-Infrastructure Server.inf
SSLF-Infrastructure Server.inf
Дополнительные сведения о параметрах безопасности в политике MSBP см. в главе 4 «Базовая
политика рядовых серверов». Сведения обо всех параметрах политики по умолчанию см. в
дополнительном руководстве Угрозы и меры противодействия: параметры безопасности в системах
Windows Server 2003 и Windows XP, которое можно загрузить по
адресу http://go.microsoft.com/fwlink/?LinkId=15159 (на английском языке).
Параметры политики аудита
Параметры политики аудита для серверов инфраструктуры в трех рассматриваемых в данном
руководстве средах, настраиваются с помощью базовой политики рядовых серверов. Дополнительные
сведения о политике MSBP см. в главе 4 «Базовая политика рядовых серверов». Параметры базовой
политики рядовых серверов запись в журнал необходимых сведений аудита безопасности на серверах
инфраструктуры.
Параметры назначения прав пользователя
Параметры назначения прав пользователя для серверов инфраструктуры в трех рассматриваемых в
данном руководстве средах настраиваются с помощью базовой политики рядовых серверов.
Дополнительные сведения о политике MSBP см. в главе 4 «Базовая политика рядовых серверов». В
базовой политике рядовых серверов права пользователя настраиваются одинаково на всех серверах
инфраструктуры.
Параметры безопасности
Параметры безопасности для серверов инфраструктуры в трех рассматриваемых в данном руководстве
средах, настраиваются с помощью базовой политики рядового сервера. Дополнительные сведения о
политике MSBP см. в главе 4 «Базовая политика рядовых серверов». Базовая политика рядовых
серверов обеспечивает одинаковую настройку параметров безопасности на всех серверах
инфраструктуры.
Параметры журнала событий
Параметры журнала событий для серверов инфраструктуры в трех рассматриваемых в данном
руководстве средах настраиваются с помощью базовой политики рядовых серверов. Дополнительные
сведения о политике MSBP см. в главе 4 «Базовая политика рядовых серверов».
Дополнительные параметры безопасности
Параметры безопасности, применяемые с помощью базовой политики рядовых серверов, значительно
повышают надежность защиты серверов инфраструктуры. В этом разделе рассматривается ряд
дополнительных параметров безопасности, на которые следует обратить внимание. Настроить эти
параметры с помощью групповой политики нельзя; это необходимо сделать вручную на всех серверах
инфраструктуры.
Настройка ведения журнала DHCP
По умолчанию служба DHCP регистрирует в журнале событий только события запуска и завершения
работы системы. Чтобы включить запись более подробных сведений в журнал на сервере DHCP,
выполните следующие действия.
1.
Щелкните правой кнопкой мыши сервер DHCP в средстве администрирования DHCP.
2.
Выберите пункт Свойства.
3.
На вкладке Общие диалогового окна Свойства задайте параметр Вести журнал аудита
DHCP.
После этого сервер DHCP создаст файл журнала в следующей папке:
%systemroot%\system32\dhcp\
Сведения о клиентах DHCP зачастую сложно найти в файлах журналов, потому что в большинстве
журналов хранятся только имена компьютеров, но не их IP-адреса. Журналы аудита DHCP
предоставляют дополнительное средство, помогающее искать источники внутренних атак или
оплошностей.
Однако полностью доверять сведениям в этих журналах нельзя, потому что имена узлов и MAC-адреса
могут быть подделаны. (Если адрес подделан, создается впечатление, что данные получены не от того
пользователя, который на самом деле их отправил.) Тем не менее, преимущества обладания этими
сведениями превосходят любые отрицательные следствия включения ведения журнала на сервере
DHCP. При определении того, как конкретный IP-адрес был использован в сети, иногда очень полезно
иметь в своем распоряжении не только IP-адрес и имя компьютера, но и другие сведения.
По умолчанию правом на чтение журналов DHCP обладают члены групп Операторы сервера и
Прошедшие проверку. Для поддержания целостности данных, записываемых в журнал сервером
DHCP, рекомендуется запретить доступ к этим журналам всем, кроме администраторов сервера. Группы
Операторы сервера и Прошедшие проверку следует удалить из списка управления доступом (ACL)
папки %systemroot%\system32\dhcp\.
Теоретически запись данных в журналы аудита DHCP может привести к исчерпанию свободного места
на диске. Однако действующее по умолчанию значение параметра Вести журнал аудита DHCP
гарантирует, что запись данных в журнал будет прекращена, если на сервере останется менее 20 МБ
свободного дискового пространства. Это отвечает требованиям большинства сред, но если нужно
гарантировать, чтобы на диске было достаточно места для других приложений, значение данного
параметра можно изменить. Сведения о настройке данного параметра см. на странице
DhcpLogMinSpaceOnDisk в техническом центре Windows Server 2003 по адресу
http://technet2.microsoft.com/WindowsServer/rus/Library/f7802dce-3ff9-406a-b3e6c0c6b3ed49411033.mspx (на английском языке).
Защита серверов DHCP от атак типа «отказ в обслуживании»
Серверы DHCP являются критически важными системами, обеспечивающими клиентам доступ к сети,
поэтому они могут стать основными мишенями атаки типа «отказ в обслуживании». Если сервер DHCP
не может обслуживать запросы DHCP, клиенты DHCP в конечном итоге не смогут получать в аренду IPадреса. Когда у них завершится срок аренды используемых IP-адресов, клиенты утратят доступ к
сетевым ресурсам.
Довольно легко написать атакующий сценарий, запрашивающий у сервера DHCP все доступные
адреса. После исчерпания IP-адресов сервер больше не сможет обслуживать подлинные запросы
клиентов DHCP. Злоумышленник также может настроить все IP-адреса DHCP на сетевом адаптере
своего компьютера, в результате чего сервер DHCP обнаружит конфликты IP-адресов в своей области
действия и прекратит предоставлять адреса в аренду.
Как и в случае с другими сетевыми службами, атака типа «отказ в обслуживании» (направленная,
например, на захват ресурсов процессора или заполнение буфера запросов прослушивателя DHCP),
из-за которой сервер DHCP перестает отвечать на подлинные запросы, лишает клиентские системы
возможности получать адреса в аренду и обновлять срок ее действия. Этого можно избежать, грамотно
настроив службы DHCP.
Серверы DHCP можно настроить парами в соответствии с правилом 80/20, согласно которому области
действия серверов DHCP нужно разделить между ними так, чтобы 80 % адресов распределял один
сервер DHCP, а 20 % — другой. Это помогает уменьшить ущерб от описанных атак, позволяя клиентам
получать IP-адреса даже при отказе сервера. Дополнительные сведения о правиле 80/20 и протоколе
DHCP см. на странице протокола DHCP в наборе ресурсов Windows 2000 Server Resource Kit по адресу
www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/cnet/cncb_dhc_klom.mspx (на
английском языке).
Примечание. Правило 80/20, описанное в наборе ресурсов Windows 2000 Server Resource Kit,
распространяется также на службы DHCP в системе Windows Server 2003 с пакетом обновления 1
(SP1).
Обеспечение безопасности известных учетных записей
Операционная система Windows Server 2003 с пакетом обновления 1 (SP1) содержит ряд встроенных
учетных записей пользователей, которые нельзя удалить, но можно переименовать. Две самые
известные встроенные учетные записи Windows Server 2003 — «Гость» и «Администратор».
На рядовых серверах и контроллерах домена учетная запись гостя по умолчанию отключена и
включать ее не рекомендуется. Многие вредоносные программы для получения несанкционированного
доступа к серверу в первую очередь пытаются использовать встроенную учетную запись
администратора. Поэтому следует переименовать встроенную учетную запись «Администратор» и
изменить ее описание, чтобы предотвратить нарушение безопасности удаленных серверов
злоумышленниками, пытающимися использовать эту широко известную учетную запись.
Эффективность такого переименования в последние годы снизилась из-за появления средств атаки,
указывающих при обращении к серверу идентификатор безопасности (SID) встроенной учетной записи
администратора. По идентификатору безопасности определяется настоящее имя учетной записи, после
чего делается попытка несанкционированного доступа. Идентификатор безопасности — это число,
однозначно определяющее каждого пользователя, группу, учетную запись компьютера или сеанс входа
в систему при работе в сети. Изменить идентификатор безопасности этой встроенной учетной записи
невозможно. Однако оперативные группы организации смогут с легкостью отслеживать попытки атак
на учетную запись администратора, если ей будет присвоено уникальное имя.
Защита известных учетных записей на серверах инфраструктуры
•
Переименуйте учетные записи администратора и гостя в каждом домене и на каждом сервере,
•
Для каждого сервера назначайте разные пароли и имена учетных записей. При использовании
используйте длинные и сложные пароли.
одинаковых паролей и имен учетных записей злоумышленник, получив доступ к одному из рядовых
серверов, сможет получить доступ и к остальным системам, где используется то же сочетание имени
и пароля.
•
Чтобы предотвратить идентификацию учетной записи по ее описанию, смените описание.
•
Храните записи сделанных изменений в безопасном месте.
Примечание. Встроенную учетную запись администратора можно переименовать с помощью
групповой политики. Данный параметр политики не был реализован ни в одном из шаблонов
безопасности, содержащихся в настоящем руководстве, так как каждая организация должна сама
выбрать уникальное имя для данной учетной записи. Однако во всех трех средах, описанных в данном
руководстве, параметр Учетные записи: переименование учетной записи администратора
можно настроить так, чтобы учетным записям администраторов были присвоены другие имена. Этот
параметр политики является одним из параметров безопасности объекта групповой политики.
Защита учетных записей служб
Без необходимости не настраивайте службы на запуск в контексте безопасности учетной записи
домена. Имея физический доступ к серверу, пароли учетной записи домена очень просто получить,
выгрузив секретные данные из LSA. Дополнительные сведения об укреплении безопасности учетных
записей служб см. в руководстве по планированию обеспечения безопасности служб и служебных
учетных записей по адресу http://go.microsoft.com/fwlink/?LinkId=41311 (на английском языке).
Создание политики с помощью мастера настройки безопасности
Для настройки необходимых параметров безопасности при создании политики сервера следует
использовать как мастер настройки безопасности (SCW), так и шаблоны безопасности, включенные в
загружаемую версию данного руководства.
При создании собственной политики пропустите разделы «Параметры реестра» и «Политика аудита».
Соответствующие параметры политики будут взяты из шаблонов безопасности для выбранной среды.
Такой способ настройки гарантирует, что элементы политики, содержащиеся в шаблонах, будут иметь
более высокий приоритет по сравнению с элементами, заданными с помощью мастера настройки
безопасности.
Все настройки следует выполнять на компьютере с вновь установленной операционной системой,
чтобы избежать переноса устаревших параметров или приложений из прежних конфигураций. При
возможности, следует установить операционную систему на компьютер, оборудование которого
соответствует использовавшемуся для внедрения, чтобы обеспечить максимальную совместимость.
Компьютер с заново установленной операционной системой называется контрольным компьютером.
Во время создания политики сервера из списка обнаруженных ролей можно удалить роль файлового
сервера. Эта роль часто бывает настроена на серверах, где она не нужна, и может представлять угрозу
безопасности. Если на сервере требуется роль файлового сервера, ее можно включить при настройке
другой политики, описанной ниже.
Создание политики серверов инфраструктуры
1.
Установите систему Windows Server 2003 с пакетом обновления 1 (SP1) на новый контрольный
компьютер.
2.
Установите на компьютер мастер настройки безопасности. Откройте для этого панель
управления, дважды щелкните значок «Установка и удаление программ» и выберите вариант
«Установка компонентов Windows».
3.
Подключите компьютер к домену, который выполнит применение всех параметров
безопасности родительских подразделений.
4.
Установите и настройте только обязательные приложения, которые будут установлены на все
серверы, выполняющие данную роль. Примерами могут служить службы, определяемые ролью,
агенты программного обеспечения и управления, агенты внешних хранилищ, а также
антивирусные и антишпионские программы.
5.
Запустите графический интерфейс пользователя мастера настройки безопасности, выберите
пункт Создать новую политику и укажите контрольный компьютер.
6.
Убедитесь в том, что обнаруженные роли сервера (например роли сервера DHCP и сервера
WINS) соответствуют требованиям среды.
7.
Убедитесь в том, что обнаруженные функции клиента подходят для среды.
8.
Убедитесь в том, что обнаруженные административные возможности подходят для среды.
9.
Убедитесь в том, что найдены все дополнительные службы, необходимые для выполнения
базовых функций, например агенты внешних хранилищ и антивирусные программы.
10.
Определите порядок работы со службами, которые не были указаны при создании политики.
Для обеспечения дополнительной безопасности можно установить этот параметр политики в
значение Отключен. Прежде чем развертывать конфигурацию в рабочей сети, ее необходимо
протестировать, так как могут возникнуть проблемы, если на рабочих серверах запущены
дополнительные службы, не продублированные на контрольном компьютере.
11.
Убедитесь в том, что в разделе «Безопасность сети» снят флажок Пропустить этот раздел,
затем нажмите кнопку Далее. Соответствующие порты и приложения, определенные ранее,
настраиваются в качестве исключений брандмауэра Windows.
12.
В разделе «Параметры реестра» установите флажок Пропустить этот раздел и нажмите
кнопку Далее. Данные параметры политики импортируются из прилагаемого файла с
расширением INF.
13.
В разделе «Политика аудита» установите флажок Пропустить этот раздел и нажмите кнопку
Далее. Данные параметры политики импортируются из прилагаемого файла с расширением
INF.
14.
Включите соответствующий шаблон безопасности (например EC-Infrastructure Server.inf).
15.
Сохраните политику с подходящим именем (например Infrastructure Server.xml).
Проверка политики с помощью мастера настройки безопасности
После создания и сохранения политики корпорация Майкрософт настоятельно рекомендует развернуть
ее в тестовой среде. В идеале тестовые серверы должны иметь такое же оборудование и программное
обеспечение, как и рабочие серверы. Это позволит обнаружить и устранить возможные проблемы,
например присутствие непредусмотренных служб, затребованных определенными устройствами.
Для тестирования политики используются два способа. Можно воспользоваться встроенными
функциями развертывания мастера настройки безопасности или развернуть политики с помощью
объекта групповой политики.
Приступая к созданию политик, следует рассмотреть возможность использования встроенных средств
развертывания мастера настройки безопасности. Принудительно отправить политику на отдельный
сервер можно с помощью мастера настройки безопасности, для группы серверов можно использовать
средство Scwcmd. Встроенный метод развертывания позволяет легко откатить развернутые политики с
помощью мастера настройки безопасности. Данная функция может быть очень полезна при внесении
множественных изменений в политики в ходе тестирования.
Цель тестирования политик — удостовериться, что применение той или иной политики к серверам не
повлияет негативно на их основные функции. После применения настроек следует проверить базовые
возможности компьютера. Например, если сервер настроен как центр сертификации, следует
удостовериться, что клиенты смогут запрашивать и загружать сертификаты, списки отзыва
сертификатов и т. д.
По окончании работы с настройкой политик, следует использовать команду Scwcmd (см. процедуру
ниже) для преобразования политик в объекты групповой политики.
Дополнительные сведения о тестировании политик мастера настройки безопасности см. в руководстве
по развертыванию мастера настройки безопасности по адресу
http://technet2.microsoft.com/WindowsServer/rus/Library/5254f8cd-143e-4559-a2999c723b3669461033.mspx(на английском языке) и в документации по мастеру настройки безопасности
по адресу http://go.microsoft.com/fwlink/?linkid=43450 (на английском языке).
Преобразование и развертывание политики
После всестороннего тестирования политики выполните следующие действия для ее преобразования в
объект групповой политики и последующего развертывания.
1.
введите в командной строке команду
scwcmd transform /p:<путь_к_политике.xml> /g:<отображаемое_имя_GPO>
и нажмите клавишу ВВОД. Пример.
Примечание. Строка разбита на несколько строк для удобства чтения. Однако при
использовании в системе необходимо ввести команду одной строкой без разрывов.
scwcmd transform /p:"C:\Windows\Security\msscw\Policies\
Infrastructure.xml" /g:"Infrastructure Policy"
Примечание. В приведенном примере текст, который необходимо ввести в командную строку,
разбит на две части в связи с ограничениями экрана. Этот текст следует вводить одной строкой.
2.
Используйте консоль управления групповыми политиками для сопоставления созданного
объекта групповой политики соответствующему подразделению.
Если файл политики безопасности для мастера настройки безопасности содержит параметры
брандмауэра Windows, то для успешного завершения этой процедуры брандмауэр Windows должен
быть запущен на локальном компьютере. Чтобы запустить брандмауэр Windows, откройте панель
управления и выберите пункт Брандмауэр Windows.
Теперь необходимо провести заключительные испытания, чтобы убедиться в том, что объект групповой
политики применяет требуемые параметры политики. Для завершения процедуры подтвердите, что
значения параметров политики установлены правильно и функциональные возможности не
изменились.
Заключение
В этой главе описаны параметры политики, которые можно использовать на серверах DHCP и WINS с
Windows Server 2003 с пакетом обновления 1 в трех средах, определенных в данном руководстве.
Большинство параметров этих ролей применяются с помощью базовой политики рядовых серверов.
Главная цель создания объекта политики инфраструктуры для серверов DHCP и WINS — обеспечить
полную функциональность и надежную защиту служб, необходимых этим ролям.
Несмотря на то, что базовая политика рядовых серверов обеспечивает высокий уровень безопасности,
в этой главе также приведены другие рекомендации по защите ролей серверов инфраструктуры.
Главной из них является рекомендация создавать файлы журналов.
Дополнительные сведения
Ниже приведены ссылки на документы, содержащие дополнительные сведения по укреплению
безопасности серверов инфраструктуры с Windows Server 2003 с пакетом обновления 1 (SP1).
•
Сведения об изменениях протоколирования DHCP в Windows Server 2003 см. в статье базы знаний
Майкрософт Изменения протоколирования DHCP в Windows Server 2003 по адресу
http://support.microsoft.com/?kbid=328891 (на английском языке).
•
Дополнительные сведения о протоколе DHCP см. на странице Протокол DHCP по адресу
www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/cnet/cncb_dhc_klom.mspx (на
английском языке).
•
Дополнительные сведения о службе WINS см. в документе Обзорные сведения о службе WINS в
Windows 2000 Server по адресу
www.microsoft.com/technet/archive/windows2000serv/evaluate/featfunc/nt5wins.mspx (на английском
языке).
•
Дополнительные сведения об установке службы WINS в Windows Server 2003 см. на странице
Установка серверов WINS и управление ими по адресу
http://technet2.microsoft.com/WindowsServer/rus/library/a29d0a59-8bdd-4a82-a980b53bd72fcb0e1033.mspx?mfr=true (на английском языке).
Глава 7. Роль файлового сервера
Обзор
Укрепление безопасности файловых серверов с Microsoft® Windows Server™ 2003 с пакетом
обновления 1 (SP1) может стать трудной задачей, поскольку важнейшие службы, предоставляемые
этими серверами, требуют использования протоколов SMB (Server Message Block) и CIFS (Common
Internet File System). Эти протоколы могут обеспечивать раскрытие информации пользователям, не
прошедшим проверку подлинности, поэтому их обычно отключают в системах Windows с высоким
уровнем безопасности. Однако отключение этих протоколов может вызвать трудности с доступом
пользователей и администраторов к файловым серверам.
Большинство параметров политик в данной главе настраивается и применяется посредством групповой
политики. Объект групповой политики, дополняющий базовую политику рядовых серверов, может быть
соотнесен с соответствующими подразделениями, содержащими файловые серверы, для обеспечения
необходимых параметров безопасности для данной роли сервера. В данной главе рассматриваются
параметры политик, отличающиеся от параметров базовой политики рядовых серверов.
Данные параметры политик по возможности объединяются и включаются в добавочный объект
групповой политики, применяемый к подразделению файловых серверов. Некоторые из параметров,
рассматриваемых в данной главе, нельзя применить посредством групповой политики. В этой главе
также содержатся дополнительные сведения о настройке таких параметров политик вручную.
В следующей таблице содержатся названия шаблонов безопасности файловых серверов для трех сред,
определенных в настоящем руководстве. Данные шаблоны содержат параметры для добавочного
шаблона файлового сервера, который, в свою очередь, используется для создания нового объекта
групповой политики, соотносимого с подразделением файловых серверов в соответствующей среде.
Пошаговые инструкции по созданию подразделений и групповых политик и последующему импорту
соответствующего шаблона безопасности в объект групповой политики содержатся в главе 2
«Механизмы укрепления безопасности Windows Server 2003».
Таблица 7.1. Шаблоны безопасности файлового сервера
Среда устаревших
клиентов
Среда корпоративных
клиентов
Специальная безопасная среда с
ограниченной
функциональностью
LC-File Server.inf
EC-File Server.inf
SSLF-File Server.inf
Дополнительные сведения о параметрах безопасности в политике MSBP см. в главе 4 «Базовая
политика рядовых серверов». Сведения обо всех параметрах политики по умолчанию см. в
дополнительном руководстве Угрозы и меры противодействия: параметры безопасности в системах
Windows Server 2003 и Windows XP, которое можно загрузить по
адресу http://go.microsoft.com/fwlink/?LinkId=15159 (на английском языке).
Параметры политики аудита
Параметры политики аудита для файловых серверов в трех рассматриваемых в данном руководстве
средах, настраиваются с помощью базовой политики рядовых серверов (MSBP). Дополнительные
сведения о политике MSBP см. в главе 4 «Базовая политика рядовых серверов». Параметры MSBP
активируют ведение журнала параметров аудита безопасности на всех файловых серверах.
Назначение прав пользователя
Параметры назначения прав пользователя для файловых серверов в трех рассматриваемых в данном
руководстве средах настраиваются с помощью базовой политики рядовых серверов. Дополнительные
сведения о политике MSBP см. в главе 4 «Базовая политика рядовых серверов». Параметры MSBP
обеспечивают однородную настройку всех соответствующих назначений прав пользователя на всех
файловых серверах.
Параметры безопасности
Параметры безопасности для файловых серверов в трех рассматриваемых в данном руководстве
средах, настраиваются с помощью базовой политики рядовых серверов. Дополнительные сведения о
политике MSBP см. в главе 4 «Базовая политика рядовых серверов». Параметры базовой политики
рядовых серверов обеспечивают единообразную настройку всех соответствующих параметров
безопасности на всех файловых серверах.
Параметры журнала событий
Параметры журнала событий для файловых серверов в трех рассматриваемых в данном руководстве
средах настраиваются с помощью базовой политики рядовых серверов. Дополнительные сведения о
политике MSBP см. в главе 4 «Базовая политика рядовых серверов».
Дополнительные параметры безопасности
Хотя параметры безопасности, применяемые MSBP, значительно улучшают безопасность файловых
серверов, в данном разделе рассматриваются некоторые дополнительные факторы. Следует также
учесть, что параметры, описанные в данном разделе, нельзя реализовать с помощью групповой
политики. Их внедрение необходимо выполнять вручную на всех файловых серверах.
Обеспечение безопасности известных учетных записей
Операционная система Windows Server 2003 с пакетом обновления 1 (SP1) содержит ряд встроенных
учетных записей пользователей, которые нельзя удалить, но можно переименовать. Две самые
известные встроенные учетные записи Windows Server 2003 — «Гость» и «Администратор».
На рядовых серверах и контроллерах домена учетная запись гостя по умолчанию отключена и
включать ее не рекомендуется. Многие вредоносные программы для получения несанкционированного
доступа к серверу в первую очередь пытаются использовать встроенную учетную запись
администратора. Поэтому следует переименовать встроенную учетную запись «Администратор» и
изменить ее описание, чтобы предотвратить нарушение безопасности удаленных серверов
злоумышленниками, пытающимися использовать эту широко известную учетную запись.
Эффективность такого переименования в последние годы снизилась из-за появления средств атаки,
указывающих при обращении к серверу идентификатор безопасности (SID) встроенной учетной записи
администратора. По идентификатору безопасности определяется настоящее имя учетной записи, после
чего делается попытка несанкционированного доступа. Идентификатор безопасности — это число,
однозначно определяющее каждого пользователя, группу, учетную запись компьютера или сеанс входа
в систему при работе в сети. Изменить идентификатор безопасности этой встроенной учетной записи
невозможно. Однако оперативные группы организации смогут с легкостью отслеживать попытки атак
на учетную запись администратора, если ей будет присвоено уникальное имя.
Чтобы укрепить безопасность известных учетных записей на файловом сервере, выполните
следующие действия:
•
Переименуйте учетные записи администратора и гостя и затем измените пароли, подбирая длинные
•
Для каждого сервера назначайте разные пароли и имена учетных записей. При использовании
и сложные сочетания, на каждом домене и сервере.
одинаковых паролей и имен учетных записей злоумышленник, получив доступ к одному из рядовых
серверов, сможет получить доступ и к другим.
•
Чтобы предотвратить идентификацию учетной записи по ее описанию, смените описание.
•
Храните записи сделанных изменений в безопасном месте.
Примечание. Встроенную учетную запись администратора можно переименовать с помощью
групповой политики. Данный параметр не был внедрен ни в один из шаблонов безопасности,
содержащихся в настоящем руководстве, так как каждая организация должна выбрать уникальное имя
для данной учетной записи. Однако во всех трех средах, описанных в данном руководстве, параметр
Учетные записи: переименование учетной записи администратора можно настроить так, чтобы
учетным записям администраторов были присвоены другие имена. Этот параметр политики является
одним из параметров безопасности объекта групповой политики.
Защита учетных записей служб
Без необходимости не настраивайте службы на запуск в контексте безопасности учетной записи
домена. Имея физический доступ к серверу, пароли учетной записи домена очень просто получить,
выгрузив секретные данные из LSA. Дополнительные сведения об укреплении безопасности учетных
записей служб см. в руководстве по планированию обеспечения безопасности служб и служебных
учетных записей по адресу http://go.microsoft.com/fwlink/?LinkId=41311 (на английском языке).
Создание политики с помощью мастера настройки безопасности
Для настройки необходимых параметров безопасности при создании политики сервера следует
использовать как мастер настройки безопасности (SCW), так и шаблоны безопасности, включенные в
загружаемую версию данного руководства.
При создании собственной политики пропустите разделы «Параметры реестра» и «Политика аудита».
Соответствующие параметры будут взяты из шаблонов безопасности для выбранной среды. Такой
способ настройки гарантирует, что элементы политики, содержащиеся в шаблонах, будут иметь более
высокий приоритет по сравнению с элементами, заданными с помощью мастера настройки
безопасности.
Все настройки следует выполнять на компьютере с вновь установленной операционной системой,
чтобы избежать переноса устаревших параметров или приложений из прежних конфигураций. При
возможности, следует установить операционную систему на компьютер, оборудование которого
соответствует использовавшемуся для внедрения, чтобы обеспечить максимальную совместимость.
Компьютер с заново установленной операционной системой называется контрольным компьютером.
Чтобы создать политику файлового сервера, выполните следующие действия.
1.
Установите систему Windows Server 2003 с пакетом обновления 1 (SP1) на новый контрольный
компьютер.
2.
Установите на компьютер мастер настройки безопасности. Откройте для этого панель
управления, дважды щелкните значок «Установка и удаление программ» и выберите вариант
«Установка компонентов Windows».
3.
Подключите компьютер к домену, который выполнит применение всех параметров
безопасности родительских подразделений.
4.
Установите и настройте только обязательные приложения, которые будут установлены на все
серверы, выполняющие данную роль. Примерами могут служить службы, определяемые ролью,
агенты программного обеспечения и управления, агенты внешних хранилищ, а также
антивирусные и антишпионские программы.
5.
Запустите графический интерфейс пользователя мастера настройки безопасности, выберите
пункт Создать новую политику и укажите контрольный компьютер.
6.
Убедитесь в том, что обнаруженные роли серверов (например роль файлового сервера)
подходят для среды.
7.
Убедитесь в том, что обнаруженные функции клиента подходят для среды.
8.
Убедитесь в том, что обнаруженные административные возможности подходят для среды.
9.
Убедитесь в том, что найдены все дополнительные службы, необходимые для выполнения
базовых функций, например агенты внешних хранилищ и антивирусные программы.
10.
Определите порядок работы со службами, которые не были указаны при создании политики.
Для обеспечения дополнительной безопасности можно установить этот параметр политики в
значение Отключен. Прежде чем развертывать конфигурацию в рабочей сети, ее необходимо
протестировать, так как могут возникнуть проблемы, если на рабочих серверах запущены
дополнительные службы, не продублированные на контрольном компьютере.
11.
Убедитесь в том, что в разделе «Безопасность сети» снят флажок Пропустить этот раздел,
затем нажмите кнопку Далее. Соответствующие порты и приложения, определенные ранее,
настраиваются в качестве исключений брандмауэра Windows.
12.
В разделе «Параметры реестра» установите флажок Пропустить этот раздел и нажмите
кнопку Далее. Данные параметры политики импортируются из прилагаемого файла с
расширением INF.
13.
В разделе «Политика аудита» установите флажок Пропустить этот раздел и нажмите кнопку
Далее. Данные параметры политики импортируются из прилагаемого файла с расширением
INF.
14.
Включите соответствующие шаблоны безопасности (например EC-File Server.inf).
15.
Сохраните политику, присвоив ей подходящее имя (например File Server.xml).
Проверка политики с помощью мастера настройки безопасности
После создания и сохранения политики корпорация Майкрософт настоятельно рекомендует развернуть
ее в тестовой среде. В идеале тестовые серверы должны иметь такое же оборудование и программное
обеспечение, как и рабочие серверы. Это позволит обнаружить и устранить возможные проблемы,
например присутствие непредусмотренных служб, затребованных определенными устройствами.
Для тестирования политики используются два способа. Можно воспользоваться встроенными
функциями развертывания мастера настройки безопасности или развернуть политики с помощью
объекта групповой политики.
Приступая к созданию политик, следует рассмотреть возможность использования встроенных средств
развертывания мастера настройки безопасности. Принудительно отправить политику на отдельный
сервер можно с помощью графического интерфейса пользователя мастера настройки безопасности, для
группы серверов можно использовать средство Scwcmd. Встроенный метод развертывания позволяет
легко откатить развернутые политики с помощью мастера настройки безопасности. Данная функция
может быть очень полезна при внесении множественных изменений в политики в ходе тестирования.
Цель тестирования политик — удостовериться, что применение той или иной политики к серверам не
повлияет негативно на их основные функции. После применения настроек следует проверить базовые
возможности компьютера. Например, если сервер настроен как центр сертификации, следует
удостовериться, что клиенты смогут запрашивать и загружать сертификаты, списки отзыва
сертификатов и т. д.
По окончании работы с настройкой политик, следует использовать команду Scwcmd (см. процедуру
ниже) для преобразования политик в объекты групповой политики.
Дополнительные сведения о тестировании политик мастера настройки безопасности см. в руководстве
по развертыванию мастера настройки безопасности по адресу
http://technet2.microsoft.com/WindowsServer/rus/Library/5254f8cd-143e-4559-a2999c723b3669461033.mspx (на английском языке) и в документации по мастеру настройки безопасности
по адресу http://go.microsoft.com/fwlink/?linkid=43450 (на английском языке).
Преобразование и развертывание политики
После всестороннего тестирования политики выполните следующие действия для ее преобразования в
объект групповой политики и последующего развертывания.
1.
введите в командной строке команду
scwcmd transform /p:<путь_к_политике.xml> /g:<отображаемое_имя_GPO>
и нажмите клавишу ВВОД. Пример.
Примечание. Строка разбита на несколько строк для удобства чтения. Однако при
использовании в системе необходимо ввести команду одной строкой без разрывов.
scwcmd transform /p:"C:\Windows\Security\msscw\Policies\
File Server.xml" /g:"File Server Policy"
Примечание. В приведенном примере текст, который необходимо ввести в командную строку,
разбит на две части в связи с ограничениями экрана. Этот текст следует вводить одной строкой.
2.
Используйте консоль управления групповыми политиками для сопоставления созданного
объекта групповой политики соответствующему подразделению.
Если файл политики безопасности для мастера настройки безопасности содержит параметры
брандмауэра Windows, то для успешного завершения этой процедуры брандмауэр Windows должен
быть запущен на локальном компьютере. Чтобы запустить брандмауэр Windows, откройте панель
управления и выберите пункт Брандмауэр Windows.
Выполните окончательную проверку правильности значений параметров объекта групповых политик.
Для этого необходимо подтвердить, что были установлены соответствующие параметры и
функциональность не пострадала.
Заключение
В данной главе описаны параметры безопасности, которые можно использовать для настройки
файловых серверов с Windows Server 2003 с пакетом обновления 1 (SP1) в трех средах,
рассматриваемых в данном руководстве. Большинство параметров политик применяются через объект
групповой политики (GPO), разработанный в качестве дополнения к MSBP. Объекты групповой
политики могут быть связаны с соответствующими подразделениями, содержащими файловые серверы
для обеспечения дополнительной безопасности.
Некоторые параметры безопасности нельзя применить с использованием групповой политики. Для этих
параметров политик представлены сведения о ручной настройке.
Дополнительные сведения
Следующие веб-узлы содержат дополнительные сведения по темам, связанным с укреплением
безопасности файловых серверов с Windows Server 2003 с пакетом обновления 1 (SP1).
•
Дополнительные сведения о файловых серверах см. в статье Технический обзор служб файлов
Windows Server 2003 по адресу www.microsoft.com/windowsserver2003/techinfo/overview/file.mspx
(на английском языке).
•
Дополнительные сведения о распределенной файловой системе (DFS) и службе репликации файлов
см. в центре технологий распределенной файловой системы по адресу
www.microsoft.com/windowsserver2003/technologies/storage/dfs/default.mspx (на английском языке).
Глава 8. Роль сервера печати
Обзор
Основное внимание в данной главе уделяется процессу повышения уровня безопасности серверов
печати под управлением Microsoft® Windows Server™ 2003 с пакетом обновления 1 (SP1). Реализация
этой задачи может оказаться непростым делом. Основным службам, предоставляемым этими
серверами, требуются протоколы SMB и CIFS. Эти протоколы могут предоставлять разнообразные
данные не прошедшим проверку подлинности пользователям. Эти протоколы часто бывают отключены
на серверах печати в средах Windows с высоким уровнем безопасности. Однако если отключить
данные протоколы, пользователям и администраторам будет сложно получить доступ к серверам
печати.
Большинство параметров, описанных в этой главе, настраиваются и применяются с помощью
групповой политики. Объект групповой политики, дополняющий базовую политику рядового сервера
(MSBP), может быть соотнесен с соответствующими подразделениями, содержащими серверы печати,
для обеспечения необходимых параметров безопасности для данной роли сервера. В данной главе
рассматриваются параметры политик, отличающиеся от параметров базовой политики рядовых
серверов.
Эти параметры по возможности собираются в дополнительный шаблон групповой политики, который
будет применен к подразделению сервера печати. Некоторые из описываемых в этой главе параметров
нельзя применить с помощью групповой политики. Для этих параметров приведены подробные
сведения по их настройке вручную.
В следующей таблице содержатся имена шаблонов безопасности серверов печати для трех сред,
определенных в данном руководстве. Эти шаблоны предоставляют параметры политики для
добавочного шаблона сервера печати, который, в свою очередь, используется для создания нового
объекта групповой политики, связанного с подразделением серверов печати в соответствующей среде.
Пошаговые инструкции по созданию подразделений и групповых политик и последующему импорту
соответствующего шаблона безопасности в объект групповой политики содержатся в главе 2
«Механизмы укрепления безопасности Windows Server 2003».
Таблица 8.1. «Шаблоны безопасности сервера печати во всех трех средах».
Среда устаревших
клиентов
Среда корпоративных
клиентов
Специальная безопасная среда с
ограниченной функциональностью
LC-Print Server.inf
EC-Print Server.inf
SSLF-Print Server.inf
Дополнительные сведения о параметрах политики MSBP см. в главе 4 «Базовая политика рядовых
серверов». Дополнительные сведения о параметрах по умолчанию см. в руководстве Угрозы и меры
противодействия: параметры безопасности в системах Windows Server 2003 и Windows XP, которое
можно загрузить по адресу http://go.microsoft.com/fwlink/?LinkId=15159 (на английском языке).
Примечание. К серверам печати, защищенным шаблоном безопасности SSLF-Print Server.inf могут
получить доступ только клиентские компьютеры, защищенные совместимыми параметрами.
Дополнительные сведения об обеспечении безопасности клиентских компьютеров, на которых
установлены параметры, совместимые с SSLF, см. в руководстве по безопасности Windows XP (на
английском языке).
Параметры политики аудита
Параметры политики аудита для серверов печати в трех рассматриваемых в данном руководстве
средах, настраиваются с помощью базовой политики рядового сервера (MSBP). Дополнительные
сведения о политике MSBP см. в главе 4 «Базовая политика рядовых серверов». Параметры MSBP
запускают ведение журнала для данных аудита системы безопасности на всех серверах печати.
Назначение прав пользователя
Параметры назначения прав пользователя для серверов печати в трех рассматриваемых в данном
руководстве средах настраиваются с помощью базовой политики рядового сервера. Дополнительные
сведения о политике MSBP см. в главе 4 «Базовая политика рядовых серверов». Параметры MSBP
обеспечивают однородную настройку прав пользователя на всех серверах печати.
Параметры безопасности
Большинство настроек параметров безопасности для серверов печати в трех рассматриваемых в
данном руководстве средах сделаны с помощью MSBP. Дополнительные сведения о политике MSBP см.
в главе 4 «Базовая политика рядовых серверов». Разница между базовой политикой рядовых серверов
и групповой политикой серверов печати описана в следующем разделе.
Сервер сети Microsoft: использовать цифровую подпись (всегда)
Таблица 8.2. «Рекомендованные параметры для цифровой подписи (всегда)»
Параметр
Среда
устаревших
клиентов
Среда
корпоративных
клиентов
Специальная
безопасная среда с
ограниченной
функциональностью
Сервер сети Microsoft:
Отключен
Отключен
Отключен
использовать цифровую
подпись (всегда)
Этот параметр политики определяет, требуется ли для серверного компонента протокола SMB
цифровая подпись пакетов. Протокол блоков сообщений сервера (SMB) предоставляет основу для
совместного доступа Windows к файлам и принтерам, а также для других сетевых операций (например
для удаленного администрирования Windows). Для предотвращения атак с перехватом, когда SMBпакеты изменяются при передаче, протокол SMB поддерживает установку цифровой подписи для SMBпакетов. Этот параметр безопасности определяет, следует ли согласовать подписывание SMB-пакетов,
перед тем как разрешить дальнейшую связь с SMB-клиентом.
Хотя параметр Сервер сети Microsoft: использовать цифровую подпись (всегда) по умолчанию
выключен, MSBP включает его для серверов в окружении SSLF, что позволяет пользователям печатать,
но не позволяет видеть очередь печати. Пользователи, пытающиеся просмотреть очередь печати,
увидят сообщение об отказе в доступе.
Параметр Сервер сети Microsoft: использовать цифровую подпись (всегда)отключен для
серверов печати во всех трех средах, рассматриваемых в руководстве.
Параметры журнала событий
Параметры журнала событий для серверов печати в трех рассматриваемых в данном руководстве
средах настраиваются с помощью базовой политики рядового сервера. Дополнительные сведения о
политике MSBP см. в главе 4 «Базовая политика рядовых серверов».
Дополнительные параметры безопасности
Хотя параметры безопасности, применяемые с помощью MSBP, значительно повышают безопасность
серверов печати, есть еще некоторые настройки, о которых не стоит забывать. Настройки, описанные
в данном разделе, нельзя реализовать с помощью групповой политики, их необходимо выполнять
вручную на всех серверах печати.
Обеспечение безопасности известных учетных записей
В Microsoft Windows Server 2003 с пакетом обновления 1 (SP1) имеется ряд встроенных учетных
записей, которые нельзя удалить, но можно переименовать. Две самые известные встроенные учетные
записи Windows Server 2003 — «Гость» и «Администратор».
На рядовых серверах и контроллерах домена учетная запись гостя по умолчанию отключена и
включать ее не рекомендуется. Многие вредоносные программы для получения несанкционированного
доступа к серверу в первую очередь пытаются использовать встроенную учетную запись
администратора. Поэтому следует переименовать встроенную учетную запись «Администратор» и
изменить ее описание, чтобы предотвратить нарушение безопасности удаленных серверов
злоумышленниками, пытающимися использовать эту широко известную учетную запись.
Эффективность такого переименования в последние годы снизилась из-за появления средств атаки,
указывающих при обращении к серверу идентификатор безопасности (SID) встроенной учетной записи
администратора. По идентификатору безопасности определяется настоящее имя учетной записи, после
чего делается попытка несанкционированного доступа. Идентификатор безопасности — это число,
однозначно определяющее каждого пользователя, группу, учетную запись компьютера или сеанс входа
в систему при работе в сети. Изменить идентификатор безопасности этой встроенной учетной записи
невозможно. Однако оперативные группы организации смогут с легкостью отслеживать попытки атак
на учетную запись администратора, если ей будет присвоено уникальное имя.
Защита известных учетных записей на серверах печати.
•
Переименуйте учетные записи администратора и гостя и затем измените пароли, подбирая длинные
•
Для каждого сервера назначайте разные пароли и имена учетных записей. При использовании
и сложные сочетания, на каждом домене и сервере.
одинаковых паролей и имен учетных записей злоумышленник, получив доступ к одному из рядовых
серверов, сможет получить доступ и к другим.
•
Чтобы предотвратить идентификацию учетной записи по ее описанию, смените описание.
•
Храните записи сделанных изменений в безопасном месте.
Примечание. Встроенную учетную запись администратора можно переименовать с помощью
групповой политики. Данный параметр не был внедрен ни в один из шаблонов безопасности,
содержащихся в настоящем руководстве, так как каждая организация должна выбрать уникальное имя
для данной учетной записи. Однако параметр Учетные записи: переименование учетной записи
администратора можно настроить таким образом, чтобы переименовать учетную запись
администратора во всех трех средах, рассматриваемых в этом руководстве. Этот параметр политики
является одним из параметров безопасности объекта групповой политики.
Защита учетных записей служб
Без необходимости не настраивайте службы на запуск в контексте безопасности учетной записи
домена. Имея физический доступ к серверу, пароли учетной записи домена очень просто получить,
выгрузив секретные данные из LSA. Дополнительные сведения об укреплении безопасности учетных
записей служб см. в руководстве по планированию обеспечения безопасности служб и служебных
учетных записей по адресу http://go.microsoft.com/fwlink/?LinkId=41311 (на английском языке).
Создание политики с помощью мастера настройки безопасности
Для настройки необходимых параметров безопасности при создании политики сервера следует
использовать как мастер настройки безопасности (SCW), так и шаблоны безопасности, включенные в
загружаемую версию данного руководства.
При создании собственной политики пропустите разделы «Параметры реестра» и «Политика аудита».
Соответствующие параметры будут взяты из шаблонов безопасности для выбранной среды. Такой
способ настройки гарантирует, что элементы политики, содержащиеся в шаблонах, будут иметь более
высокий приоритет по сравнению с элементами, заданными с помощью мастера настройки
безопасности.
Все настройки следует выполнять на компьютере с вновь установленной операционной системой,
чтобы избежать переноса устаревших параметров или приложений из прежних конфигураций. Для
обеспечения максимальной совместимости старайтесь использовать оборудование, аналогичное тому,
которое будет применяться при развертывании. Компьютер с заново установленной операционной
системой называется контрольным компьютером.
Создание политики сервера печати
1.
Установите систему Windows Server 2003 с пакетом обновления 1 (SP1) на новый контрольный
компьютер.
2.
Установите на компьютер мастер настройки безопасности. Откройте для этого панель
управления, дважды щелкните значок «Установка и удаление программ» и выберите вариант
«Установка компонентов Windows».
3.
Подключите компьютер к домену, который выполнит применение всех параметров
безопасности родительских подразделений.
4.
Установите и настройте только обязательные приложения, которые будут установлены на все
серверы, выполняющие данную роль. Примерами могут служить службы, определяемые ролью,
агенты программного обеспечения и управления, агенты внешних хранилищ, а также
антивирусные и антишпионские программы.
5.
Запустите графический интерфейс пользователя мастера настройки безопасности, выберите
пункт Создать новую политику и укажите контрольный компьютер.
6.
Убедитесь в том, что обнаруженные роли серверов (например роль сервера печати) подходят
для среды.
7.
Убедитесь в том, что обнаруженные функции клиента подходят для среды.
8.
Убедитесь в том, что обнаруженные административные возможности подходят для среды.
9.
Убедитесь в том, что найдены все дополнительные службы, необходимые для выполнения
базовых функций, например агенты внешних хранилищ и антивирусные программы.
10.
Определите порядок работы со службами, которые не были указаны при создании политики.
Для обеспечения дополнительной безопасности можно установить этот параметр политики в
значение Отключен. Прежде чем развертывать конфигурацию в рабочей сети, ее необходимо
протестировать, так как могут возникнуть проблемы, если на рабочих серверах запущены
дополнительные службы, не продублированные на контрольном компьютере.
11.
Убедитесь в том, что в разделе «Безопасность сети» снят флажок Пропустить этот раздел,
затем нажмите кнопку Далее. Соответствующие порты и приложения, определенные ранее,
настраиваются в качестве исключений брандмауэра Windows.
12.
В разделе «Параметры реестра» установите флажок Пропустить этот раздел и нажмите
кнопку Далее. Данные параметры политики импортируются из прилагаемого файла с
расширением INF.
13.
В разделе «Политика аудита» установите флажок Пропустить этот раздел и нажмите кнопку
Далее. Данные параметры политики импортируются из прилагаемого файла с расширением
INF.
14.
Включите соответствующий шаблон безопасности (например EC-Print Server.inf).
15.
Сохраните политику с соответствующим именем (например Print Server.xml).
Проверка политики с помощью мастера настройки безопасности
После создания и сохранения политики корпорация Майкрософт настоятельно рекомендует развернуть
ее в тестовой среде. В идеале тестовые серверы должны иметь такое же оборудование и программное
обеспечение, как и рабочие серверы. Это позволит обнаружить и устранить возможные проблемы,
например присутствие непредусмотренных служб, затребованных определенными устройствами.
Для тестирования политики используются два способа. Можно воспользоваться встроенными
функциями развертывания мастера настройки безопасности или развернуть политики с помощью
объекта групповой политики.
Приступая к созданию политик, следует рассмотреть возможность использования встроенных средств
развертывания мастера настройки безопасности. Принудительно отправить политику на отдельный
сервер можно с помощью мастера настройки безопасности, для группы серверов можно использовать
средство Scwcmd. Встроенный метод развертывания делает возможным откат примененных политик с
помощью мастера настройки безопасности. Данная функция может быть очень полезна при внесении
множественных изменений в политики в ходе тестирования.
Цель тестирования политик — удостовериться, что применение той или иной политики к серверам не
повлияет негативно на их основные функции. После применения настроек следует проверить базовые
возможности компьютера. Например, если сервер настроен как центр сертификации, следует
удостовериться, что клиенты смогут запрашивать и загружать сертификаты, списки отзыва
сертификатов и т. д.
По окончании работы с настройкой политик, следует использовать команду Scwcmd (см. процедуру
ниже) для преобразования политик в объекты групповой политики.
Дополнительные сведения о тестировании политик мастера настройки безопасности см. в руководстве
по развертыванию мастера настройки безопасности по адресу
http://technet2.microsoft.com/WindowsServer/rus/Library/5254f8cd-143e-4559-a2999c723b3669461033.mspx(на английском языке) и в документации по мастеру настройки безопасности
по адресу http://go.microsoft.com/fwlink/?linkid=43450 (на английском языке).
Преобразование и развертывание политики
После всестороннего тестирования политики выполните следующие действия для ее преобразования в
объект групповой политики и последующего развертывания.
1.
введите в командной строке команду
scwcmd transform /p:<путь_к_политике.xml> /g:<отображаемое_имя_GPO>
и нажмите клавишу ВВОД. Пример.
Примечание. Строка разбита на несколько строк для удобства чтения. Однако при
использовании в системе необходимо ввести команду одной строкой без разрывов.
scwcmd transform /p:"C:\Windows\Security\msscw\Policies\
Print Server.xml" /g:"Print Server Policy"
Примечание. В приведенном примере текст, который необходимо ввести в командную строку,
разбит на две части в связи с ограничениями экрана. Этот текст следует вводить одной строкой.
2.
Используйте консоль управления групповыми политиками для сопоставления созданного
объекта групповой политики соответствующему подразделению.
Если файл политики безопасности для мастера настройки безопасности содержит параметры
брандмауэра Windows, то для успешного завершения этой процедуры брандмауэр Windows должен
быть запущен на локальном компьютере. Чтобы запустить брандмауэр Windows, откройте панель
управления и выберите пункт Брандмауэр Windows.
Выполните окончательную проверку правильности значений параметров объекта групповых политик.
Для этого необходимо подтвердить, что были установлены соответствующие параметры и
функциональность не пострадала.
Заключение
В данной главе описаны параметры политик, которые можно использовать для настройки серверов
печати с Windows Server 2003 с пакетом обновления 1 (SP1) в трех средах, рассматриваемых в данном
руководстве. Большинство параметров политик применяются через объект групповой политики (GPO),
разработанный в качестве дополнения к MSBP. Объекты групповой политики могут быть связаны с
соответствующими подразделениями, содержащими серверы печати для обеспечения дополнительной
безопасности.
Некоторые описанные параметры политики нельзя применить с помощью групповой политики. Для
этих параметров политик представлены сведения о ручной настройке.
Дополнительные сведения
Дополнительные сведения по укреплению безопасности серверов с Windows Server 2003 с пакетом
обновлений 1 (SP1) см. по следующим ссылкам:
•
Полный обзор серверов печати см. в техническом обзоре служб печати Windows Server 2004,
который можно загрузить по адресу
www.microsoft.com/windowsserver2003/techinfo/overview/print.mspx (на английском языке).
•
Дополнительные сведения о серверах печати см. в статье Новые сведения о службах доступа к
файлам и принтерам по адресу
www.microsoft.com/windowsserver2003/evaluation/overview/technologies/
fileandprint.mspx (на английском языке).
Глава 9. Роль веб-сервера
Обзор
В данной главе содержатся рекомендации по усилению безопасности веб-серверов с Microsoft
Windows Server™ 2003 с пакетом обновлений 1 в конкретной среде. Для обеспечения комплексной
безопасности веб-серверов и приложений в интрасети организации рекомендуется защищать каждый
сервер Microsoft Internet Information Services, а также веб-узлы и приложения на этих серверах от
клиентских компьютеров, которые могут соединиться с ними. Также необходимо защитить эти веб-узлы
и приложения от веб-узлов и приложений, которые запущены на других серверах IIS внутри интрасети
организации.
Для защиты от злоумышленников используемая по умолчанию конфигурация членов семейства
Windows Server 2003 не включает в себя установку IIS. По окончании установки IIS настроен в
максимально защищенном, «заблокированном» режиме. Например, по умолчанию IIS предоставляет
только статичное содержимое. Такие функции как страницы ASP, ASP.Net, включения на стороне
сервера (SSI), веб-публикация DAV и серверные расширения Microsoft FrontPage® включаются только
по решению администратора, поскольку ими могут воспользоваться злоумышленники. Эти функции и
службы можно разрешить через узел расширений веб-служб в диспетчере служб IIS. У диспетчера
служб IIS есть графический пользовательский интерфейс, созданный для упрощения управления IIS.
Он включает в себя возможности для управления файлами и каталогами, настройки групп приложений,
а также управления функциями безопасности, производительности и надежности.
Следует подумать о применении настроек, описанных в следующих разделах этой главы для усиления
уровня безопасности веб-серверов IIS, на которых находится HTML-содержимое в интрасети
организации. Для защиты серверов также следует запустить процедуры наблюдения, обнаружения и
реагирования для противодействия новым угрозам.
Большинство параметров, описанных в этой главе, настраиваются и применяются с помощью
групповой политики. Добавочный объект групповой политики, дополняющий базовую политику
рядовых серверов, привязан к соответствующим подразделениям и обеспечивает дополнительную
защиту веб-серверов. Для удобства в данной главе описываются только параметры политик, отличные
от базовой политики рядовых серверов.
По возможности эти параметры объединяют в дополнительный шаблон групповой политики, который
будет применен к подразделению веб-серверов. Некоторые из описываемых в этой главе параметров
нельзя применить с помощью групповой политики. Для этих параметров приведены подробные
сведения по их настройке вручную.
Таблица ниже содержит имена шаблонов безопасности веб-серверов в трех средах, описанных в этом
руководстве. Эти шаблоны предоставляют параметры политики для добавочного шаблона веб-сервера.
Шаблон веб-сервера, в свою очередь, можно использовать для создания нового объекта групповой
политики, связанного с подразделением веб-серверов в соответствующей среде. В главе 2 «Механизмы
укрепления безопасности Windows Server 2003» содержатся подробные инструкции по созданию
подразделений и групповых политик с последующим импортом соответствующих шаблонов
безопасности в каждый объект политики безопасности.
Таблица 9.1. Шаблоны безопасности сервера IIS
Среда устаревших клиентов
Среда корпоративных
клиентов
Специальная безопасная среда
с ограниченной
функциональностью
LC-Web Server.inf
EC-Web Server.inf
SSLF-Web Server.inf
Сведения обо всех параметрах по умолчанию см. в дополнительном руководстве Угрозы и меры
противодействия: параметры безопасности в системах Windows Server 2003 и Windows XP, которое
можно загрузить по адресу http://go.microsoft.com/fwlink/?LinkId=15159 (на английском языке).
В этом руководстве рассказывается, как защитить IIS при минимальном количестве установленных и
запущенных компонентов. Если планируется использовать дополнительные возможности IIS, то
следует настроить некоторые параметры безопасности. При установке дополнительных служб (SMTP,
FTP и NNTP) следует настроить предоставленные шаблоны и политики.
В статье IIS и встроенные учетные записи (IIS 6.0) по адресу
www.microsoft.com/technet/prodtechnol/WindowsServer2003/Library/IIS/
3648346f-e4f5-474b-86c7-5a86e85fa1ff.mspx (на английском языке) рассказывает об учетных записях,
которые используются различными функциями IIS и полномочиях, необходимых каждой из них. Для
применения дополнительных параметров безопасности на веб-серверах со сложными приложениями
будет полезно просмотреть полную документацию по IIS 6.0 по адресу
www.microsoft.com/technet/prodtechnol/WindowsServer2003/
Library/IIS/848968f3-baa0-46f9-b1e6-ef81dd09b015.mspx (на английском языке).
Анонимный доступ и параметры SSLF
Четыре права пользователя, строго обозначенные в сценарии SSLF в базовой политике рядовых
серверов, созданы для предотвращения возможности анонимного доступа к веб-узлам IIS. Однако если
необходимо разрешить анонимный доступ в среду SSLF, следует сделать некоторые важные изменения
в структуре подразделений и объектах групповой политики, описанных в главах 2, 3 и 4 данного
руководства. Потребуется создать новое подразделение, не являющееся частью иерархии нижнего
уровня подразделения рядовых серверов. Это подразделение может быть напрямую связано с корнем
доменным корнем или же быть дочерним подразделением другой иерархии. Однако не следует
назначать права пользователей в объекте групповой политики, который может повлиять на серверы
IIS, расположенные в новом подразделении. Можно переместить серверы IIS в новое подразделение,
создать новый объект групповой политики, применить к нему настройки MSBP, а затем перенастроить
назначения прав пользователей так, чтобы они контролировались локальной политикой, а не объектом
групповой политики на базе домена. Другими словами, следует задать значение на Не определено
для перечисленных ниже прав пользователей в новом объекте групповой политики.
•
Доступ к компьютеру из сети
•
Локальный вход в систему
•
Обход перекрестной проверки
•
Вход в систему в качестве пакетного задания
Возможности IIS, которые следует разрешить, определят, можно ли будет также поменять значения
для других прав пользователей на Не определено.
Параметры политики аудита
Параметры политики аудита для серверов IIS в трех рассматриваемых в данном руководстве средах,
настраиваются с помощью базовой политики рядовых серверов. Дополнительные сведения о политике
MSBP см. в главе 4 «Базовая политика рядовых серверов». Параметры MSBP обеспечивают запись в
журнал всех важных сведений об аудите безопасности на всех серверах IIS.
Назначение прав пользователя
Параметры назначения прав пользователя для серверов IIS в трех рассматриваемых в данном
руководстве средах настраиваются с помощью базовой политики рядовых серверов. Дополнительные
сведения о политике MSBP см. в главе 4 «Базовая политика рядовых серверов». Параметры MSBP
обеспечивают запись в журнал всех важных сведений об аудите безопасности на всех серверах IIS.
Параметры безопасности
Параметры безопасности для серверов IIS в трех рассматриваемых в данном руководстве средах,
настраиваются с помощью базовой политики рядовых серверов. Дополнительные сведения о политике
MSBP см. в главе 4 «Базовая политика рядовых серверов». Параметры MSBP обеспечивают
единообразную настройку параметров безопасности на всех серверах IIS.
Параметры журнала событий
Параметры журнала событий для серверов IIS в трех рассматриваемых в данном руководстве средах
настраиваются с помощью базовой политики рядовых серверов. Дополнительные сведения о политике
MSBP см. в главе 4 «Базовая политика рядовых серверов». Параметры MSBP обеспечивают
единообразную настройку нужного журнала событий на всех серверах IIS в организации.
Дополнительные параметры безопасности
При установке IIS на компьютер с Windows Server 2003 с пакетом обновления 1 (SP1) его параметры
по умолчанию позволяют передачу только статичного веб-содержимого. Если веб-узлы и приложения
содержат динамическое содержимое или им требуются дополнительные компоненты IIS, каждая
добавочная функция IIS должна быть включена по отдельности. Однако при этом необходимо
проявлять осторожность, чтобы свести к минимуму количество возможных направлений атаки на
серверы IIS в среде организации. Если веб-узлы организации состоят из статичного содержимого и им
не требуются другие компоненты IIS, тогда настроек IIS по умолчанию хватает для уменьшения
количества возможных направлений атаки на серверы IIS.
Параметры безопасности, применяемые через MSBP, обеспечивают серверам IIS повышенный уровень
безопасности. Однако следует обратить внимание на некоторые дополнительные параметры.
Параметры, описанные в следующих разделах, нельзя применить посредством групповой политики. Их
настройку следует выполнять вручную для каждого сервера IIS.
Установка только необходимых компонентов IIS
IIS 6.0 включает в себя и другие компоненты помимо службы веб-публикаций. В их число входят
службы, предоставляющие поддержку протоколов FTP, NNTP и SMTP. Компоненты и службы IIS
устанавливаются и включаются с помощью сервера приложений мастера компонентов Windows,
который запускается из пункта меню «Установка и удаление программ» в панели управления. По
окончании установки IIS следует включить все компоненты и службы IIS, которые понадобятся вашим
веб-узлам и приложениям.
Установка IIS 6.0
1.
На панели управления дважды щелкните пункт Установка и удаление программ.
2.
Нажмите кнопку Установка и удаление компонентов Windows для запуска мастера
компонентов Windows.
3.
В списке Компоненты щелкните пункт Сервер приложений, а затем нажмите кнопку Состав.
4.
В диалоговом окне Сервер приложений в разделе Состав сервера приложений, щелкните
пункт Службы IIS, а затем нажмите кнопку Состав.
5.
В диалоговом окне Службы IIS в списке составляющих IIS выполните одно из следующих
действий:
•
для добавления дополнительных компонентов установите флажок рядом с компонентом,
•
для удаления дополнительных компонентов, снимите флажок рядом с компонентом, который
который хотите установить;
хотите удалить.
6.
Нажимайте кнопку ОК, пока не вернетесь в мастер компонентов Windows.
7.
Нажмите кнопку Далее, а затем — Готово.
Следует разрешать только важные компоненты IIS, а также службы, необходимые веб-узлам и
приложениям. Разрешив ненужные компоненты и службы, вы повысите количество возможных
направлений атаки на серверы IIS. Следующие иллюстрации и таблицы демонстрируют расположение
и рекомендуемые параметры компонентов IIS.
Подкомпоненты в диалоговом окне сервера приложений показаны на следующем рисунке.
Рисунок 9.1. Диалоговое окно сервера приложений со списком подкомпонентов.
См. полноразмерное изображение
В таблице ниже кратко описаны подкомпоненты сервера приложений и предоставлены рекомендации
по их разрешению.
Таблица 9.2. Рекомендованные настройки подкомпонентов сервера приложений
Имя компонента в
интерфейсе
пользователя
Параметр
Объяснение
Консоль сервера
Отключен
Предоставляет оснастку консоли управления
приложений
(MMC), которую можно использовать в
администрировании компонентов веб-сервера
приложений. Этот компонент не требуется на
выделенном сервере IIS, потому что его функции
может выполнять диспетчер служб IIS.
ASP.NET
Отключен
Обеспечивает поддержку приложений ASP.NET.
Разрешите этот компонент, когда на сервере IIS
работают приложения ASP.NET.
Поддержка сетевого доступа Включен
Позволяет серверу IIS размещать компоненты
по протоколу COM+
COM+ для распределенных приложений. Требуется
для работы протокола FTP, расширения сервера
BITS, службы WWW, диспетчера IIS и др.
Поддержка доступа по
протоколу DTC
Отключен
Позволяет размещать на сервере IIS приложения,
принимающие участие в сетевых транзакциях с
использованием координатора распределенных
транзакций (DTC). Отключите этот компонент,
если установленным на сервере IIS приложениям
он не требуется.
Службы IIS
Включен
Предоставляет основные веб-службы и службы
FTP. Этот компонент необходим выделенным
серверам IIS.
Примечание. Если этот компонент не включен, то
все его подкомпоненты также отключены.
Очередь сообщений
Отключен
Очередь сообщений Microsoft (MSMQ)
обеспечивает маршрутизацию и хранилище
сообщений, а также уровень межплатформенного
программного обеспечения пересылки для
корпоративных веб-приложений.
Подкомпоненты в диалоговом окне Службы IIS показаны на рисунке ниже.
Рисунок 9.2. Диалоговое окно служб IIS со списком подкомпонентов
См. полноразмерное изображение
В таблице ниже кратко описаны подкомпоненты служб IIS и предоставлены рекомендации по их
разрешению.
Таблица 9.3. Рекомендованные параметры подкомпонентов служб IIS
Имя компонента в
интерфейсе
пользователя
Параметр
Серверное расширение BITS Отключен
Объяснение
Серверное расширение BITS позволяет клиентам
отправлять файлы на данный сервер в фоновом
режиме. Если на клиентских компьютерах
установлены приложения, которые используют
BITS для отправки файлов на сервер, тогда
следует включить и настроить серверное
расширение BITS. В противном случае
рекомендуется отключить этот параметр. Обратите
внимание, что Центру обновления Windows, центру
обновления Майкрософт, службам обновления
программного обеспечения, службам обновления
WSUS, а также службе автоматических обновлений
данный компонент для работы не требуется. Этим
службам требуется клиент BITS, не являющийся
частью IIS.
Общие файлы
Включен
Службам IIS требуются эти файлы, и они всегда
должны быть разрешены на серверах IIS.
Служба FTP
Отключен
Позволяет серверам IIS предоставлять FTPслужбы. Эти службы не требуются выделенным
серверам IIS.
Серверные расширение
Отключен
FrontPage 2002
Предоставляет поддержку FrontPage для
администрирования и публикации веб-узлов.
Следует отключить на выделенных серверах IIS,
если веб-узлы не используют расширения
FrontPage.
Диспетчер служб IIS
Включен
Интерфейс администратора для служб IIS
Печать через Интернет
Отключен
Обеспечивает средства веб-управления
принтерами и совместное использование
принтеров через HTTP. Этот компонент не
требуется выделенным серверам IIS.
Служба NNTP
Отключен
Рассылает, запрашивает, получает и публикует
статьи новостей Usenet в Интернете. Этот
компонент не требуется выделенным серверам IIS.
Служба SMTP
Отключен
Поддерживает передачу сообщений электронной
почты. Этот компонент не требуется выделенным
серверам IIS.
Служба WWW
Включен
Предоставляет веб-службы, а также статическое и
динамическое содержимое клиентам. Этот
компонент необходим выделенным серверам IIS.
Подкомпоненты в диалоговом окне Очередь сообщений показаны на рисунке ниже.
Рисунок 9.3. Диалоговое окно очереди сообщений со списком подкомпонентов
См. полноразмерное изображение
В таблице ниже кратко описаны подкомпоненты очереди сообщений и предоставлены рекомендации по
их включению.
Таблица 9.4. Рекомендованные параметры подкомпонентов очереди сообщений
Имя компонента в
интерфейсе
пользователя
Параметр установки
Объяснение
Интеграция с Active
Отключен
Обеспечивает интеграцию со службой
Directory
каталогов Active Directory® при
принадлежности сервера IIS к домену. Этот
компонент необходим, когда службы очереди
сообщений Microsoft (MSMQ) используются
веб-узлами и приложениями, запущенными
на серверах IIS.
Общие
Отключен
Этот компонент необходим, когда службы
MSMQ используются веб-узлами и
приложениями, запущенными на серверах
IIS.
Поддержка клиента
Отключен
нижнего уровня
Обеспечивает доступ к Active Directory и
определение сайта для клиентов нижнего
уровня. Этот компонент необходим, когда
веб-узлы и приложения сервера IIS
используют службы MSMQ.
Поддержка протокола HTTP Отключен
Обеспечивает прием и отправку сообщений
MSMQ
по транспорту HTTP. Этот компонент
необходим, когда веб-узлы и приложения
сервера IIS используют службы MSMQ.
Поддержка маршрутизации
Отключен
Обеспечивает хранение и пересылку
сообщений, а также предоставляет
эффективные службы маршрутизации. Этот
компонент необходим, когда службы MSMQ
используются веб-узлами и приложениями,
запущенными на серверах IIS.
Триггеры
Отключен
Связывает поступление входящих сообщений
в очередь с функциональностью компонента
COM или отдельной исполняемой программы.
На рисунке ниже показаны подкомпоненты в диалоговом окне Серверные расширения BITS.
Рисунок 9.4. Серверные расширения BITS со списком подкомпонентов.
См. полноразмерное изображение
В таблице ниже кратко описаны подкомпоненты серверных расширений BITS и предоставлены
рекомендации по их включению.
Таблица 9.5. Рекомендованные параметры подкомпонентов серверных расширений BITS
Имя компонента в
интерфейсе
пользователя
Параметр установки
Объяснение
Оснастка консоли
Отключен
Устанавливает оснастку MMC для
управления BITS
управления BITS. Включите этот компонент,
когда серверное расширение BITS
разрешено для ISAPI.
Серверные расширения
BITS ISAPI
Отключен
Устанавливает серверные расширения
BITS ISAPI для передачи данных сервером
IIS с помощью BITS. Серверные расширения
BITS позволяют BITS на клиентах
отправлять файлы на данный сервер в
фоновом режиме. Если на клиентках
установлены приложения, использующие
BITS для отправки файлов на сервер, тогда
следует включить и настроить серверное
расширение BITS. В противном случае
рекомендуется отключить этот параметр.
Обратите внимание, что Центру обновления
Windows, центру обновления Майкрософт,
службам обновления программного
обеспечения, службам обновления WSUS, а
также службе автоматических обновлений
данный компонент для работы не требуется.
Этим службам требуется клиент BITS, не
являющийся частью IIS.
На рисунке ниже показаны подкомпоненты в диалоговом окне Служба WWW.
Рисунок 9.5. Диалоговое окно службы WWW со списком подкомпонентов
См. полноразмерное изображение
В таблице ниже кратко описаны подкомпоненты службы WWW и предоставлены рекомендации по их
включению.
Таблица 9.6. Рекомендованные параметры подкомпонентов службы WWW
Имя компонента в
интерфейсе пользователя
Параметр установки
Объяснение
Страницы ASP
Отключен
Предоставляет поддержку ASP. Отключите
данный компонент, если веб-узлам и
приложениям на серверах IIS не требуется
ASP, или запретите его с помощью
расширений веб-служб. Дополнительные
сведения см. в разделе данной главы
«Разрешение только обязательных
расширений веб-служб».
Интернет-подключение к
Отключен
данным (IDC)
Обеспечивает поддержку динамического
содержимого посредством файлов с
расширением IDC. Отключите этот
компонент, если в веб-узлах и
приложениях, работающих на серверах
IIS, отсутствуют файлы с расширением
IDC или запретите компонент с помощью
расширений веб-службы. Дополнительные
сведения см. в разделе данной главы
«Разрешение только обязательных
расширений веб-служб».
Удаленное
администрирование (HTML)
Отключен
Предоставляет HTML-интерфейс для
администрирования IIS. Лучше
использовать диспетчер IIS, так как он
обеспечивает упрощенное
администрирование и уменьшает
количество возможных направлений атаки
на серверы IIS. Этот компонент не
требуется выделенным серверам IIS.
Интернет-подключение к
Отключен
удаленному рабочему столу
Включает в себя элемент Microsoft
ActiveX® и примеры страниц для
соединений клиентов терминальных
служб. Лучше использовать диспетчер IIS,
так как он обеспечивает упрощенное
администрирование и уменьшает
количество возможных направлений атаки
на серверы IIS. Не требуется на
выделенном сервере IIS.
Включения на стороне
Отключен
сервера (SSI)
Обеспечивает поддержку файлов с
расширениями SHTM, SHTML и STM.
Отключите этот компонент, если веб-узлам
и приложениям, работающим на серверах
IIS, не требуются файлы с данными
расширениями.
Протокол WebDAV
Отключен
WebDAV расширяет протокол HTTP/1.1,
позволяя клиентам публиковать и
блокировать ресурсы в Интернете, а также
управлять ими. Отключите этот компонент
на выделенных серверах IIS или
запретите его с помощью расширений вебслужбы. Дополнительные сведения см. в
разделе данной главы «Разрешение
только обязательных расширений вебслужб».
Служба WWW
Включен
Предоставляет веб-службы, а также
статическое и динамическое содержимое
клиентам. Этот компонент необходим
выделенным серверам IIS.
Включение только основных расширений веб-служб
Многие веб-службы и приложения, работающие на серверах IIS, имеют расширенные возможности,
выходящую за рамки статичных страниц. Примером таких возможностей является создание
динамического содержимого. Любое динамическое содержимое, предоставляемое или расширяемое
сервером IIS, выполняется за счет расширений веб-служб.
Дополнительные функции безопасности в IIS 6.0 позволяют разрешать или запрещать расширения
веб-службы. Как уже говорилось ранее, сразу после установки серверы IIS работают только со
статическим содержимым. Возможности работы с динамическим содержимым можно включить через
узел расширений веб-службы в диспетчере IIS. В число этих расширений входят ASP.NET, SSI,
протокол WebDAV и серверные расширения FrontPage.
Включение всех расширений веб-служб является одним из способов обеспечения наибольшей
совместимости с работающими приложениями. Однако этот метод также создает угрозу безопасности,
поскольку увеличивает количество возможных направлений атаки на серверы IIS. Следует разрешать
только те расширения веб-служб, которые необходимы веб-узлам и приложениям, работающим на
серверах IIS в конкретной среде. Это поможет снизить потребление ресурсов сервера и уменьшить
количество возможных направлений атаки на каждый сервер IIS.
Для того чтобы свести к минимуму количество возможных направлений атаки на сервера IIS, на
серверах IIS во всех трех средах, описанных в данном руководстве, разрешены только необходимые
расширения веб-служб.
В таблице ниже перечислены предопределенные расширения веб-служб и объясняется, когда
необходимо включать каждое из расширений.
Таблица 9.7. Включение расширений веб-служб
Расширение веб-службы
Условия включения расширения
Страницы ASP
Один или несколько веб-узлов и приложений, работающих
на серверах IIS, содержат содержимое ASP.
ASP.NET версии 1.1.4322
Один или несколько веб-узлов и приложений, работающих
на серверах IIS, содержат содержимое ASP.NET.
Все неизвестные расширения CGI
Один или несколько веб-узлов и приложений, работающих
на серверах IIS, содержат содержимое неизвестных
расширений CGI.
Все неизвестные расширения ISAPI
Один или несколько веб-узлов и приложений, работающих
на серверах IIS, содержат содержимое неизвестных
расширений ISAPI.
Серверные расширения FrontPage
Один или несколько веб-узлов, работающих на серверах IIS,
2002
используют расширения FrontPage.
Интернет-подключение к данным
Один или несколько веб-узлов и приложений на серверах IIS
(IDC)
используют интернет-подключение к данным для
отображения сведений из баз данных (содержимое с
расширениями IDC и IDX).
Включения на стороне сервера (SSI)
Один или несколько веб-узлов на серверах IIS использую
директивы SSI, чтобы включать многократно используемое
содержимое (например панель навигации, верхний или
нижний колонтитул страницы) в различные веб-страницы.
Протокол WebDAV.
Поддержка WebDAV на серверах IIS требуется для
публикации клиентами веб-ресурсов и управления ими.
Размещение содержимого на выделенном диске
По умолчанию IIS хранит файлы веб-узла в папке <systemroot>\inetpub\wwwroot (где
<systemroot> — диск, на котором установлена операционная система Windows Server 2003).
В трех средах, описанных в данном руководстве, все файлы и папки, составляющие веб-узлы и
приложения, размещены на выделенных дисках отдельно от операционной системы. Такой подход
предотвращает атаки с обходом каталогов, когда злоумышленник посылает запрос на файл,
расположенный за пределами структуры каталогов сервера IIS.
Например, файл Cmd.exe находится в папке <systemroot>\System32. Злоумышленник может
сделать запрос к следующему местоположению:
..\..\Windows\system\cmd.exe
и попытаться вызвать командную строку.
Если содержимое веб-узла находится на отдельном диске, подобная атака не удастся по двум
причинам. Во-первых, права доступа к файлу Cmd.exe были сброшены в соответствии с настройками
по умолчанию Windows Server 2003 с пакетом обновления 1 (SP1), которые дают права доступа
гораздо более ограниченному кругу пользователей. Во-вторых, файл cmd.exe не будет находиться на
том же диске, что и корневой каталог документов. На данный момент не существует известных методов
для доступа к командам на другом диске с помощью этой атаки.
Вдобавок к преимуществам, связанным с безопасностью, следует отметить, что административные
задачи, такие как резервное копирование и восстановление, значительно легче выполнять, когда
папки и файлы веб-узла и приложений находятся на выделенном диске. Кроме того, использование
отдельного, выделенного диска может уменьшить состязание за диск на системном томе и увеличить
скорость доступа к диску.
Настройка разрешений NTFS
Компьютеры с Windows Server 2003 с пакетом обновления 1 (SP1) проверяют разрешения файловой
системы NTFS для определения уровней доступа пользователя или процесса к выбранному файлу или
папке. Во всех трех средах, описанных в данном руководстве, следует назначать разрешения NTFS,
чтобы разрешать или ограничивать доступ определенных пользователей к веб-узлам на серверах IIS.
Разрешения NTFS влияют только на учетные записи, которым разрешен или запрещен доступ к
содержимому веб-узла или приложения. Следует использовать расширения NTFS в сочетании с вебразрешениями, а не вместо них. Веб-разрешения затрагивают всех пользователей, осуществляющих
доступ к веб-узлу или приложению. Если веб-разрешения конфликтуют с разрешениями NTFS для
файла или каталога, применяются параметры с более строгими ограничениями.
Необходимо явным образом запретить анонимным учетным записям доступ к веб-узлам и
приложениям, анонимный доступ к которым нежелателен. Анонимным доступом называется ситуация,
когда пользователь, у которого нет проверенных учетных данных, получает доступ к ресурсам сети. К
анонимным относится встроенная учетная запись гостя, группа Гости и анонимные учетные записи IIS.
Также удалите разрешения на доступ с правом записи для всех пользователей, кроме администраторов
IIS.
В таблице ниже приведены рекомендации по разрешениям NTFS, которые следует применять к
различным типам файлов на сервере IIS. Различные типы файлов можно сгруппировать в отдельные
папки для облегчения применения разрешений NTFS.
Таблица 9.8. Рекомендованные параметры разрешений NTFS
Тип файла
Рекомендованные разрешения NTFS
Файлы CGI (EXE, DLL, CMD, PL)
Все (выполнение)
Администраторы (полный доступ)
Система (полный доступ)
Файлы сценария (ASP)
Все (выполнение)
Администраторы (полный доступ)
Система (полный доступ)
Включаемые файлы (INC, SHTM, SHTML)
Все (выполнение)
Администраторы (полный доступ)
Система (полный доступ)
Статическое содержимое (TXT, GIF, JPG, HTM,
Все (чтение)
HTML)
Администраторы (полный доступ)
Система (полный доступ)
Настройка разрешений веб-узла IIS
IIS проверяет разрешения веб-узла и выбирает допустимые действия на веб-узле, например доступ к
исходному тексту сценария или просмотр каталогов. Во всех трех средах, описанных в данном
руководстве, необходимо назначать разрешения веб-узла для обеспечения дополнительного уровня
безопасности веб-узлов на серверах IIS.
Разрешения веб-узла следует использовать в сочетании с разрешениями NTFS и настраивать отдельно
для каждого веб-узла, папки и файла. В отличие от разрешений NTFS, разрешения веб-узла
распространяются на каждого, кто пытается получить доступ к веб-узлу на сервере IIS. Разрешения
веб-узла можно применить с помощью оснастки диспетчера IIS консоли управления (MMC).
В таблице ниже перечислены разрешения веб-узла, поддерживаемые IIS 6.0, и объясняется, когда
следует назначать определенные разрешения для веб-узла.
Таблица 9.9. Разрешения веб-узла IIS 6.0
Разрешение веб-узла
Разрешение предоставлено
Чтение
Пользователи могут просматривать содержимое и свойства каталогов или
файлов. Это разрешение выбрано по умолчанию.
Запись
Пользователи могут изменять содержимое и свойства каталогов или
файлов.
Доступ к тексту сценария
Пользователи имеют доступ к исходным файлам. Если разрешено чтение,
тогда исходный текст можно просматривать; если разрешена запись, то
можно изменять исходный текст сценария. Доступ к тексту сценария
распространяется на исходный текст сценариев. Если запрещен доступ на
чтение и запись, этот параметр недоступен.
Внимание! Если разрешен доступ к исходному тексту, пользователи
могут получить возможность просматривать важные данные, например
имена пользователей и пароли. Они также могут изменять исходный
текст сценариев, выполняемых на сервере IIS, и серьезно влиять на
уровень безопасности и производительность сервера.
Просмотр каталогов
Пользователи могут просматривать списки файлов и семейства.
Журнал посещений
Каждое посещение веб-узла записывается в журнале.
Индексация каталога
Позволяет службе индексации индексировать ресурсы, чтобы в
дальнейшем выполнять поиск по ним.
Выполнить
Перечисленные ниже параметры определяют уровень доступа
пользователей к сценариям.
•
Нет. Запрещает запуск сценариев и исполняемых файлов на
•
Только сценарии. Позволяет запускать только сценарии.
•
Сценарии и исполняемые файлы. Позволяет запускать сценарии
сервере.
и исполняемые файлы на сервере.
Настройка журнала IIS
Рекомендуется включить этот параметр на серверах IIS в трех средах, описанных в данном
руководстве.
Можно создать отдельные журналы для каждого веб-узла или приложения. IIS записывает в журналы
больше данных, чем функции ведения журналов событий и наблюдения за производительностью в
операционной системе Windows. Журналы IIS могут содержать информацию о том, кто посетил узел,
что просматривал посетитель, и когда в последний раз просматривались данные. Журналы IIS можно
использовать для оценки популярности содержимого, определения «узких мест» при передаче данных.
С помощью журнала можно также расследовать атаки.
Оснастку диспетчера IIS консоли управления (MMC) можно использовать для настройки формата
файла журнала, расписания записей и типа данных, которые следует записывать. Для ограничения
размера журналов следует тщательно спланировать, какие данные следует записывать.
При ведении журнала IIS используется расширенный формат файла журнала W3C для ежедневной
записи активности в каталоге, указанном для веб-узла в диспетчере IIS. Для повышения
производительности сервера, следует хранить записи на несистемном чередующемся томе либо на
чередующемся зеркальном томе.
Запись журнала также может производиться по сети в удаленную общую папку с использованием
полного пути UNC. Удаленное ведение журнала позволяет администраторам настроить функции
централизованного хранения и резервного копирования файла журнала. Однако при ведении журнала
по сети может снизиться производительность сервера.
Функцию ведения журнала IIS можно также настроить на использование в файлах журналов ряда
других форматов ASCII или ODBC. Журналы ODBC могут хранить данные об активности в базе данных
SQL. Однако следует заметить, что при ведении журнала ODBC IIS отключает кэш режима ядра, что
может снизить общий уровень производительности сервера.
На серверах IIS, на которых размещены сотни узлов, можно включить функцию записи в центральный
двоичный файл журнала для достижения большей производительности ведения журнала. Запись в
центральный двоичный файл журнала позволяет всем веб-узлам на сервере IIS записывать данные об
активности в единый файл журнала. Этот метод значительно повышает управляемость и
масштабируемость процесса ведения журнала IIS, поскольку уменьшается количество отдельных
файлов журнала, которые приходиться хранить и анализировать. Дополнительные сведения о записи в
центральный двоичный файл журнала см. в статье о записи в центральный двоичный файл журнала
IIS (IIS 6.0) по адресу www.microsoft.com/technet/prodtechnol/
WindowsServer2003/Library/IIS/13a4c0b5-686b-4766-8729-a3402da835f1.mspx (на английском языке).
Когда записи журнала IIS хранятся на серверах IIS, по умолчанию только администраторы сервера
имеют к ним доступ. Если владелец файла или каталога файлов не является членом локальной
группы администраторов файл HTTP.sys (драйвер режима ядра в IIS 6.0) записывает ошибку в
журнал событий NT. Данная ошибка сообщает о том, что владелец файла или каталога файлов
журнала не является членом локальной группы администраторов, и ведение журнала прекращено
до тех пор, пока владелец не будет добавлен в локальную группу администраторов или пока не
будет удален текущий каталог или файл журнала.
Сопоставление уникальных групп безопасности с правами пользователя вручную
Для большинства назначений прав пользователя с помощью политики MSBP в шаблонах безопасности,
распространяемых с данным руководством, указаны соответствующие группы безопасности. Однако
некоторые учетные записи и группы безопасности нельзя включить в эти шаблоны, так как их
идентификаторы безопасности (SID) различаются для каждого домена Windows 2003. Права
пользователей, которые следует настроить вручную, указаны в таблице ниже.
Внимание! Таблица ниже содержит значения для встроенной учетной записи администратора. Не
следует путать учетную запись администратора со встроенной группой безопасности
Администраторы. Если с какими-либо из следующих прав запрета доступа, будет сопоставлена
группа безопасности Администраторы, для исправления этой ошибки нужно будет выполнить
локальный вход в систему. Кроме того, встроенная учетная запись администратора могла быть
переименована в соответствии с рекомендациями главы 4 «Базовая политика рядовых серверов». При
добавлении учетной записи администратора в права пользователей, убедитесь в том, что указана
переименованная учетная запись.
Таблица 9.10. Добавленные вручную назначения прав пользователей
Параметр
рядового
сервера по
умолчанию
Среда устаревших
клиентов
Среда корпоративных
клиентов
Специальная безопасная
среда с ограниченной
функциональностью
Отказ в
Встроенная учетная запись
Встроенная учетная запись
Встроенная учетная запись
доступе к
администратора,
администратора,
администратора,
компьютеру
Support_388945a0,
Support_388945a0,
Support_388945a0,
из сети
Учетная запись гостя, все
Учетная запись гостя, все
Учетная запись гостя, все
учетные записи служб, не
учетные записи служб, не
учетные записи служб, не
относящихся к
относящихся к
относящихся к
операционной системе
операционной системе
операционной системе
Внимание! К понятию «все учетные записи служб, не относящихся к операционной системе»
относятся учетные записи служб, используемые на предприятии для определенных приложений,
КРОМЕ таких учетных записей как «ЛОКАЛЬНАЯ СИСТЕМА», «ЛОКАЛЬНАЯ СЛУЖБА» и «СЕТЕВАЯ
СЛУЖБА». Эти встроенные учетные записи используются операционной системой.
Обеспечение безопасности известных учетных записей
В Windows Server 2003 имеется ряд встроенных учетных записей пользователей, которые нельзя
удалить, но можно переименовать. Две самые известные встроенные учетные записи
Windows Server 2003 — «Гость» и «Администратор».
На рядовых серверах и контроллерах домена учетная запись гостя по умолчанию отключена и
включать ее не рекомендуется. Многие вредоносные программы для получения несанкционированного
доступа к серверу в первую очередь пытаются использовать встроенную учетную запись
администратора. Поэтому следует переименовать встроенную учетную запись «Администратор» и
изменить ее описание, чтобы предотвратить нарушение безопасности удаленных серверов
злоумышленниками, пытающимися использовать эту широко известную учетную запись.
Эффективность такого переименования в последние годы снизилась из-за появления средств атаки,
указывающих при обращении к серверу идентификатор безопасности (SID) встроенной учетной записи
администратора. По идентификатору безопасности определяется настоящее имя учетной записи, после
чего делается попытка несанкционированного доступа. Идентификатор безопасности — это число,
однозначно определяющее каждого пользователя, группу, учетную запись компьютера или сеанс входа
в систему при работе в сети. Изменить идентификатор безопасности этой встроенной учетной записи
невозможно. Однако оперативные группы организации смогут с легкостью отслеживать попытки атак
на учетную запись администратора, если ей будет присвоено уникальное имя.
Защита известных учетных записей на серверах IIS
•
Переименуйте учетные записи администратора и гостя в каждом домене и на каждом сервере,
•
Для каждого сервера назначайте разные пароли и имена учетных записей. При использовании
используйте длинные и сложные пароли.
одинаковых паролей и имен учетных записей злоумышленник, получив доступ к одному из рядовых
серверов, сможет получить доступ и к другим.
•
Чтобы предотвратить идентификацию учетной записи по ее описанию, смените описание.
•
Храните записи сделанных изменений в безопасном месте.
Примечание. Встроенную учетную запись администратора можно переименовать с помощью
групповой политики. Данный параметр не был внедрен ни в один из шаблонов безопасности,
содержащихся в настоящем руководстве, так как каждая организация должна выбрать уникальное имя
для данной учетной записи. Однако во всех трех средах, описанных в данном руководстве, параметр
Учетные записи: переименование учетной записи администратора можно настроить так, чтобы
учетным записям администраторов были присвоены другие имена. Этот параметр политики является
одним из параметров безопасности объекта групповой политики.
Защита учетных записей служб
Без необходимости не настраивайте службы на запуск в контексте безопасности учетной записи
домена. Имея физический доступ к серверу, пароли учетной записи домена очень просто получить,
выгрузив секретные данные из LSA. Дополнительные сведения об укреплении безопасности учетных
записей служб см. в руководстве по планированию обеспечения безопасности служб и служебных
учетных записей по адресу http://go.microsoft.com/fwlink/?LinkId=41311 (на английском языке).
Создание политики с помощью мастера настройки безопасности
Для настройки необходимых параметров безопасности при создании политики сервера следует
использовать как мастер настройки безопасности (SCW), так и шаблоны безопасности, включенные в
загружаемую версию данного руководства.
При создании собственной политики пропустите разделы «Параметры реестра» и «Политика аудита».
Соответствующие параметры будут взяты из шаблонов безопасности для выбранной среды. Такой
способ настройки гарантирует, что элементы политики, содержащиеся в шаблонах, будут иметь более
высокий приоритет по сравнению с элементами, заданными с помощью мастера настройки
безопасности.
Все настройки следует выполнять на компьютере с вновь установленной операционной системой,
чтобы избежать переноса устаревших параметров или приложений из прежних конфигураций. Для
обеспечения максимальной совместимости старайтесь использовать оборудование, аналогичное тому,
которое будет применяться при развертывании. Компьютер с заново установленной операционной
системой называется контрольным компьютером.
Создание политики сервера IIS
1.
Установите систему Windows Server 2003 с пакетом обновления 1 (SP1) на новый контрольный
компьютер.
2.
Установите на компьютер мастер настройки безопасности. Откройте для этого панель
управления, дважды щелкните значок «Установка и удаление программ» и выберите вариант
«Установка компонентов Windows».
3.
Подключите компьютер к домену, который выполнит применение всех параметров
безопасности родительских подразделений.
4.
Установите и настройте только обязательные приложения, которые будут установлены на все
серверы, выполняющие данную роль. Примерами могут служить службы, определяемые ролью,
агенты программного обеспечения и управления, агенты внешних хранилищ, а также
антивирусные и антишпионские программы.
5.
Запустите графический интерфейс пользователя мастера настройки безопасности, выберите
пункт Создать новую политику и укажите контрольный компьютер.
6.
Убедитесь в том, что обнаруженные роли серверов подходят для среды (например роли
сервера приложений и веб-сервера).
7.
Убедитесь в том, что обнаруженные функции клиента подходят для среды.
8.
Убедитесь в том, что обнаруженные административные возможности подходят для среды.
9.
Убедитесь в том, что найдены все дополнительные службы, необходимые для выполнения
базовых функций, например агенты внешних хранилищ и антивирусные программы.
10.
Определите порядок работы со службами, которые не были указаны при создании политики.
Для обеспечения дополнительной безопасности можно установить этот параметр политики в
значение Отключен. Прежде чем развертывать конфигурацию в рабочей сети, ее необходимо
протестировать, так как могут возникнуть проблемы, если на рабочих серверах запущены
дополнительные службы, не продублированные на контрольном компьютере.
11.
Убедитесь в том, что в разделе «Безопасность сети» снят флажок Пропустить этот раздел,
затем нажмите кнопку Далее. Соответствующие порты и приложения, определенные ранее,
настраиваются в качестве исключений брандмауэра Windows.
12.
В разделе «Параметры реестра» установите флажок Пропустить этот раздел и нажмите
кнопку Далее. Данные параметры политики импортируются из прилагаемого файла с
расширением INF.
13.
В разделе «Политика аудита» установите флажок Пропустить этот раздел и нажмите кнопку
Далее. Данные параметры политики импортируются из прилагаемого файла с расширением
INF.
14.
Включите соответствующий шаблон безопасности (например EC-IIS Server.inf).
15.
Сохраните политику с соответствующим именем (например IIS Server.xml).
Примечание. Базовая политика рядовых серверов запрещает некоторые службы, относящиеся к IIS,
например FTP, SMTP и NNTP. Следует изменить политику веб-сервера, если требуется разрешить эти
службы на серверах IIS в трех средах, описанных в данном руководстве.
Проверка политики с помощью мастера настройки безопасности
После создания и сохранения политики корпорация Майкрософт настоятельно рекомендует развернуть
ее в тестовой среде. В идеале тестовые серверы должны иметь такое же оборудование и программное
обеспечение, как и рабочие серверы. Это позволит обнаружить и устранить возможные проблемы,
например присутствие непредусмотренных служб, затребованных определенными устройствами.
Для тестирования политики используются два способа. Можно воспользоваться встроенными
функциями развертывания мастера настройки безопасности или развернуть политики с помощью
объекта групповой политики.
Приступая к созданию политик, следует рассмотреть возможность использования встроенных средств
развертывания мастера настройки безопасности. Принудительно отправить политику на отдельный
сервер можно с помощью мастера настройки безопасности, для группы серверов можно использовать
средство Scwcmd. Встроенный метод развертывания позволяет легко откатить развернутые политики с
помощью мастера настройки безопасности. Данная функция может быть очень полезна при внесении
множественных изменений в политики в ходе тестирования.
Цель тестирования политик — удостовериться, что применение той или иной политики к серверам не
повлияет негативно на их основные функции. После применения настроек следует проверить базовые
возможности компьютера. Например, если сервер настроен как центр сертификации, следует
удостовериться, что клиенты смогут запрашивать и загружать сертификаты, списки отзыва
сертификатов и т. д.
По окончании работы с настройкой политик, следует использовать команду Scwcmd (см. процедуру
ниже) для преобразования политик в объекты групповой политики.
Дополнительные сведения о тестировании политик мастера настройки безопасности см. в руководстве
по развертыванию мастера настройки безопасности по адресу
http://technet2.microsoft.com/WindowsServer/rus/Library/5254f8cd-143e-4559-a2999c723b3669461033.mspx(на английском языке) и в документации по мастеру настройки безопасности
по адресу http://go.microsoft.com/fwlink/?linkid=43450 (на английском языке).
Преобразование и развертывание политики
После всестороннего тестирования политики выполните следующие действия для ее преобразования в
объект групповой политики и последующего развертывания.
1.
введите в командной строке команду
scwcmd transform /p:<путь_к_политике.xml> /g:<отображаемое_имя_GPO>
и нажмите клавишу ВВОД. Пример.
Примечание. Строка разбита на несколько строк для удобства чтения. Однако при
использовании в системе необходимо ввести команду одной строкой без разрывов.
scwcmd transform /p:"C:\Windows\Security\msscw\Policies\
IIS Server.xml" /g:"IIS Policy"
Примечание. В приведенном примере текст, который необходимо ввести в командную строку,
разбит на две части в связи с ограничениями экрана. Этот текст следует вводить одной строкой.
2.
Используйте консоль управления групповыми политиками для сопоставления созданного
объекта групповой политики соответствующему подразделению.
Если файл политики безопасности для мастера настройки безопасности содержит параметры
брандмауэра Windows, то для успешного завершения этой процедуры брандмауэр Windows должен
быть запущен на локальном компьютере. Чтобы запустить брандмауэр Windows, откройте панель
управления и выберите пункт Брандмауэр Windows.
Выполните окончательную проверку правильности значений параметров объекта групповых политик.
Для завершения процедуры подтвердите, что значения параметров установлены правильно и
функциональные возможности не изменились.
Заключение
В данной главе описаны параметры безопасности, которые можно использовать для укрепления
безопасности серверов IIS с Windows Server 2003 с пакетом обновления 1 (SP1) в трех средах,
рассматриваемых в данном руководстве. Большинство параметров политик применяются через объект
групповой политики (GPO), разработанный в качестве дополнения к MSBP. Для обеспечения
дополнительной безопасности объекты групповой политики могут быть связаны с соответствующими
подразделениями, содержащими серверы IIS.
Некоторые из описываемых в этой главе параметров нельзя применить с помощью групповой
политики. Для этих параметров приведены инструкции по их настройке вручную.
Дополнительные сведения
Ниже приведены ссылки на документы, содержащие дополнительные сведения об укреплении
безопасности серверов IIS с Windows Server 2003 с пакетом обновления 1 (SP1).
•
Данные о включении ведения журнала в IIS см. в статье базы знаний Майкрософт Включение
•
Дополнительные сведения о ведении журналов см. на странице Включение ведения журнала (IIS
ведения журнала в IIS по адресу http://support.microsoft.com/?kbid=313437 (на английском языке).
6.0) по адресу www.microsoft.com/technet/prodtechnol/WindowsServer2003/Library/IIS/
d29207e8-5274-4f4b-9a00-9433b73252d6.mspx (на английском языке).
•
Сведения о ведении журнала активности узла см. на странице Ведение журнала активности вебузла (IIS 6.0) по адресу www.microsoft.com/technet/prodtechnol/WindowsServer2003/Library/
IIS/ab7e4070-e185-4110-b2b1-1bcac4b168e0.mspx (на английском языке).
•
Сведения о расширенном ведении журнала см. на странице Настройка расширенного ведения
журнала W3C (IIS 6.0) по адресу
www.microsoft.com/technet/prodtechnol/WindowsServer2003/Library/
IIS/96af216b-e2c0-428e-9880-95cbd85d90a1.mspx (на английском языке).
•
Сведения о ведении централизованного двоичного журнала см. на странице Запись в
централизованный двоичный журнал в службе IIS 6.0 веб-узла Microsoft.com по адресу
www.microsoft.com/technet/prodtechnol/
WindowsServer2003/Library/IIS/b9cdc076-403d-463e-9a36-5a14811d34c7.mspx (на английском
языке).
•
Сведения об удаленном ведении журнала см. на странице Удаленное ведение журнала (IIS 6.0) по
адресу www.microsoft.com/technet/prodtechnol/WindowsServer2003/Library/IIS/
a6347ae3-39d1-4434-97c9-5756e5862c61.mspx (на английском языке).
•
Дополнительные сведения об IIS 6.0 см. на странице службы IIS по адресу
www.microsoft.com/WindowsServer2003/iis/default.mspx (на английском языке).
Глава 10. Роль сервера IAS
Обзор
Эта глава предоставляет рекомендации и необходимые ресурсы для укрепления безопасности серверов
IAS в среде с Microsoft Windows Server 2003 с пакетом обновления 1 (SP1). IAS представляет собой
разработанную корпорацией Майкрософт реализацию службы RADIUS и прокси-сервера,
обеспечивающую централизованное управление проверкой подлинности пользователей, авторизацией
и учетными данными. IAS используется для проверки подлинности пользователей в базах данных
контроллеров доменов с Windows Server 2003, Windows NT® 4.0 и Windows 2000. IAS также
поддерживает различные серверы сетевого доступа (NAS), включая службу маршрутизации и
удаленного доступа (RRAS).
Механизм маскировки RADIUS использует общий секрет RADIUS, средство проверки подлинности
запросов и алгоритм хэширования MD5 для шифрования атрибутов User-Password, Tunnel-Password,
MS-CHAP-MPPE-Keys и других. Согласно RFC 2865, следует оценить среду угроз и определить, следует
ли прибегнуть к дополнительным мерам безопасности.
Параметры, описанные в данной главе, настраиваются и применяются с помощью групповой политики.
Объект групповой политики, дополняющий базовую политику рядового сервера (MSBP) может быть
связан с соответствующими подразделениями, которые содержат серверы IAS, для предоставления
необходимых изменений параметров безопасности для данной роли сервера. В данной главе
рассматриваются параметры политик, отличающиеся от параметров базовой политики рядовых
серверов.
По возможности эти параметры объединяют в дополнительный шаблон групповой политики, который
будет применен к подразделению серверов IAS. Некоторые из описываемых в этой главе параметров
нельзя применить с помощью групповой политики. Для этих параметров приведены подробные
сведения по их настройке вручную.
Имя шаблона безопасности инфраструктуры сервера для среды корпоративных клиентов — ECInfrastructure Server.inf. Этот шаблон предоставляет параметры для добавочного шаблона сервера IAS,
который, в свою очередь, используется для создания нового объекта групповой политики, связанного с
подразделением серверов IAS. Пошаговые инструкции по созданию подразделений и групповых
политик и последующему импорту соответствующего шаблона безопасности в объект групповой
политики содержатся в главе 2 «Механизмы укрепления безопасности Windows Server 2003».
Дополнительные сведения о параметрах политики MSBP см. в главе 4 «Базовая политика рядовых
серверов». Сведения обо всех параметрах по умолчанию см. в дополнительном руководстве Угрозы и
меры противодействия: параметры безопасности в системах Windows Server 2003 и Windows
XP, которое можно загрузить по адресу http://go.microsoft.com/fwlink/?LinkId=15159 (на английском
языке).
Примечание. Рекомендованные параметры для роли сервера IAS были проверены только в среде EC.
По этой причине данные о DoS-атаках, указанные для большинства других ролей сервера в данном
руководстве, в эту главу не включены.
Политика аудита
Параметры политики аудита для серверов IAS в среде корпоративных клиентов настраиваются с
помощью базовой политики рядовых серверов. Дополнительные сведения о политике MSBP см. в главе
4 «Базовая политика рядовых серверов». Параметры MSBP обеспечивают запись в журнал всех важных
сведений об аудите безопасности на всех серверах IAS в организации.
Назначение прав пользователя
Назначение прав пользователя на серверах IAS в среде EC также производится через MSBP.
Дополнительные сведения о политике MSBP см. в главе 4 «Базовая политика рядовых серверов».
Параметры MSBP обеспечивают единую настройку соответствующего доступа к серверам IAS во всей
организации.
Параметры безопасности
Параметры безопасности для серверов IAS в среде EC также настраиваются через MSBP.
Дополнительные сведения о политике MSBP см. в главе 4 «Базовая политика рядовых серверов».
Параметры MSBP обеспечивают единую настройку соответствующего доступа к серверам IAS по всей
организации.
Журнал событий
Параметры журналов событий серверов IAS в среде EC также настраиваются через MSBP.
Дополнительные сведения о политике MSBP см. в главе 4 «Базовая политика рядовых серверов».
Дополнительные параметры безопасности
Хотя параметры безопасности, применяемые MSBP, значительно укрепляют безопасность серверов IAS,
в данном разделе рассматриваются некоторые дополнительные факторы. Однако параметры,
описанные в данном разделе, нельзя применить с помощью групповой политики. Их внедрение
необходимо выполнять вручную на всех серверах IAS.
Обеспечение безопасности известных учетных записей
В системе Windows Server 2003 с пакетом обновления 1 (SP1) имеется несколько встроенных учетных
записей, которые нельзя удалить, но можно переименовать. Две самые известные встроенные учетные
записи Windows Server 2003 — «Гость» и «Администратор».
На рядовых серверах и контроллерах домена учетная запись гостя по умолчанию отключена и
включать ее не рекомендуется. Многие вредоносные программы для получения несанкционированного
доступа к серверу в первую очередь пытаются использовать встроенную учетную запись
администратора. Поэтому следует переименовать встроенную учетную запись администратора и
изменить ее описание для предотвращения попыток получения несанкционированного доступа к
удаленному серверу с помощью этой хорошо известной учетной записи.
Эффективность такого переименования в последние годы снизилась из-за появления средств атаки,
указывающих при обращении к серверу идентификатор безопасности (SID) встроенной учетной записи
администратора. По идентификатору безопасности определяется настоящее имя учетной записи, после
чего делается попытка несанкционированного доступа. Идентификатор безопасности — это число,
однозначно определяющее каждого пользователя, группу, учетную запись компьютера или сеанс входа
в систему при работе в сети. Изменить идентификатор безопасности этой встроенной учетной записи
невозможно. Однако оперативные группы организации смогут с легкостью отслеживать попытки атак
на учетную запись администратора, если ей будет присвоено уникальное имя.
Защита известных учетных записей на серверах IAS
•
Переименуйте учетные записи администратора и гостя в каждом домене и на каждом сервере,
•
Для каждого сервера назначайте разные пароли и имена учетных записей. При использовании
используйте длинные и сложные пароли.
одинаковых паролей и имен учетных записей злоумышленник, получив доступ к одному из рядовых
серверов, сможет получить доступ и к другим.
•
Чтобы предотвратить идентификацию учетной записи по ее описанию, смените описание.
•
Храните записи сделанных изменений в безопасном месте.
Примечание. Встроенную учетную запись администратора можно переименовать с помощью
групповой политики. Данный параметр политики не был реализован ни в одном из шаблонов
безопасности, содержащихся в настоящем руководстве, так как каждая организация должна сама
выбрать уникальное имя для данной учетной записи. Однако параметр Учетные записи:
переименование учетной записи администратора можно использовать для переименования
учетных записей администраторов в среде EC. Этот параметр политики входит в раздел параметров
безопасности объекта групповой политики.
Защита учетных записей служб
Без необходимости не настраивайте службы на запуск в контексте безопасности учетной записи
домена. Имея физический доступ к серверу, пароли учетной записи домена очень просто получить,
выгрузив секретные данные из LSA. Дополнительные сведения об укреплении безопасности учетных
записей служб см. в руководстве по планированию обеспечения безопасности служб и служебных
учетных записей по адресу http://go.microsoft.com/fwlink/?LinkId=41311 (на английском языке).
Создание политики с помощью мастера настройки безопасности
Для настройки необходимых параметров безопасности при создании политики сервера следует
использовать как мастер настройки безопасности (SCW), так и шаблоны безопасности, включенные в
загружаемую версию данного руководства.
При создании собственной политики пропустите разделы «Параметры реестра» и «Политика аудита».
Соответствующие параметры будут взяты из шаблонов безопасности для выбранной среды. Такой
способ настройки гарантирует, что элементы политики, содержащиеся в шаблонах, будут иметь более
высокий приоритет по сравнению с элементами, заданными с помощью мастера настройки
безопасности.
Все настройки следует выполнять на компьютере с вновь установленной операционной системой,
чтобы избежать переноса устаревших параметров или приложений из прежних конфигураций. По
возможности, следует использовать оборудование, схожее по характеристикам с оборудованием,
которые будет использоваться при развертывании, чтобы обеспечить максимальную совместимость.
Компьютер с заново установленной операционной системой называется контрольным компьютером.
Во время создания политики сервера из списка обнаруженных ролей можно удалить роль файлового
сервера. Эта роль часто бывает настроена на серверах, где она не нужна, и может представлять угрозу
безопасности. Если на сервере требуется роль файлового сервера, ее можно включить при настройке
другой политики, описанной ниже.
Создание политики сервера IAS
1.
Установите систему Windows Server 2003 с пакетом обновления 1 (SP1) на новый контрольный
компьютер.
2.
Установите на компьютер мастер настройки безопасности. Откройте для этого панель управления,
дважды щелкните значок «Установка и удаление программ» и выберите вариант «Установка
компонентов Windows».
3.
Подключите компьютер к домену, который выполнит применение всех параметров безопасности
родительских подразделений.
4.
Установите и настройте только обязательные приложения, которые будут установлены на все
серверы, выполняющие данную роль. Примерами могут служить службы, определяемые ролью,
агенты программного обеспечения и управления, агенты внешних хранилищ, а также
антивирусные и антишпионские программы.
5.
Запустите графический интерфейс пользователя мастера настройки безопасности, выберите пункт
Создать новую политику и укажите контрольный компьютер.
6.
Убедитесь в том, что обнаруженные роли серверов, например роль сервера IAS (RADIUS),
подходят для среды.
7.
Убедитесь в том, что обнаруженные функции клиента подходят для среды.
8.
Убедитесь в том, что обнаруженные административные возможности подходят для среды.
9.
Убедитесь в том, что найдены все дополнительные службы, необходимые для выполнения
базовых функций, например агенты внешних хранилищ и антивирусные программы.
10.
Определите порядок работы со службами, которые не были указаны при создании политики. Для
обеспечения дополнительной безопасности можно установить этот параметр политики в значение
Отключен. Прежде чем развертывать конфигурацию в рабочей сети, ее необходимо
протестировать, так как могут возникнуть проблемы, если на рабочих серверах запущены
дополнительные службы, не продублированные на контрольном компьютере.
11.
Убедитесь в том, что в разделе «Безопасность сети» снят флажок Пропустить этот раздел, затем
нажмите кнопку Далее. Соответствующие порты и приложения, определенные ранее,
настраиваются в качестве исключений брандмауэра Windows.
12.
В разделе «Параметры реестра» установите флажок Пропустить этот раздел и нажмите кнопку
Далее. Данные параметры политики импортируются из прилагаемого файла с расширением INF.
13.
В разделе «Политика аудита» установите флажок Пропустить этот раздел и нажмите кнопку
Далее. Данные параметры политики импортируются из прилагаемого файла с расширением INF.
14.
Включите соответствующий шаблон безопасности (например EC-IAS Server.inf).
15.
Сохраните политику с соответствующим именем (например IAS Server.xml).
Проверка политики с помощью мастера настройки безопасности
После создания и сохранения политики корпорация Майкрософт настоятельно рекомендует развернуть
ее в тестовой среде. В идеале тестовые серверы должны иметь такое же оборудование и программное
обеспечение, как и рабочие серверы. Это позволит обнаружить и устранить возможные проблемы,
например присутствие непредусмотренных служб, затребованных определенными устройствами.
Для тестирования политики используются два способа. Можно воспользоваться встроенными
функциями развертывания мастера настройки безопасности или развернуть политики с помощью
объекта групповой политики.
Приступая к созданию политик, следует рассмотреть возможность использования встроенных средств
развертывания мастера настройки безопасности. Принудительно отправить политику на отдельный
сервер можно с помощью мастера настройки безопасности, для группы серверов можно использовать
средство Scwcmd. Встроенный метод развертывания позволяет легко откатить развернутые политики с
помощью мастера настройки безопасности. Данная функция может быть очень полезна при внесении
множественных изменений в политики в ходе тестирования.
Цель тестирования политик — удостовериться, что применение той или иной политики к серверам не
повлияет негативно на их основные функции. После применения настроек следует проверить базовые
возможности компьютера. Например, если сервер настроен как центр сертификации, следует
удостовериться, что клиенты смогут запрашивать и загружать сертификаты, списки отзыва
сертификатов и т. д.
По окончании работы с настройкой политик, следует использовать команду Scwcmd (см. процедуру
ниже) для преобразования политик в объекты групповой политики.
Дополнительные сведения о тестировании политик мастера настройки безопасности см. в руководстве
по развертыванию мастера настройки безопасности по адресу
http://technet2.microsoft.com/WindowsServer/rus/Library/5254f8cd-143e-4559-a2999c723b3669461033.mspx (на английском языке) и в документации по мастеру настройки безопасности
по адресу http://go.microsoft.com/fwlink/?linkid=43450 (на английском языке).
Преобразование и развертывание политики
После всестороннего тестирования политики выполните следующие действия для ее преобразования в
объект групповой политики и последующего развертывания.
1.
введите в командной строке команду
scwcmd transform /p:<путь_к_политике.xml> /g:<отображаемое_имя_GPO>
и нажмите клавишу ВВОД. Пример.
Примечание. Строка разбита на несколько строк для удобства чтения. Однако при использовании
в системе необходимо ввести команду одной строкой без разрывов.
scwcmd transform /p:"C:\Windows\Security\msscw\Policies\
IAS Server.xml" /g:"IAS Policy"
Примечание. В приведенном примере текст, который необходимо ввести в командную строку,
разбит на две части в связи с ограничениями экрана. Этот текст следует вводить одной строкой.
2.
Используйте консоль управления групповыми политиками для сопоставления созданного объекта
групповой политики соответствующему подразделению.
Если файл политики безопасности для мастера настройки безопасности содержит параметры
брандмауэра Windows, то для успешного завершения этой процедуры брандмауэр Windows должен
быть запущен на локальном компьютере. Чтобы запустить брандмауэр Windows, откройте панель
управления и выберите пункт «Брандмауэр Windows».
Выполните окончательную проверку правильности значений параметров объекта групповых политик.
Для завершения процедуры подтвердите, что значения параметров установлены правильно и
функциональные возможности не изменились.
Заключение
В данной главе описаны параметры безопасности, которые можно использовать для укрепления
безопасности серверов IAS с Windows Server 2003 с пакетом обновления 1 (SP1) в среде
корпоративных клиентов, рассматриваемой в данном руководстве. Эти параметры также могут
подходить для других сред, описанных в данном руководстве, но проверка этого не производилась.
Данные параметры настраиваются и применяются с помощью объекта групповой политики (GPO),
разработанного в качестве дополнения к базовой политике рядового сервера. Для обеспечения
дополнительной безопасности объекты групповой политики могут быть связаны с соответствующими
подразделениями организации, содержащими серверы IAS.
Дополнительные сведения
Ниже приведены ссылки на документы, содержащие дополнительные сведения по укреплению
безопасности серверов IAS под управлением Windows Server 2003 с пакетом обновлений 1 (SP1).
•
Дополнительные сведения о службе IAS см. на странице Знакомство с IAS по адресу
http://technet2.microsoft.com/WindowsServer/rus/Library/ab4eeeb2-b0aa-4b4a-a9593902b2b3f1af1033.mspx (на английском языке).
•
Дополнительные сведения о службе IAS и безопасности см. на странице службы проверки
подлинности в Интернете по адресу
http://technet2.microsoft.com/WindowsServer/rus/Library/d98eb914-258c-4f0b-ad04dc4db9e4ee631033.mspx (на английском языке).
•
Сведения о службе IAS, брандмауэрах и Windows Server 2003 см. на странице Служба проверки
подлинности в Интернете и брандмауэры по адресу
http://technet2.microsoft.com/WindowsServer/rus/library/518e70a9-9e7a-422b-a13ff3193d4fd2151033.mspx?mfr=true (на английском языке).
•
Дополнительные сведения о протоколе RADIUS см. в документе RFC Учетные данные RADIUS по
адресу www.ietf.org/rfc/rfc2866.txt (на английском языке).
Глава 11. Роль сервера служб сертификации
Обзор
В данной главе приведены рекомендации по укреплению безопасности серверов под управлением
Microsoft® Windows Server™ 2003 с пакетом обновления 1 (SP1), на которых работают службы
сертификации Майкрософт. Глава содержит все необходимые сведения по обеспечению безопасности
серверов такого типа. Однако в ней не описаны ни способы создания защищенной инфраструктуры
служб сертификации, ни процесс развертывания центров сертификации. Эти вопросы подробно
рассматриваются в документации по Windows Server 2003. Сведения по данным вопросам можно найти
также в пакете Windows Server 2003 Resource Kit и в документах на веб-узле Майкрософт.
Дополнительные сведения см. в руководстве: Защита беспроводных сетей с помощью служб
сертификации по адресу http://go.microsoft.com/fwlink/?LinkId=14843 (на английском языке).
Параметры, описанные в данной главе, настраиваются и применяются с помощью групповой политики.
Объект групповой политики (GPO), дополняющий базовую политику рядовых серверов (MSBP), можно
связать с подразделениями, использующими серверы центров сертификации, для выполнения
необходимых изменений параметров безопасности для данной роли сервера. В данной главе
рассматриваются параметры политик, отличающиеся от параметров базовой политики рядовых
серверов.
Такие параметры собраны в добавочном шаблоне групповой политики, применяемом к
подразделениям, использующим серверы центров сертификации. Некоторые из описываемых в этой
главе параметров нельзя применить с помощью групповой политики. Для этих параметров приведены
подробные сведения по их настройке вручную.
Имя файла шаблона безопасности для сервера центра сертификации в среде EC — EC-CA Server.inf.
Это добавочный шаблон сервера центра сертификации. Он применяется при создании объекта
групповой политики, связанного с подразделениями, использующими серверы центров сертификации в
данной среде. Пошаговые инструкции, описывающие создание подразделений и групповых политик,
приведены в главе 2 «Способы укрепления безопасности Windows Server 2003». В главе также
содержатся инструкции по импорту шаблонов безопасности в каждый объект групповой политики.
Дополнительные сведения о параметрах политики MSBP см. в главе 4 «Базовая политика рядовых
серверов». Дополнительные сведения о параметрах по умолчанию см. в руководстве Угрозы и меры
противодействия: параметры безопасности в системах Windows Server 2003 и Windows XP, которое
можно загрузить по адресу http://go.microsoft.com/fwlink/?LinkId=15159 (на английском языке).
Примечание. Параметры безопасности, рекомендуемые для роли сервера служб сертификации,
проверены только для среды корпоративных клиентов. По этой причине сведения об атаках типа
«отказ в обслуживании» (DoS) не включены в эту главу. Данное руководство содержит такие сведения
для большинства других ролей серверов.
Можно установить службы Microsoft IIS на некоторые из серверов служб сертификации с целью
распространения этими серверами сертификатов и списков отзыва сертификатов. Службы IIS
используются также для размещения веб-страниц заявок на сертификат, что позволяет клиентам,
отличным от Microsoft Windows®, подавать заявки на сертификаты. Прежде чем следовать указаниям,
приведенным в главе, убедитесь, что понимаете действия по безопасной установке служб IIS,
описанные в главе 9 «Роль веб-сервера» данного руководства. При установке служб IIS на центры
сертификации убедитесь, что шаблон настройки безопасности, описанный в главе 9, применяется к
серверам служб сертификации до настройки параметров, рекомендуемых в данной главе.
Примечание. В упрощенных средах сервер выдающего центра сертификации может использоваться
для размещения веб-сервера и выдачи сертификатов, а также служить центром загрузки списков
отзыва сертификатов. Однако для укрепления безопасности центров сертификации рекомендуется
использовать отдельный веб-сервер в собственной среде.
Службы IIS используются для размещения страниц заявок на сертификат, а также для
распространения сертификатов и загрузки списков отзыва сертификатов для клиентов, отличных от
Windows. Корпорация Майкрософт не рекомендует установку служб IIS на сервер корневого центра
сертификации. По возможности не устанавливайте службы IIS на серверы выдающих и промежуточных
центров сертификации. Безопаснее разместить веб-центры загрузки сертификатов и списки отзыва
сертификатов на отдельном сервере, чем на сервере центра сертификации. Не обязательно разрешать
доступ к центру сертификации пользователям, как внутренним, так и внешним, получающим списки
отзыва сертификатов и сведения о цепочках сертификатов. Однако нельзя запретить пользователям
доступ к серверу центра сертификации в случае, если на нем размещен центр загрузки.
Параметры политики аудита
В руководстве для среды корпоративных клиентов показано, как с помощью политики MSBP
настраиваются параметры политики аудита для серверов служб сертификатов. Дополнительные
сведения о политике MSBP см. в главе 4 «Базовая политика рядовых серверов». Параметры политики
MSBP обеспечивают ведение журнала аудита на всех серверах служб сертификации с записью всех
относящихся к безопасности данных.
Назначение прав пользователя
Параметры назначения прав пользователя для сервера служб сертификации среды корпоративных
клиентов также настраиваются с помощью базовой политики рядовых серверов (MSBP).
Дополнительные сведения о политике MSBP см. в главе 4 «Базовая политика рядовых серверов».
Параметры политики MSBP обеспечивают единообразную настройку доступа к серверам служб
сертификации всего предприятия.
Параметры безопасности
Раздел групповой политики, содержащий параметры безопасности, предназначен для включения и
отключения различных параметров безопасности компьютера, таких как параметры цифровой подписи
данных, имена учетных записей администратора и гостя, доступ к дисководу гибких дисков, доступ к
дисководу для компакт-дисков и приглашения входа в систему.
В Windows Server 2003 параметры безопасности можно настроить в следующем разделе редактора
объектов групповой политики:
Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\
Локальные политики\Параметры безопасности
Ниже в таблице содержатся рекомендуемые значения параметров безопасности для роли сервера
служб сертификации среды корпоративных клиентов. Подробные сведения о значениях этих
параметров приведены в тексте, следующем за таблицей.
Таблица 11.1. Рекомендуемые значения параметров безопасности
Параметр
Корпоративный
клиент
Системная криптография: использовать FIPS-совместимые алгоритмы для
Включен
шифрования, хэширования и подписывания
Системная криптография: использовать FIPS-совместимые алгоритмы для
шифрования, хэширования и подписывания
Этот параметр политики определяет, поддерживает ли поставщик безопасности TLS/SSL только
комплект шифров TLS_RSA_WITH_3DES_EDE_CBC_SHA. Наличие такого комплекта шифров означает,
что поставщик поддерживает клиентскую и серверную части только для протокола TLS.
Поставщик безопасности TLS/SSL использует следующие алгоритмы:
•
•
алгоритм тройной DES (3DES) для шифрования TLS-трафика;
алгоритм открытого ключа RSA, названный по именам создателей — Райвеста, Шамира и Адельмана
(Rivest, Shamir, Adelman), для обмена TLS-ключами и проверки подлинности (технология
шифрования с открытым ключом RSA разработана компанией RSA Data Security, Inc.);
•
алгоритм хеширования SHA-1 для хеширования протокола TLS.
Для службы шифрованной файловой системы (EFS) поставщик безопасности TLS/SSL поддерживает
только алгоритм Triple DES, с помощью которого шифруются файлы, хранящиеся в файловой системе
NTFS. В системах Windows 2000 и Windows XP без пакетов обновления для шифрования файлов служба
EFS по умолчанию использует алгоритм DESX. Но в системе Windows XP с пакетом обновления 1 (SP1)
и в более поздних версиях, а также в системе Windows Server 2003 по умолчанию используется
стандарт AES с 256-разрядным ключом.
При включении этого параметра безопасности компьютеры с данной серверной ролью будут
использовать для шифрования, хеширования и подписывания наиболее защищенные алгоритмы из
доступных. Применение таких алгоритмов снижает вероятность раскрытия и использования
зашифрованных и подписанных данных при несанкционированном доступе.
Поэтому параметру Системная криптография: использовать FIPS-совместимые алгоритмы для
шифрования, хэширования, и подписывания для среды корпоративных клиентов присвоено
значение Включен.
Примечание. Клиентские компьютеры, на которых включен этот параметр политики, не смогут
обмениваться данными с использованием протоколов шифрования и цифровой подписи с серверами,
не поддерживающими данные алгоритмы. Клиентские компьютеры сети, на которых такие алгоритмы
недоступны, не смогут взаимодействовать с серверами, требующими поддержки этих алгоритмов для
работы в сети. Например, многие веб-серверы на основе Apache не настроены для поддержки TLS. При
включении этого параметра необходимо настроить обозреватель Internet Explorer для работы с TLS.
Для этого выберите в меню Сервис обозревателя Internet Explorer пункт Свойства обозревателя, в
открывшемся диалоговом окне Свойства обозревателя щелкните вкладку Дополнительно, а затем
в списке Параметры установите флажок Использовать TLS 1.0. Можно также настроить этот
параметр с помощью групповых политик или пакета администрирования Internet Explorer.
Параметры журнала событий
Параметры журнала событий сервера служб сертификации для среды корпоративных клиентов
настраиваются с помощью политики MSBP. Дополнительные сведения о политике MSBP см. в главе 4
«Базовая политика рядовых серверов».
Дополнительные параметры реестра
Для поддержки файла шаблона EC-CA Server.inf созданы дополнительные параметры реестра. Эти
записи отсутствуют в файлах административного шаблона (файлы с расширением ADM) для среды
корпоративных клиентов. Файлы административного шаблона задают системные политики и
ограничения для рабочего стола, оболочки и параметров безопасности Windows Server 2003 с пакетом
обновления 1 (SP1).
Дополнительные параметры реестра настраиваются в шаблоне безопасности для автоматического
применения. При удалении добавочной групповой политики служб сертификации ее параметры не
удаляются автоматически. Их необходимо изменить вручную с помощью программы редактирования
реестра, например Regedt32.exe.
В системе Windows Server 2003 записи реестра можно настроить в следующем разделе редактора
объектов групповой политики:
MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration
Дополнительные параметры безопасности
Ниже представлены списки управления доступом (ACL), которые можно назначить с помощью
групповой политики. Однако эти списки не включены в шаблоны безопасности, описанные в данном
руководстве, так как пути к базе данных и журналам могут различаться для каждого сервера.
Например, сервер служб сертификации может иметь диски C:\, D:\ и E:\. Подробные сведения о
настройке таких параметров политики вручную приведены в следующем разделе.
Списки управления доступом к файловой системе
Злоумышленник может просматривать, редактировать и удалять файлы, не защищенные с помощью
списков управления доступом. Несанкционированный доступ к файлам возможен как локально, так и
по сети. Списки управления доступом применяются для защиты файлов, однако шифрование
обеспечивает намного более надежную защиту файлов, доступ к которым необходим лишь одному
пользователю.
В следующей таблице приведены списки управления доступом к файловым системам серверов служб
сертификации на основе Windows Server 2003 в среде корпоративных клиентов. В этой среде серверы
служб сертификации используют каталог D:\CertSrv для размещения базы данных сертификатов.
Журналы базы данных хранятся по умолчанию в папке %SystemRoot%\system32\CertLog. Можно
переместить журналы с системного диска на другой физический диск, являющийся зеркальным,
например E:\CertLog. Размещение базы данных и журналов на разных физических дисках не является
требованием безопасности, однако рекомендуется для повышения отказоустойчивости и
производительности. В таблице ниже приведены стандартные списки управления доступом для папок
%SystemRoot%\system32\CertLog и %SystemRoot%\system32\CertSrv, которые по умолчанию
используются для установки служб сертификации.
Таблица 11.2. Списки управления доступом к файловой системе
Путь к спискам управления доступом в пользовательском
интерфейсе
Корпоративный клиент
Путь к спискам управления доступом в пользовательском
интерфейсе
Корпоративный клиент
%SystemRoot%\system32\CertLog (включая вложенные папки)
Администраторы (полный
доступ)
Система (полный доступ)
%SystemRoot%\system32\CertSrv (включая вложенные папки)
Администраторы (полный
доступ)
Система (полный доступ)
Пользователи (чтение и
выполнение, просмотр
содержимого папки, чтение)
D:\CertLog
Администраторы (полный
доступ)
Система (полный доступ)
D:\CertSrv
Администраторы (полный
доступ)
Система (полный доступ)
Пользователи (чтение и
выполнение, просмотр
содержимого папки, чтение)
Центры сертификации требуют особой защиты, поэтому для папок служб сертификации,
перечисленных в предыдущей таблице, включен аудит файлов. В следующей таблице приведены
значения записей аудита.
Таблица 11.3. Файл служб сертификации и параметры аудита реестра
Путь к файлу или путь реестра
Тип аудита
Параметр
аудита
%SystemRoot%\system32\CertLog
Отказ
Все (полный
доступ)
%SystemRoot%\system32\CertSrv
Успех
Все (изменение)
D:\CertSrv
Успех
Все (изменение)
D:\CertLog
Успех
Все (изменение)
Такие параметры политики позволят регистрировать все случаи отказа в доступе (на чтение или
изменение) для любого пользователя, а также любое успешное изменение данных.
Обеспечение безопасности известных учетных записей
В системе Windows Server 2003 с пакетом обновления 1 (SP1) имеется несколько встроенных учетных
записей, которые нельзя удалить, но можно переименовать. Две самые известные встроенные учетные
записи Windows Server 2003 — «Гость» и «Администратор».
На рядовых серверах и контроллерах домена учетная запись гостя по умолчанию отключена и
включать ее не рекомендуется. Многие вредоносные программы для получения несанкционированного
доступа к серверу в первую очередь пытаются использовать встроенную учетную запись
администратора. Поэтому следует переименовать встроенную учетную запись администратора и
изменить ее описание для предотвращения попыток получения несанкционированного доступа к
удаленному серверу с помощью этой хорошо известной учетной записи.
Эффективность такого переименования в последние годы снизилась из-за появления средств атаки,
указывающих при обращении к серверу идентификатор безопасности (SID) встроенной учетной записи
администратора. По идентификатору безопасности определяется настоящее имя учетной записи, после
чего делается попытка несанкционированного доступа. Идентификатор безопасности — это число,
однозначно определяющее каждого пользователя, группу, учетную запись компьютера или сеанс входа
в систему при работе в сети. Изменить идентификатор безопасности этой встроенной учетной записи
невозможно. Однако оперативные группы организации смогут с легкостью отслеживать попытки атак
на учетную запись администратора, если ей будет присвоено уникальное имя.
Защита известных учетных записей на серверах центров сертификации
•
Переименуйте учетные записи администратора и гостя в каждом домене и на каждом сервере,
•
Для каждого сервера назначайте разные пароли и имена учетных записей. При использовании
используйте длинные и сложные пароли.
одинаковых паролей и имен учетных записей злоумышленник, получив доступ к одному из рядовых
серверов, сможет получить доступ и к другим.
•
Чтобы предотвратить идентификацию учетной записи по ее описанию, смените описание.
•
Сохраните записи о произведенных изменениях в безопасном месте.
Примечание. Встроенную учетную запись администратора можно переименовать с помощью
групповой политики. Данный параметр политики не был реализован ни в одном из шаблонов
безопасности, содержащихся в настоящем руководстве, так как каждая организация должна сама
выбрать уникальное имя для данной учетной записи. Переименовать учетную запись администратора в
среде предприятия можно с помощью параметра Учетные записи: переименовать учетную запись
администратора. Этот параметр политики является одним из параметров безопасности объекта
групповой политики.
Защита учетных записей служб
Без необходимости не настраивайте службы на запуск в контексте безопасности учетной записи
домена. Имея физический доступ к серверу, пароли учетной записи домена очень просто получить,
выгрузив секретные данные из LSA. Дополнительные сведения об укреплении безопасности учетных
записей служб см. в руководстве по планированию обеспечения безопасности служб и служебных
учетных записей по адресу http://go.microsoft.com/fwlink/?LinkId=41311 (на английском языке).
Создание политики с помощью мастера настройки безопасности
Для настройки необходимых параметров безопасности при создании политики сервера следует
использовать как мастер настройки безопасности (SCW), так и шаблоны безопасности, включенные в
загружаемую версию данного руководства.
При создании собственной политики пропустите разделы «Параметры реестра» и «Политика аудита».
Соответствующие параметры будут взяты из шаблонов безопасности для выбранной среды. Такой
способ настройки гарантирует, что элементы политики, содержащиеся в шаблонах, будут иметь более
высокий приоритет по сравнению с элементами, заданными с помощью мастера настройки
безопасности.
Все настройки следует выполнять на компьютере с вновь установленной операционной системой,
чтобы избежать переноса устаревших параметров или приложений из прежних конфигураций. Для
обеспечения максимальной совместимости старайтесь использовать оборудование, аналогичное тому,
которое будет применяться при развертывании. Компьютер с заново установленной операционной
системой называется контрольным компьютером.
Во время создания политики сервера из списка обнаруженных ролей можно удалить роль файлового
сервера. Эта роль часто бывает настроена на серверах, где она не нужна, и может представлять угрозу
безопасности. Если на сервере требуется роль файлового сервера, ее можно включить при настройке
другой политики, описанной ниже.
Создание политики сервера служб сертификации
1.
Установите систему Windows Server 2003 с пакетом обновления 1 (SP1) на новый контрольный
компьютер.
2.
Установите на компьютер мастер настройки безопасности. Откройте для этого панель управления,
дважды щелкните значок «Установка и удаление программ» и выберите вариант «Установка
компонентов Windows».
3.
Подключите компьютер к домену, который выполнит применение всех параметров безопасности
родительских подразделений.
4.
Установите и настройте только обязательные приложения, которые будут установлены на все
серверы, выполняющие данную роль. Примерами могут служить службы, определяемые ролью,
агенты программного обеспечения и управления, агенты внешних хранилищ, а также
антивирусные и антишпионские программы.
5.
Запустите графический интерфейс пользователя мастера настройки безопасности, выберите пункт
Создать новую политику и укажите контрольный компьютер.
6.
Убедитесь в том, что обнаруженные роли сервера (например роль сервера служб сертификации)
подходят для вашей среды.
7.
Убедитесь в том, что обнаруженные функции клиента подходят для среды.
8.
Убедитесь в том, что обнаруженные административные возможности подходят для среды.
9.
Убедитесь в том, что найдены все дополнительные службы, необходимые для выполнения
базовых функций, например агенты внешних хранилищ и антивирусные программы.
10.
Определите порядок работы со службами, которые не были указаны при создании политики. Для
обеспечения дополнительной безопасности можно установить этот параметр политики в значение
Отключен. Прежде чем развертывать конфигурацию в рабочей сети, ее необходимо
протестировать, так как могут возникнуть проблемы, если на рабочих серверах запущены
дополнительные службы, не продублированные на контрольном компьютере.
11.
Убедитесь в том, что в разделе «Безопасность сети» снят флажок Пропустить этот раздел, затем
нажмите кнопку Далее. Соответствующие порты и приложения, определенные ранее,
настраиваются в качестве исключений брандмауэра Windows.
12.
В разделе «Параметры реестра» установите флажок Пропустить этот раздел и нажмите кнопку
Далее. Данные параметры политики импортируются из прилагаемого файла с расширением INF.
13.
В разделе «Политика аудита» установите флажок Пропустить этот раздел и нажмите кнопку
Далее. Данные параметры политики импортируются из прилагаемого файла с расширением INF.
14.
Выберите соответствующий шаблон безопасности (например EC-CA Server.inf).
15.
Сохраните политику в файле с подходящим именем (например Certificate Services.xml).
Проверка политики с помощью мастера настройки безопасности
После создания и сохранения политики корпорация Майкрософт настоятельно рекомендует развернуть
ее в тестовой среде. В идеале тестовые серверы должны иметь такое же оборудование и программное
обеспечение, как и рабочие серверы. Это позволит обнаружить и устранить возможные проблемы,
например присутствие непредусмотренных служб, затребованных определенными устройствами.
Для тестирования политики используются два способа. Можно воспользоваться встроенными
функциями развертывания мастера настройки безопасности или развернуть политики с помощью
объекта групповой политики.
Приступая к созданию политик, следует рассмотреть возможность использования встроенных средств
развертывания мастера настройки безопасности. Принудительно отправить политику на отдельный
сервер можно с помощью мастера настройки безопасности, для группы серверов можно использовать
средство Scwcmd. Встроенный метод развертывания позволяет легко откатить развернутые политики с
помощью мастера настройки безопасности. Данная функция может быть очень полезна при внесении
множественных изменений в политики в ходе тестирования.
Цель тестирования политик — удостовериться, что применение той или иной политики к серверам не
повлияет негативно на их основные функции. После применения настроек следует проверить базовые
возможности компьютера. Например, если сервер настроен как центр сертификации, следует
удостовериться, что клиенты смогут запрашивать и загружать сертификаты, списки отзыва
сертификатов и т. д.
По окончании работы с настройкой политик, следует использовать команду Scwcmd (см. процедуру
ниже) для преобразования политик в объекты групповой политики.
Дополнительные сведения о тестировании политик мастера настройки безопасности см. в руководстве
по развертыванию мастера настройки безопасности по адресу
http://technet2.microsoft.com/WindowsServer/rus/Library/5254f8cd-143e-4559-a2999c723b3669461033.mspx(на английском языке) и в документации по мастеру настройки безопасности
по адресу http://go.microsoft.com/fwlink/?linkid=43450 (на английском языке).
Преобразование и развертывание политики
После всестороннего тестирования политики выполните следующие действия для ее преобразования в
объект групповой политики и последующего развертывания.
1.
введите в командной строке команду
scwcmd transform /p:<путь_к_политике.xml> /g:<отображаемое_имя_GPO>
и нажмите клавишу ВВОД. Пример.
Примечание. Строка разбита на несколько строк для удобства чтения. Однако при использовании
в системе необходимо ввести команду одной строкой без разрывов.
scwcmd transform /p:"C:\Windows\Security\msscw\Policies\
Службы сертификатов.xml" /g:"Политика служб сертификатов"
Примечание. В приведенном примере текст, который необходимо ввести в командную строку,
разбит на две части в связи с ограничениями экрана. Этот текст следует вводить одной строкой.
2.
Используйте консоль управления групповыми политиками для сопоставления созданного объекта
групповой политики соответствующему подразделению.
Если файл политики безопасности для мастера настройки безопасности содержит параметры
брандмауэра Windows, то для успешного завершения этой процедуры брандмауэр Windows должен
быть запущен на локальном компьютере. Чтобы запустить брандмауэр Windows, откройте панель
управления и выберите пункт Брандмауэр Windows.
Выполните окончательную проверку правильности значений параметров объекта групповых политик.
Для завершения процедуры подтвердите, что значения параметров установлены правильно и
функциональные возможности не изменились.
Заключение
В главе описаны параметры политики, применяемые для укрепления безопасности серверов служб
сертификации, работающих под управлением Windows Server 2003 с пакетом обновления 1 (SP1) в
среде корпоративных клиентов. Эти параметры настроены и применены с помощью объекта групповой
политики, дополняющего базовую политику рядовых серверов. Объекты групповой политики можно
сопоставить соответствующим подразделениям, использующим серверы служб сертификации, для
обеспечения дополнительной безопасности.
Дополнительные сведения
Ниже приведены ссылки на разделы, содержащие дополнительные сведения об укреплении
безопасности серверов служб сертификации, работающих под управлением Windows Server 2003 с
пакетом обновления 1 (SP1).
•
Для получения общего представления об инфраструктуре открытого ключа (PKI) и возможностях
служб сертификации Windows 2000 см. статью Введение в инфраструктуру открытого ключа ОС
Windows 2000 по адресу www.microsoft.com/technet/archive/windows2000serv/
evaluate/featfunc/pkiintro.mspx (на английском языке).
•
Дополнительные сведения о возможностях PKI в системах Windows Server 2003 и Windows XP см. в
статье Дополнительные возможности PKI в системах Windows XP Professional и Windows Server 2003
по адресу www.microsoft.com/technet/prodtechnol/winxppro/plan/pkienh.mspx (на английском языке).
•
Общие сведения об основных понятиях PKI содержатся также в статье Инфраструктура открытого
ключа по адресу http://technet2.microsoft.com/WindowsServer/rus/Library/32aacfe8-83af-4676-a45c75483545a9781033.mspx (на английском языке).
Глава 12. Роль узла-бастиона
Обзор
Эта глава посвящена укреплению безопасности узлов-бастионов с Microsoft® Windows Server™ 2003 с
пакетом обновления 1 (SP1). Узлы-бастионы — это защищенные общедоступные компьютеры,
расположенные на внешней стороне демилитаризованной зоны организации. Эта зона также известна
как промежуточная подсеть. Узлы-бастионы полностью открыты для атак, поскольку они не защищены
ни брандмауэрами, ни фильтрующими маршрутизаторами. Чтобы свести к минимуму вероятность
взлома, узлы-бастионы необходимо тщательно проектировать и настраивать.
Такие узлы часто используются как веб-серверы, DNS-серверы, FTP-серверы, SMTP-серверы и NNTPсерверы. Рекомендуется назначать узлам-бастионам только одну из указанных функций. Чем больше
функций выполняет сервер, тем больше вероятность оставить незамеченным слабое место в системе
безопасности. Обеспечить защиту одной службы на одном узле-бастионе проще, чем если таких служб
несколько. Сетевая архитектура с несколькими узлами-бастионами предоставляет организациям
дополнительные преимущества.
Настройка защищенных узлов-бастионов существенно отличается от настройки обычных узлов. Все
ненужные службы, протоколы, программы и сетевые интерфейсы должны быть отключены или
удалены. После этого каждый узел-бастион настраивается для выполнения определенной роли. Такой
подход помогает укрепить безопасность узлов-бастионов и ограничить количество возможных
вариантов атак.
В следующих разделах данной главы приводится описание различных параметров безопасности,
позволяющих укрепить безопасность узлов-бастионов в любой среде. В главе также описываются
действия, необходимые для создания узла-бастиона SMTP. Для получения дополнительных
возможностей необходимо внести изменения в файлы конфигурации, распространяемые с данным
руководством.
Локальная политика узла-бастиона
Роли серверов, описанные ранее в данном руководстве, используют для настройки серверов
групповую политику. Однако групповую политику нельзя применить к серверам узлов-бастионов,
поскольку они настроены как изолированные узлы, не входящие в домен службы каталогов
Active Directory®. Такие серверы открыты и не защищены с помощью каких-либо устройств. Поэтому
существует только один вариант обеспечения безопасности серверов узлов-бастионов для трех сред,
рассматриваемых в данном руководстве. Параметры безопасности, описанные в этой главе, основаны
на базовой политике рядовых серверов для среды SSLF. Сведения о MSBP см. в главе 4 «Базовая
политика рядовых серверов». Эти параметры содержатся в шаблоне безопасности, который
необходимо применить к локальной политике каждого узла-бастиона (BHLP).
Таблица 12.1. Шаблоны безопасности для сервера узла-бастиона
Среда устаревших клиентов
Среда корпоративных
клиентов
Специальная безопасная
среда с ограниченной
функциональностью
SSLF-Bastion Host.inf
SSLF-Bastion Host.inf
SSLF-Bastion Host.inf
Параметры политики аудита
Параметры политики аудита BHLP для узлов-бастионов содержатся в файле SSLF-Bastion Host.inf.
Значения этих параметров совпадают со значениями, указанными в файле SSLF-Member Server
Baseline.inf . Дополнительные сведения о политике MSBP см. в главе 4 «Базовая политика рядовых
серверов». Параметры политики BHLP обеспечивают ведение журнала аудита на всех серверах узловбастионов с записью всех относящихся к безопасности данных.
Назначение прав пользователя
Файл SSLF-Bastion Host.inf содержит назначения прав пользователей для узлов-бастионов с помощью
политики BHLP. Эти параметры политики основаны на параметрах, которые содержатся в файле SSLFMember Server Baseline.inf (см. главу 4 «Базовая политика рядовых серверов»). В следующей таблице
приведены обобщенные сведения о различиях между политиками BHLP и MSBP. Подробные сведения
приведены в тексте, следующем за таблицей.
Таблица 12.2. Рекомендуемые параметры для назначения прав пользователя
Назначение прав
пользователя
Параметр
Отказ в доступе к компьютеру из
АНОНИМНЫЙ ВХОД, встроенная учетная запись администратора,
сети
Support_388945a0, учетная запись гостя, все учетные записи служб,
не относящихся к операционной системе
Отказ в доступе к компьютеру из сети
Примечание. АНОНИМНЫЙ ВХОД, встроенная учетная запись администратора, Support_388945a0,
учетная запись гостя и все учетные записи служб, не относящихся к операционной системе, не
включены в шаблон безопасности. Этим учетным записям и группам присвоены уникальные
идентификаторы безопасности (SID). Таким образом, необходимо добавить указанные учетные записи
в политику BHLP вручную.
Этот параметр политики определяет, каким пользователям запрещен доступ к компьютеру по сети. Он
также запрещает использование ряда сетевых протоколов, в число которых входят протоколы
семейства SMB, NetBIOS, протокол CIFS, HTTP и модель COM+. Данный параметр политики имеет
приоритет над параметром Разрешить доступ к этому компьютеру по сети в случае, если обе эти
политики применяются учетной записью пользователя. Предоставление этого права пользователя для
других групп ограничивает возможности пользователей выполнять делегированные административные
задачи в среде.
В главе 4 данного руководства «Базовая политика рядовых серверов» рекомендуется для обеспечения
наивысшего уровня безопасности включать группу Гости в список тех пользователей и групп, которым
предоставлено это право пользователя. Учетная запись IUSR, используемая для анонимного доступа к
службам IIS, входит в группу Гости по умолчанию.
Параметр Отказ в доступе к компьютеру из сети для узлов-бастионов в среде SSLF включает
следующие учетные записи: «АНОНИМНЫЙ ВХОД», встроенную учетную запись администратора,
Support_388945a0, учетную запись гостя и все учетные записи служб, не относящихся к операционной
системе.
Параметры безопасности
Значения параметров безопасности политики BHLP для узлов-бастионов совпадают со значениями,
указанными в файле SSLF-Member Server Baseline.inf (см. главу 4 «Базовая политика рядовых
серверов»). Эти параметры политики BHLP обеспечивают единообразие значений всех параметров
безопасности на всех серверах узлов-бастионов.
Параметры журнала событий
Значения параметров журнала событий политики BHLP для узлов-бастионов совпадают со значениями,
указанными в файле SSLF-Member Server Baseline.inf (см. главу 4 «Базовая политика рядовых
серверов»). Эти параметры политики BHLP обеспечивают единообразие значений всех параметров
журнала событий на всех серверах узлов-бастионов.
Дополнительные параметры безопасности
Параметры безопасности политики BHLP значительно повышают уровень безопасности серверов узловбастионов. Однако существуют и дополнительные параметры. Такие параметры нельзя применить с
помощью локальной политики. Необходимо сделать это вручную на всех серверах узлов-бастионов.
Сопоставление уникальных групп безопасности с правами пользователя вручную
Для большинства назначений прав пользователя с помощью политики MSBP в шаблонах безопасности,
распространяемых с данным руководством, указаны соответствующие группы безопасности. Однако
некоторые учетные записи и группы безопасности нельзя включить в эти шаблоны, так как их
идентификаторы безопасности (SID) различаются для каждого домена Windows Server 2003. Параметр
назначения прав пользователя, приведенный в следующей таблице, необходимо настраивать вручную.
Внимание! Таблица ниже содержит значения для встроенной учетной записи администратора. Не
следует путать эту учетную запись со встроенной группой безопасности Администраторы. Для
отмены случайного предоставления группе безопасности Администраторы права пользователя
«Запретить доступ» необходимо войти в систему локально. Кроме того, в соответствии с
рекомендациями, содержащимися в главе 4 «Базовая политика рядовых серверов», встроенная
учетная запись администратора может оказаться переименованной. При назначении прав пользователя
учетной записи администратора убедитесь в том, что указывается переименованная учетная запись.
Таблица 12.3. Назначения прав пользователя, добавляемые вручную
Параметр
Среда устаревших
клиентов
Среда корпоративных
клиентов
Специальная безопасная
среда с ограниченной
функциональностью
Отказ в
Встроенная учетная запись
Встроенная учетная запись
Встроенная учетная запись
Параметр
Среда устаревших
клиентов
Среда корпоративных
клиентов
Специальная безопасная
среда с ограниченной
функциональностью
доступе к
администратора,
администратора,
администратора,
компьютеру
Support_388945a0,
Support_388945a0,
Support_388945a0,
из сети
учетная запись гостя, все
учетная запись гостя, все
учетная запись гостя, все
учетные записи служб, не
учетные записи служб, не
учетные записи служб, не
относящихся к
относящихся к
относящихся к
операционной системе
операционной системе
операционной системе
Внимание! К понятию «все учетные записи служб, не относящихся к операционной системе»
относятся учетные записи служб, используемые на предприятии для определенных приложений,
КРОМЕ таких учетных записей как «ЛОКАЛЬНАЯ СИСТЕМА», «ЛОКАЛЬНАЯ СЛУЖБА» и «СЕТЕВАЯ
СЛУЖБА». Эти встроенные учетные записи используются операционной системой.
Обеспечение безопасности известных учетных записей
Операционная система Windows Server 2003 с пакетом обновления 1 (SP1) содержит ряд встроенных
учетных записей пользователей, которые нельзя удалить, но можно переименовать. Две самые
известные встроенные учетные записи Windows Server 2003 — «Гость» и «Администратор».
На рядовых серверах и контроллерах домена учетная запись гостя по умолчанию отключена и
включать ее не рекомендуется. Многие вредоносные программы для получения несанкционированного
доступа к серверу в первую очередь пытаются использовать встроенную учетную запись
администратора. Поэтому следует переименовать встроенную учетную запись «Администратор» и
изменить ее описание, чтобы предотвратить нарушение безопасности удаленных серверов
злоумышленниками, пытающимися использовать эту широко известную учетную запись.
Эффективность такого переименования в последние годы снизилась из-за появления средств атаки,
указывающих при обращении к серверу идентификатор безопасности (SID) встроенной учетной записи
администратора. По идентификатору безопасности определяется настоящее имя учетной записи, после
чего делается попытка несанкционированного доступа. Идентификатор безопасности — это число,
однозначно определяющее каждого пользователя, группу, учетную запись компьютера или сеанс входа
в систему при работе в сети. Изменить идентификатор безопасности этой встроенной учетной записи
невозможно. Однако оперативные группы организации смогут с легкостью отслеживать попытки атак
на учетную запись администратора, если ей будет присвоено уникальное имя.
Защита известных учетных записей на серверах узлов-бастионов
•
Переименуйте учетные записи администратора и гостя и затем измените пароли, подбирая длинные
•
Для каждого сервера назначайте разные пароли и имена учетных записей. При использовании
и сложные сочетания, на каждом сервере.
одинаковых паролей и имен учетных записей злоумышленник, получив доступ к одному из
серверов, сможет получить доступ и ко всем другим.
•
Чтобы предотвратить идентификацию учетной записи по ее описанию, смените описание.
•
Храните записи сделанных изменений в безопасном месте.
Отчеты об ошибках
Таблица 12.4. Рекомендуемые значения параметров отчета об ошибках
Параметр
Среда устаревших
клиентов
Среда
корпоративных
клиентов
Специальная безопасная
среда с ограниченной
функциональностью
Параметр
Среда устаревших
клиентов
Среда
корпоративных
клиентов
Специальная безопасная
среда с ограниченной
функциональностью
Отключить отчеты об
Включен
Включен
Включен
ошибках Windows
Данная служба помогает корпорации Майкрософт отслеживать и устранять ошибки. Эту службу можно
настроить на создание отчетов об ошибках операционной системы, компонентов Windows или
программ. Она имеется только в системах Windows XP Professional и Windows Server 2003.
Служба отчетов об ошибках может уведомить корпорацию Майкрософт об ошибках через Интернет
или сохранить сведения о них во внутренней общей папке. Хотя отчеты об ошибках могут содержать
важные и даже конфиденциальные сведения, политика конфиденциальности корпорации Майкрософт
гарантирует, что корпорация Майкрософт не будет использовать эти сведения ненадлежащим образом.
Однако посторонние могут перехватить и просмотреть эти данные, так как они передаются по
протоколу HTTP открытым текстом.
Параметр Отключить отчеты об ошибках Windows позволяет разрешить или запретить службе
отчетов об ошибках передавать какие-либо данные.
В системе Windows Server 2003 этот параметр политики можно настроить в следующем разделе
редактора объектов групповой политики:
Конфигурация компьютера\Административные шаблоны\Система\Управление связью через
Интернет\Параметры связи через Интернет
Присвойте параметру Отключить отчеты об ошибках Windows значение Включен в базовой
политике узла-бастиона для всех трех сред, рассматриваемых в данном руководстве.
Создание политики с помощью мастера настройки безопасности
Для настройки необходимых параметров безопасности при создании политики сервера следует
использовать как мастер настройки безопасности (SCW), так и шаблоны безопасности, включенные в
загружаемую версию данного руководства.
При создании собственной политики пропустите разделы «Параметры реестра» и «Политика аудита».
Соответствующие параметры будут взяты из шаблонов безопасности для выбранной среды. Такой
способ настройки гарантирует, что элементы политики, содержащиеся в шаблонах, будут иметь более
высокий приоритет по сравнению с элементами, заданными с помощью мастера настройки
безопасности.
Все настройки следует выполнять на компьютере с вновь установленной операционной системой,
чтобы избежать переноса устаревших параметров или приложений из прежних конфигураций. Для
обеспечения максимальной совместимости старайтесь использовать оборудование, аналогичное тому,
которое будет применяться при развертывании. Компьютер с заново установленной операционной
системой называется контрольным компьютером.
Во время создания политики сервера из списка обнаруженных ролей можно удалить роль файлового
сервера. Эта роль часто бывает настроена на серверах, где она не нужна, и может представлять угрозу
безопасности. Если на сервере требуется роль файлового сервера, ее можно включить при настройке
другой политики, описанной ниже.
Создание политики узла-бастиона
1.
Установите систему Windows Server 2003 с пакетом обновления 1 (SP1) на новый контрольный
компьютер.
2.
Установите на компьютер мастер настройки безопасности. Откройте для этого панель управления,
дважды щелкните значок «Установка и удаление программ» и выберите вариант «Установка
компонентов Windows».
3.
Установите и настройте только те приложения, использование которых является обязательным на
каждом узле-бастионе, например антивирусные и антишпионские служебные программы.
4.
Запустите графический интерфейс пользователя мастера настройки безопасности, выберите пункт
Создать новую политику и укажите контрольный компьютер.
5.
Убедитесь в том, что обнаруженные роли сервера (например веб-сервер) соответствуют узлубастиону. Удалите все остальные роли сервера.
6.
Убедитесь в том, что обнаруженные функции клиента подходят для среды. Для уменьшения
контактной зоны удалите все ненужные функции клиента, например функции Сетевой клиент
Майкрософт и DHCP-клиент.
7.
Для обеспечения максимальной защиты удалите все административные параметры, за
исключением тех параметров, которые относятся к брандмауэру Windows. Дополнительные
параметры увеличивают не только управляемость узла-бастиона, но и контактную зону.
Тщательно обдумайте все преимущества каждого параметра и связанные с ним риски, в случае
если эти параметры не являются ключевыми для работы узла-бастиона.
8.
Убедитесь в том, что найдены все дополнительные службы, необходимые для выполнения
базовых функций, например агенты внешних хранилищ и антивирусные программы.
9.
Определите порядок работы со службами, которые не были указаны при создании политики. Для
обеспечения дополнительной безопасности можно установить этот параметр политики в значение
Отключен. Прежде чем развертывать конфигурацию в рабочей сети, ее необходимо
протестировать, так как могут возникнуть проблемы, если на рабочих серверах запущены
дополнительные службы, не продублированные на контрольном компьютере.
10.
В разделе «Безопасность сети» снимите флажок Пропустить данный раздел. Нажмите кнопку
Далее. Соответствующие порты и приложения, определенные ранее, настраиваются в качестве
исключений брандмауэра Windows. Снимите флажки для всех портов, кроме тех, которые
необходимы для работы узла-бастиона.
11.
В разделе «Параметры реестра» установите флажок Пропустить этот раздел и нажмите кнопку
Далее. Данные параметры политики импортируются из прилагаемого файла с расширением INF.
12.
В разделе «Политика аудита» установите флажок Пропустить этот раздел и нажмите кнопку
Далее. Данные параметры политики импортируются из прилагаемого файла с расширением INF.
13.
Включите соответствующий шаблон безопасности (например SSLF-Bastion Host.inf).
14.
Сохраните политику с соответствующим именем (например Bastion Host.xml).
Проверка политики с помощью мастера настройки безопасности
После создания и сохранения политики корпорация Майкрософт настоятельно рекомендует развернуть
ее в тестовой среде. В идеале тестовые серверы должны иметь такое же оборудование и программное
обеспечение, как и рабочие серверы. Это позволит обнаружить и устранить возможные проблемы,
например присутствие непредусмотренных служб, затребованных определенными устройствами.
Необходимо применить эти параметры с помощью мастера настройки безопасности, так как
компьютеры, исполняющие роль узлов-бастионов, не присоединены к домену. Нельзя использовать
групповую политику вне пределов домена.
Цель тестирования политик — удостовериться, что применение той или иной политики к серверам не
повлияет негативно на их основные функции. После применения настроек следует проверить базовые
возможности компьютера. Например, если сервер настроен как центр сертификации, следует
удостовериться, что клиенты смогут запрашивать и загружать сертификаты, списки отзыва
сертификатов и т. д.
По окончании работы с настройкой политик, следует использовать команду Scwcmd (см. процедуру
ниже) для преобразования политик в объекты групповой политики.
Дополнительные сведения о тестировании политик мастера настройки безопасности см. в руководстве
по развертыванию мастера настройки безопасности по адресу
http://technet2.microsoft.com/WindowsServer/rus/Library/5254f8cd-143e-4559-a2999c723b3669461033.mspx(на английском языке) и в документации по мастеру настройки безопасности
по адресу http://go.microsoft.com/fwlink/?linkid=43450 (на английском языке).
Применение политики
После тщательной проверки политики разверните ее. Для этого выполните следующие действия.
1.
Запустите мастер настройки безопасности.
2.
Выберите пункт Применить существующую политику безопасности.
3.
Выберите созданный ранее XML-файл (например Bastion Host.xml).
4.
Для применения параметров завершите работу мастера настройки безопасности.
Если файл политики безопасности для мастера настройки безопасности содержит параметры
брандмауэра Windows, то для успешного завершения этой процедуры брандмауэр Windows должен
быть запущен на локальном компьютере. Чтобы запустить брандмауэр Windows, откройте панель
управления и выберите пункт Брандмауэр Windows.
Выполните окончательную проверку правильности значений параметров, заданных с помощью мастера
настройки безопасности. Для завершения процедуры подтвердите, что значения параметров
установлены правильно и функциональные возможности не изменились.
Заключение
Узлы-бастионы с Windows Server 2003 с пакетом обновления 1 (SP1), подвержены атакам извне, так
как они не защищены с помощью каких-либо устройств, например брандмауэров. Необходимо
обеспечить максимальную безопасность узлов-бастионов. Это повысит их доступность и снизит до
минимума возможные риски. На наиболее защищенные серверы узлов-бастионов разрешен доступ
только с доверенными учетными записями. Кроме того, на таких серверах выполняются только те
службы, которые необходимы для функционирования сервера.
В главе описаны параметры и действия, которые помогут укрепить безопасность серверов узловбастионов. Многие из этих параметров можно применить с помощью локальной групповой политики.
Также даны рекомендации по ручной настройке параметров.
Дополнительные сведения
Ниже приведены ссылки на документы, содержащие дополнительные сведения об укреплении
безопасности серверов узлов-бастионов с Windows Server 2003 с пакетом обновления 1 (SP1).
•
Дополнительные сведения о построении частных сетей см. в статье Брандмауэры и виртуальные
частные сети в PDF-файле по адресу www.wiley.com/legacy/compbooks/press/0471348201_09.pdf,
авторы Элизабет Цвики, Саймон Купер, Брент Чепмен (на английском языке).
•
Дополнительные сведения о брандмауэрах и безопасности см. в статье Брандмауэры в Интернете и
безопасность — обзор технологий по адресу www.itmweb.com/essay534.htm, автор Чак Семериа (на
английском языке).
•
Дополнительные сведения о модели «глубокой защиты» см. в статье Глубокая защита на веб-узле
вооруженных сил США по адресу http://usmilitary.about.com/od/glossarytermsd/g/did.htm (на
английском языке).
•
Дополнительные сведения о мерах предосторожности против злоумышленников см. в статье Список
мер по обнаружению злоумышленника по адресу
www.cert.org/tech_tips/intruder_detection_checklist.html, автор Джей Бил (на английском языке).
•
Дополнительные сведения об укреплении безопасности узлов-бастионов см. в статье по
информационной безопасности Укрепление безопасности узлов-бастионов, выпущенной институтом
SANS, по адресу www.sans.org/rr/whitepapers/basics/420.php (на английском языке).
•
Дополнительные сведения об узлах-бастионах см. в статье Принципы работы узлов-бастионов по
•
Дополнительные сведения о разрешении проблем, возникающих при работе со средством анализа и
адресу http://thor.info.uaic.ro/~busaco/teach/docs/intranets/ch16.htm (на английском языке).
настройки безопасности, см. в статье Проблемы, возникающие после импорта нескольких шаблонов
в средство анализа и настройки безопасности базы знаний Майкрософт по адресу
http://support.microsoft.com/?kbid=279125 (на английском языке).
•
Дополнительные сведения о безопасности веб-узлов см. в статье Руководство по обеспечению
безопасности веб-узла по адресу www.faqs.org/rfcs/rfc2196.html (на английском языке).
Глава 13. Заключение
Поздравляем! Теперь, когда вы ознакомились с данным руководством, у вас должно сложиться четкое
представление об оценке рисков, которым может подвергнуться в организации компьютер с Microsoft®
Windows Server™ 2003 с пакетом обновления 1 (SP1). Теперь вам известно как спланировать и
разработать защиту инфраструктуры сети, где это возможно.
Это руководство содержало ценные указания, которые можно использовать в любой организации.
Некоторые из этих указаний включают материалы, полученные в результате работы консультантов и
системных инженеров, которые внедряли решения на основе Windows Server 2003, Windows XP и
Windows 2000 в различных средах. Этот материал помог составить набор рекомендаций для
максимально надежной защиты Windows Server 2003.
Какая бы обстановка не царила в организации, к проблемам безопасности надо относиться очень
серьезно. Однако многие организации пренебрегают этими проблемами, ошибочно считая, что
безопасность ограничивает их гибкость. Когда хорошо спроектированная система безопасности
становится основным требованием для бизнеса и разрабатывается с самого начала каждого ИТпроекта, правильная стратегия безопасности может повысить доступность и быстродействие ваших
компьютеров. Однако система безопасности, добавленная в проект уже после его запуска, может
негативно повлиять на эффективность, стабильность и гибкость управления. Безопасность должна
входить в число главных приоритетов любой организации.
В этом руководство объяснено, как можно эффективно уменьшить угрозу безопасности компьютеров,
работающих под управлением Windows Server 2003 с пакетом обновления 1 (SP1) в трех различных
средах. В нем описаны приемы планирования и проектирования системы защиты, интегрированной в
инфраструктуру организации, а также содержатся подробные инструкции по устранению конкретных
уязвимостей компьютеров с Windows Server 2003 с пакетом обновления 1 (SP1).
Причины выбора тех или иных решений объясняются с точки зрения поиска компромисса, о котором
всегда стоит задумываться, когда в организации рассматривается вопрос внедрения определенных
защитных средств. В руководстве приведены подробные сведения о том, как определенные меры
противодействия могут повлиять на управляемость, производительность и надежность компьютеров.
Это позволяет квалифицированно выбирать защитные меры для внедрения в определенной среде.
Наконец, важно понимание того, что обеспечение безопасности серверов в сети — это не просто
разовое мероприятие, а процесс, который организации должны учитывать при разработке своих
бюджетов и планов работ.
Организации, пользующиеся операционной системой Windows Server 2003, могут существенно
укрепить свою безопасность, применяя все указанные в этом руководстве меры. Однако при
обнаружении новой серьезной угрозы серверы могут снова подвергнуться атакам. Во избежание
подобных проблем, очень важно постоянно следить за обновлениями информации, связанной с
операционными системами, приложениями и устройствами, имеющимися в вашей среде.
Авторы руководства надеются, что представленные в нем материалы оказались понятными, полезными
и содержательными.
Дополнительные сведения
Приведенные ниже ссылки указывают на материалы с дополнительными сведениями об укреплении
защиты серверов с Windows Server 2003 с пакетом обновления 1 (SP1).
•
Для получения дополнительной информации о системе безопасности в корпорации Майкрософт, см.
веб-узел Защищенные информационные системы: безопасность по адресу
www.microsoft.com/mscorp/twc/default.mspx (на английском языке).
•
Дополнительные сведения о том, чем MOF может быть полезна предприятию см. на веб-узле
Microsoft Operations Framework по адресу
www.microsoft.com/technet/itsolutions/cits/mo/mof/default.mspx (на английском языке).
Приложение A. Форматы и средства безопасности
Создание, тестирование и развертывание полного набора политик и шаблонов в организации, а также
управление ими может являться непростой задачей. Настоящее приложение содержит обзор доступных
средств производства компании Майкрософт и форматов, в которых могут выпускаться политики
безопасности.
Средства обеспечения безопасности
Перечисленные ниже средства поставляются с операционной системой Windows Server™ 2003 или
могут быть загружены бесплатно с веб-узла корпорации Майкрософт.
Мастер настройки безопасности
Мастер настройки безопасности (SCW) был включен в состав Windows Server 2003 с пакетом
обновления 1 (SP1). В отличие от групповых политик он не интегрирован в службу каталогов
Active Directory®, следовательно, не может использоваться для настройки политик доменного уровня.
Однако он обеспечивает последовательную методику укрепления безопасности на основе ролей с
использованием мастеров, которые упрощают создание политик безопасности.
Мастер настройки безопасности обеспечивает быстрое и удобное создание прототипов политик для
различных ролей сервера, соответствующих самым современным рекомендациям и указаниям
Майкрософт. Мастер настройки безопасности автоматически управляет параметрами служб,
параметрами реестра, исключениями брандмауэра Windows и многим другим. Он позволяет в
удаленном режиме настраивать конечные компьютеры, а также развертывать и откатывать политики.
Средство командной строки Scwcmd допускает совместное использование мастера настройки
безопасности и групповых политик для развертывания политик на группах компьютеров или
преобразования политик в объекты групповой политики.
Редактор конфигураций безопасности
Средства редактора конфигураций безопасности используются для определения шаблонов политики
безопасности, которые можно применять к отдельным компьютерам или к группам компьютеров
посредством групповой политики Active Directory. Впервые редактор конфигураций безопасности был
использован в качестве дополнительного компонента для Windows NT® 4.0 и с тех пор является
составной частью групповой политики.
Редактор конфигураций безопасности больше не является отдельным компонентом и используется в
следующих оснастках консоли управления (MMC) и служебных программах администрирования:
•
оснастка MMC «Анализ и настройка безопасности»,
•
оснастка MMC «Шаблоны параметров безопасности»,
•
оснастка «Редактор групповой политики» (используется для части «Настройки безопасности»
•
средство «Локальные параметры безопасности»,
•
средство «Политика безопасности контроллера домена»,
•
средство «Политика безопасности домена».
дерева «Конфигурация компьютера»),
Поскольку во всех перечисленных средствах используется редактор конфигураций безопасности,
администраторы Windows имеют возможность пользоваться согласованным многофункциональным
интерфейсом для создания и редактирования политик, как предназначенных для отдельного
компьютера, так и развертываемых в качестве объекта групповой политики.
Дополнительные сведения о редакторе конфигураций безопасности см. в справке Windows.
Active Directory — пользователи и компьютеры
Оснастка консоли управления (MMC) «Active Directory — пользователи и компьютеры» обеспечивает
основной графический интерфейс пользователя для создания подразделений в домене и управления
ими. Функции оснастки включают связывание объектов групповой политики и подразделений,
управление порядком и наследованием политик, а также запуск редактора объектов групповой
политики в качестве отдельного процесса для редактирования объектов групповой политики. Однако
данная оснастка не обеспечивает согласованного интегрированного способа учета и создания
групповых политик и управления ими.
Дополнительные сведения об оснастке MMC «Active Directory — пользователи и компьютеры» см. в
справке Windows.
Консоль управления групповыми политиками
Консоль управления групповыми политиками была разработана Майкрософт на основе отзывов
клиентов, которым требовалось более совершенное средство управления групповыми политиками в
крупных системах. Консоль управления групповыми политиками работает под управлением
операционной системы Windows XP с пакетом обновления 1 (SP1) или Windows Server 2003 и включает
оснастку MMC и набор интерфейсов с поддержкой сценариев, которые можно использовать для
управления групповыми политиками. Она позволяет управлять доменами Windows 2000 Server и
Windows Server 2003.
Консоль управления групповыми политиками обеспечивает следующие функции:
•
интерфейс пользователя, предназначенный для использования групповых политик и управления
•
возможность быстрого резервного копирования, восстановления, импорта, экспорта, копирования и
•
упрощенное управление функциями безопасности, связанными с групповыми политиками;
•
создание отчетов для объектов групповой политики и данных результирующей политики;
•
операции объектов групповой политики с поддержкой сценариев.
ими;
вставки объектов групповой политики;
Все пользователи Windows Server 2003 могут бесплатно загрузить консоль управления групповыми
политиками с пакетом обновления 1 по адресу
www.microsoft.com/downloads/details.aspx?FamilyID=0a6d4c24-8cbd-4b35-9272dd3cbfc81887&DisplayLang=en.
Форматы файлов безопасности
Политики безопасности можно создавать и сохранять в различных форматах. В следующем разделе
приводится описание стандартных форматов файлов, использующихся в Windows Server 2003.
Политика мастера настройки безопасности (XML)
Мастер настройки безопасности представляет новый формат файла, основанный на языке XML.
Встроенные политики мастера настройки безопасности сохраняются с расширением XML. Такие файлы
политик в формате XML не имеют официальной схемы, но их можно определить через элемент
<SecurityPolicy Version="1.0">.
Файл политики мастера настройки безопасности фактически является полным манифестом нескольких
различных типов параметров:
•
режим запуска системных служб,
•
исключения брандмауэра Windows,
•
выбранные роли компьютера,
•
выбранные задачи компьютера,
•
параметры реестра,
•
параметры политики,
•
политики аудита.
Кроме того, политики мастера настройки безопасности могут быть связаны с одним или несколькими
шаблонами политик для обеспечения дополнительных функций, не включенных в мастер настройки
безопасности, таких как системные службы или списки управления доступом к реестру (ACL).
Шаблон политики (INF)
Шаблоны политик — это текстовые файлы, которые соответствуют стандартному формату файлов
данных Windows: один или несколько разделов, разделенных специальными ключевыми словами,
заключенными в квадратные скобки, сопровождаемые одной или несколькими парами «атрибутзначение».
Шаблоны политик могут содержать несколько разделов, определяющих следующие типы данных:
•
политики пароля,
•
политики блокировки,
•
политики проверки подлинности по протоколу Kerberos,
•
политики аудита,
•
параметры журнала событий,
•
значения реестра,
•
режимы запуска служб,
•
разрешения служб,
•
права пользователей,
•
ограничения принадлежности к группе,
•
разрешения для реестра,
•
разрешения файловой системы.
Шаблоны политик поддерживаются большинством средств, перечисленных выше в данном
приложении. Один и тот же формат шаблона можно использовать для политик локального компьютера
и групповых политик Active Directory. Прежде чем шаблоны можно будет использовать, их следует
импортировать с помощью соответствующего средства.
Объекты групповой политики
Объекты групповой политики — это данные политики, хранящиеся в Active Directory, а также в виде
коллекций файлов в специальных папках на контроллерах домена. Такие файлы политик отображают
политики компьютера и пользователей, обычно с ними нельзя работать напрямую. Для изменения
параметров или экспорта объекта групповой политики в шаблон политики можно использовать консоль
управления групповыми политиками или другие подобные средства.
Чтобы сохранить все сведения, хранящиеся внутри объекта групповой политики, в файловую систему,
можно экспортировать или архивировать объект групповой политики из среды консоли управления
групповыми политиками. В архивах созданных таким образом объектов групповой политики
содержатся следующие сведения:
•
идентификатор GUID и домен объекта групповой политики,
•
параметры объекта групповой политики,
•
список управления доступом на уровне пользователей (DACL) объекта групповой политики,
•
ссылка фильтра WMI, если таковой существует (но не сам фильтр),
•
ссылки на политики IP-безопасности (при их наличии),
•
отчет в формате XML, содержащий параметры объекта групповой политики, которые можно
•
штамп даты и времени создания архива,
•
описание резервной копии, созданное пользователем.
просмотреть в формате HTML с помощью консоли управления групповыми политиками,
Однако эта резервная копия не содержит данных, которые являются внешними по отношению к
объекту групповой политики. В частности, такой файл не содержит сведений о ссылках для веб-узлов,
доменов или подразделений, а также самих фильтров WMI и политик IP-безопасности.
Приложение Б. Ключевые параметры
Хотя в настоящем руководстве рассматриваются многие меры по обеспечению безопасности и
параметры безопасности, следует учитывать, что некоторые из них имеют особую важность. Настоящее
приложение посвящено таким параметрам; сведения о функциях параметров и их значимости см. в
соответствующей главе руководства.
Выбор параметров для включения в данный список стал предметом широкого обсуждения. Данный
вопрос обсуждался на протяжении длительного времени группой экспертов по безопасности
корпорации Майкрософт. Может показаться, что некоторые параметры пропущены, а другие включены
в список без необходимости. Поскольку в каждой организации существует определенная среда с
конкретными требованиями, следует ожидать, что вопросы безопасности могут решаться различными
способами. Однако данный список способен помочь определить важность задач, связанных с
укреплением безопасности компьютеров с ОС Microsoft® Windows®.
К важным защитным мерам, не являющимся параметрами безопасности, относятся следующие:
•
своевременная установка пакетов обновления и исправлений с помощью автоматических средств
•
•
•
установка и настройка распределенных программных брандмауэров или политик IPsec организации;
•
использование учетной записи с ограниченными правами для выполнения повседневных задач.
тестирования и развертывания;
развертывание и поддержка антивирусных программ;
развертывание и поддержка антишпионского программного обеспечения на компьютерах, которые
используются для просмотра веб-узлов;
Учетную запись с привилегиями администратора следует использовать для выполнения задач,
требующих повышенных привилегий.
Ниже перечислены основные параметры безопасности операционной системы Microsoft Windows.
•
•
Правила работы с паролями, описание которых содержится в главе 3 «Политика домена»:
•
•
•
•
•
максимальный срок действия пароля;
минимальная длина пароля;
соответствие паролей требованиям сложности;
хранение пароля с использованием обратимого шифрования для всех пользователей домена.
Права пользователя, описание которых содержится в главе 4 «Базовая политика рядовых
серверов»:
•
•
•
•
•
принудительное ведение журнала паролей;
получение доступа к компьютеру из сети;
работа с правами элемента операционной системы;
разрешение локального входа в систему;
разрешение входа в систему через службу терминалов.
Параметры безопасности, рассматриваемые в главе 4 «Базовая политика рядовых серверов»:
•
•
Учетные записи: ограничить использование пустых паролей только для консольного входа.
•
•
•
Член домена: шифрование данных безопасного канала, когда это возможно.
•
Доступ к сети: разрешить трансляцию анонимного SID в имя.
Член домена: всегда требуется цифровая подпись или шифрование потока данных безопасного
канала.
Член домена: цифровая подпись данных безопасного канала, когда это возможно.
Член домена: требовать стойкий ключ сеанса (Windows 2000 или более новая операционная
система).
•
•
•
Доступ к сети: не разрешать перечисление учетных записей SAM анонимными пользователями.
•
•
•
•
•
•
•
Доступ к сети: разрешать применение разрешений для всех к анонимным пользователям.
Доступ к сети: не разрешать перечисление учетных записей SAM и общих ресурсов анонимными
пользователями.
Доступ к сети: пути в реестре доступны через удаленное подключение.
Доступ к сети: запретить анонимный доступ к именованным каналам и общим ресурсам.
Доступ к сети: разрешать анонимный доступ к общим ресурсам.
Доступ к сети: модель совместного доступа и безопасности для локальных учетных записей.
Сетевая безопасность: не хранить хеш-значения LAN Manager при следующей смене пароля.
Сетевая безопасность: уровень проверки подлинности LAN Manager.
Дополнительные параметры реестра, описание которых содержится в главе 4 «Базовая политика
рядовых серверов»:
•
Безопасный режим поиска DLL.
Приложение В. Обзор параметров шаблона безопасности
Книга Microsoft® Excel® в формате XLS «Параметры руководства по безопасности
Windows Server 2003» (включена в данное руководство) содержит параметры политик и служб для
всех ролей и сред, рассматриваемых в настоящем руководстве. Книга содержит десять листов, по
одному на каждую роль в руководстве:
•
лист Домен содержит параметры групповой политики, которые служат для настойки объектов
•
лист Базовая политика рядового сервера содержит параметры групповой политики и служб
политик на уровне домена, как описано в главе 3 «Политика домена»;
мастера настройки безопасности, которые служат для настройки MSBP, как описано в главе 4
«Базовая политика рядового сервера»;
•
лист Контроллер домена содержит параметры групповой политики и служб мастера настройки
безопасности, которые служат для настройки базовой политики контроллера домена, как описано в
главе 5 «Базовая политика контроллера домена»;
•
лист Сервер инфраструктуры содержит параметры групповой политики и служб мастера
настройки безопасности, которые служат для настройки политик сервера инфраструктуры, как
описано в главе 6 «Роль сервера инфраструктуры»;
•
лист Файловый сервер содержит параметры групповой политики и служб мастера настройки
безопасности, которые служат для настройки политик файлового сервера, как описано в главе 7
«Роль файлового сервера»;
•
лист Сервер печати содержит параметры групповой политики и служб мастера настройки
безопасности, которые служат для настройки политик сервера печати, как описано в главе 8 «Роль
сервера печати»;
•
лист Веб-сервер содержит параметры групповой политики и служб мастера настройки
безопасности, которые служат для настройки политик веб-сервера IIS, как описано в главе 9 «Роль
веб-сервера»;
•
лист Сервер IAS содержит параметры групповой политики и служб мастера настройки
безопасности, которые служат для настройки политик сервера IAS, как описано в главе 10 «Роль
сервера IAS»;
•
лист Сервер ЦС содержит параметры групповой политики и служб мастера настройки безопасности,
которые служат для настройки политик сервера служб сертификации, как описано в главе 11 «Роль
сервера служб сертификации»;
•
лист Узел-бастион содержит параметры групповой политики и служб мастера настройки
безопасности, которые служат для настройки политик узла-бастиона, как описано в главе 12 «Роль
узла-бастиона».
Каждый лист включает следующие столбцы:
•
столбец H, Имя параметра безопасности в интерфейсе пользователя, соответствует имени
•
столбец J, Среда LC, содержит рекомендуемое значение для соответствующего параметра в среде
•
столбец K, Среда EC, содержит рекомендуемое значение для соответствующего параметра в среде
•
столбец L, SSLF, содержит рекомендуемое значение для соответствующего параметра в специальной
параметра, которое отображается в оснастке «Редактор групповой политики» Windows Server 2003;
устаревших клиентов (LC);
корпоративных клиентов (EC);
безопасной среде с ограниченной функциональностью (SSLF).
Чтобы обеспечить более удобную работу с листами, для иллюстрации иерархии объектов в редакторе
групповой политики используются дополнительные столбцы. Столбы A–G используются для
отображения одного уровня иерархии каждый. Например, Конфигурация компьютера отображается
в столбце А, а Параметр безопасности — в столбце C. Столбец I добавлен для повышения удобства
чтения.
Приложение Г. Тестирование руководства по безопасности Windows Server 2003
Обзор
Руководство по безопасности Windows Server 2003 создано для предоставления опробованных и
воспроизводимых рекомендаций по настройке для обеспечения безопасности компьютеров с ОС
Microsoft® Windows Server™ 2003 с пакетом обновления 1 (SP1) в различных средах.
Содержащиеся в руководстве по безопасности Windows Server 2003 рекомендации были проверены в
лабораторной среде на соответствие ожидаемым результатам. Документация прошла проверку на
согласованность, а все рекомендованные процедуры были проверены группой специалистов по
тестированию руководства по безопасности Windows Server 2003. Испытания проводились с целью
проверки функциональности, а также для снижения объема ресурсов, требующихся для построения и
проверки собственных вариантов внедрения с использованием настоящего руководства.
Содержание
Руководство по безопасности Windows Server 2003 прошло лабораторные тесты, в ходе которых были
смоделированы три различные среды применения системы безопасности: среда устаревших клиентов
(LC), среда корпоративных клиентов (EC) и специальная безопасная среда с ограниченной
функциональностью (SSLF). Описание данных сред приводится в главе 1 «Введение в руководство по
безопасности Windows Server 2003». Проверки проводились в соответствии с критериями,
перечисленными в разделе «Задачи тестирования».
Проводившая испытания группа не производила оценку уязвимости тестовой лабораторной среды, в
которой проводилось усиление безопасности решения, описанного в руководстве по безопасности
Windows Server 2003.
Задачи тестирования
Группа, проводившая проверку руководства по безопасности Windows Server 2003, руководствовалась
перечисленными ниже задачами.
•
Оценить рекомендуемые изменения в параметрах безопасности для трех уровней безопасности,
определяемых в руководстве. Причинами таких изменений являются:
•
изменения, вызванные выпуском пакета обновлений 1 для Windows Server 2003;
•
использование нового мастера настройки безопасности, включенного в пакет обновления 1
•
внутренние и внешние отзывы, полученные в отношении предыдущей версии руководства.
(SP1), и новых функций, таких как брандмауэр Windows;
•
Убедиться в том, что параметры безопасности и изменения в конфигурации, рекомендуемые в
•
Убедиться в том, что рядовые серверы домена с усиленной безопасностью могут успешно
•
Убедиться в отсутствии негативного воздействия на связь клиентских компьютеров и контроллеров
•
Убедиться в том, что все рекомендации являются четкими, полными и правильными с технической
руководстве, соответствуют потребностям сред LC, EC и SSLF.
справляться с задачами, предусмотренными их ролями.
доменов.
точки зрения.
Наконец, руководство должно обеспечивать воспроизводимость и надежность при использовании
специалистами со статусом MSCE с опытом работы 2 года.
Тестовая среда
Испытательные лабораторные сети, которые были разработаны для тестирования настоящего
руководства, были сходны с использовавшимся в предыдущей версии руководства. Были созданы три
раздельные, но аналогичные сети, по одной на каждую из определенных сред.
Каждая сеть состояла из леса службы каталогов Active Directory® ОС Windows Server 2003 с пакетом
обновления 1 (SP1), компьютеров, выполнявших роли серверов инфраструктуры, которые
обеспечивали функции контроллера домена, служб DNS, WINS и DHCP, а также других компьютеров,
выполнявших роли серверов приложений, которые обеспечивали функции служб файлов, печати и
веб-служб. Сеть EC также включала компьютеры, выполнявшие роль серверов IAS и серверов служб
сертификации, а в сети SSLF была предусмотрена роль сервера узла-бастиона. Кроме того, сети EC и
SSLF включали Microsoft Operations Manager (MOM) 2005 и сервер SMS (Systems Management Server)
2003 для управления рядовыми серверами домена и клиентскими компьютерами и отслеживания их
деятельности. Эти сети также включали сервер Microsoft Exchange Server 2003 для служб электронной
почты.
На клиентские компьютеры в различных сетях были установлены ОС Windows XP Professional с пакетом
обновления 2 (SP2) и Windows 2000 Professional с пакетом обновления 4 (SP4). Сеть LC также
включала клиентские компьютеры с ОС Windows 98 с набором исправлений 2 (SR2) и рабочую станцию
Windows NT® 4.0 с пакетом обновления 6а (SP6a).
На схеме ниже показана тестовая сеть, созданная для среды EC.
Рис. D.1. Логическая схема тестовой сети для среды EC
См. полноразмерное изображение
Для проверки сценариев репликации между контроллерами домена с усиленной безопасностью лес
Active Directory состоял из двух сайтов. Один сайт являлся основным сайтом офиса с пустым корневым
доменом и дочерним доменом, состоящим из сервера, упомянутого выше, и клиентских компьютеров.
Второй сайт содержал только единичный контроллер второго домена дочернего домена.
На схеме ниже показана тестовая сеть, созданная для среды SSLF.
Рис. Г.2. Логическая схема тестовой сети для среды SSLF
См. полноразмерное изображение
Методика проведения испытаний
Данный раздел содержит описание процедур, использовавшихся при тестировании руководства по
безопасности Windows Server 2003.
Группа, проводившая испытания, организовала лабораторию, включавшую три сети, описание которых
приводится в предыдущем разделе. После прохождения испытаний для проверки концепции были
проведены два цикла более тщательных испытаний. Во время проведения каждого испытания группа
стремилась к стабилизации решения.
Цикл испытаний был определен как последовательность следующих фаз:
1.
2.
фаза построения конфигурации безопасности;
•
фаза ручной настройки;
•
фаза настройки групповой политики;
фаза проведения испытания.
Дополнительные сведения о каждой фазе содержатся в разделе «Фазы проведения испытания» далее.
В разделе «Фаза подготовки испытания» приводится описание действий, которые были выполнены для
исключения в лабораторной среде любых проблем, которые могли бы являться причиной
неправильной интерпретации фактических результатов испытания, после выполнения усиления
безопасности трех сред при осуществлении первых двух фаз поэтапного построения. Данный раздел
также носит название «фонового» состояния.
Фазы проведения испытаний
Фазы проведения испытаний описаны в подразделах далее. Любые критические проблемы,
обнаруженные в фазе построения, были определены как ошибки и устранены в ходе данной фазы до
перехода к фазе проведения испытания. Данный метод гарантирует внедрение в сети правильной
конфигурации безопасности и служит для оценки точности полученных результатов испытания.
Фаза подготовки испытания
В ходе данной фазы задается базовая конфигурация, к которой применяется решение в ходе фазы
построения конфигурации безопасности. Для каждой среды (LC, EC и SSLF) были выполнены
перечисленные ниже действия.
Завершение фазы подготовки испытаний
1.
Создание сети компьютеров, как показано на схеме сети, и установка соответствующих версий
операционной системы Windows на все серверы и клиентские компьютеры.
2.
Создание и настройка домена, контроллеров домена и двух сайтов.
3.
Объединение и настройка всех рядовых серверов и серверов управления. Также следует
подключить клиентские компьютеры к домену.
4.
Выполнение основных проверочных испытаний каждой роли сервера для подтверждения должной
конфигурации сети и приложения.
5.
Выполнение проверки журнала событий каждого рядового сервера в сети на отсутствие ошибок
приложений или системных ошибок.
6.
Выполнение проверки доступа компьютера к службам, предоставляемым контроллером домена и
рядовыми серверами (службы DNS, DHCP, CA, службы файлов, службы печати, веб-службы и
почтовые службы). Выполнение проверки журналов событий на клиентских компьютерах на
наличие ошибок.
7.
Выполнение проверки установки всех необходимых приложений, служб и агентов на каждый
компьютер, являющийся членом домена. Например, проверки того, что агент MOM установлен на
все серверы, которые будут управляться сервером MOM.
8.
После выполнения предыдущих действий необходимо создать резервный образ каждого
компьютера. Такие резервные образы используются при «откате» сети к базовой конфигурации
при переходе к выполнению нового испытания.
Фаза построения конфигурации безопасности
Целью данной фазы являлось выполнение описанных в руководстве процедур для настройки домена,
контроллеров домена и рядовых серверов с обеспечением более высокого уровня безопасности, чем
при базовой конфигурации.
Фаза ручной настройки
Данная фаза часто является первой фазой построения безопасности. В ходе этой фазы использовались
рекомендации по укреплению безопасности в ручном режиме, которые содержатся в каждой главе.
Примечание. Некоторые, но не все, из рассмотренных действий могут быть применены для
конкретной сети. Внимательно ознакомьтесь с каждой процедурой, чтобы понять, какое влияние она
может оказать на сеть.
Ручная настройка
1.
Используйте оснастку «Управление компьютером» консоли управления (MMC) для выполнения
рекомендуемых изменений параметров политики (например изменение локальной учетной записи
администратора и пароля) на каждом рядовом компьютере. Для обеспечения безопасности учетной
записи домена выполните перечисленные ниже действия.
1.
Убедитесь в том, что встроенная локальная учетная запись администратора была
переименована и снабжена сложным паролем, а соответствующее стандартное описание
учетной записи было удалено.
2.
Переименуйте учетные записи «Гость» на узле и отключите их.
3.
Выполните все содержащиеся в настоящем руководстве дополнительные рекомендации по
укреплению безопасности учетных записей доменов.
2.
Добавьте уникальные группы безопасности или учетные записи к параметрам прав пользователя,
как описано в данной главе.
3.
Выполните все остальные необходимые процедуры по ручному укреплению безопасности,
рекомендуемые в каждой главе. Например, включите конфигурацию отчетов об ошибках и ручной
дамп памяти.
Фаза настройки групповой политики
Целью данной фазы является создание и применение объектов групповой политики на уровне домена
и подразделений. Объекты групповой политики применяются к различным подразделениям на
основании рекомендаций, изложенных в главе 2 «Механизмы укрепления безопасности
Windows Server 2003».
Пакет обновления 1 (SP1) для Windows Server 2003 содержал новые средства и функции, изменившие
схему реализации групповой политики по сравнению с предыдущей версией.
Мастер настройки безопасности — это средство уменьшения количества возможных направлений атак,
которое используется для создания необходимого набора политик безопасности для каждой роли
сервера, описанной в настоящем руководстве. Наличие мастера настройки безопасности обусловило
два следующих значительных изменения в фазе настройки групповой политики:
•
фильтры IPsec, включенные в предыдущую версию руководства, были заменены на настройки порта
•
шаблоны безопасности, включенные в руководство, необходимо использовать совместно с мастером
брандмауэра Windows, созданные с помощью мастера настройки безопасности;
настройки безопасности для создания файлов шаблонов безопасности в формате XML. Такие
шаблоны затем преобразуются в соответствующие объекты групповой политики с помощью средства
работы с командной строкой Scwcmd.
Для каждой из трех сред были выполнены перечисленные ниже действия.
Создание объектов групповой политики
1.
Убедитесь, что все необходимые приложения, службы и агенты были установлены на каждом
входящем в домен компьютере в базовой сети. Например, убедитесь в том, что агент MOM
установлен на все рядовые серверы домена, управление которыми будет осуществляться при
помощи MOM.
2.
Используйте оснастку консоли управления (MMC) «Active Directory — пользователи и компьютеры»
для создания описанной структуры подразделений.
3.
Создайте объект групповой политики для политики домена с помощью шаблона безопасности с
расширением INF. Данный этап не требует использования мастера настройки безопасности.
4.
Используйте мастер настройки безопасности для создания шаблона безопасности в формате XML
для каждой роли сервера, описанной в настоящем руководстве. Рекомендуемые действия описаны
в главе 2 «Механизмы укрепления безопасности Windows Server 2003», а также в главах,
посвященных каждой отдельной роли сервера. При выполнении этого действия, создайте
соответствующий шаблон безопасности в формате INF для роли сервера. Файлы шаблонов
включены в загружаемую версию настоящего руководства.
5.
Используйте средство работы с командной строкой Scwcmd для преобразования шаблонов
безопасности в формате XML, которые были созданы на предыдущем этапе, в объекты групповой
политики.
6.
Повторите действие 4 для сервера узла-бастиона, чтобы создать шаблон безопасности узлабастиона в формате XML, а затем снова воспользуйтесь мастером настройки безопасности для
преобразования и применения шаблона для локального объекта групповой политики.
После того как объект групповой политики будет успешно создан, сравните параметры с
рекомендациями, содержащимися в соответствующих главах, чтобы выявить неправильные параметры.
На данном этапе все рядовые серверы домена находятся в подразделении «Компьютеры». Данные
серверы затем будут перемещены в соответствующие подразделения в пределах подразделения
«Рядовые серверы».
Следующая задача (подробно описанная в процедуре ниже) — применить каждый объект групповой
политики к соответствующему подразделению. Для связывания объекта групповой политики с
подразделением использовалась консоль управления групповыми политиками. Связывание для
объекта GPO политики контроллера домена выполнялось в последнюю очередь.
Для завершения фазы построения конфигурации безопасности были выполнены указанные ниже
действия.
Применение объектов групповой политики
1.
Свяжите объект GPO политики домена с объектом домена.
Примечание. Если стандартные ссылки объекта групповой политики уже существуют или если
имеется несколько объектов групповой политики, может потребоваться переместить связи объектов
GPO выше в списке приоритетов.
2.
Используйте консоль управления групповыми политиками для связывания объектов GPO базовой
политики рядового сервера с подразделениями рядовых серверов. (Данное действие можно также
выполнить с помощью оснастки консоли управления MMC «Active Directory — пользователи и
компьютеры».)
3.
Свяжите объект групповой политики каждой роли отдельного сервера с соответствующим
подразделением роли сервера.
4.
Свяжите объект GPO политики контроллера домена с подразделением контроллера домена.
5.
Чтобы обеспечить применение последних параметров групповой политики, выполните команду
gpudpate /force в командной строке на всех контроллерах домена. Затем по одному
перезагрузите все контроллеры домена, начиная с основного контроллера домена. Предоставьте
Active Directory достаточно времени для репликации изменений между сайтами.
Внимание! Необходимо перезагрузить контроллеры доменов после применения объекта GPO
политики контроллера домена. Если не выполнить это действие, могут возникнуть ошибки
репликации в папке службы каталогов или ошибки Userenv в папке приложения средства
просмотра событий.
6.
Повторите действие 5 для всех рядовых серверов домена.
7.
Проверьте наличие ошибок в средстве просмотра событий. Просмотрите журналы ошибок для
диагностики и устранения неполадок.
8.
На сервере узла-бастиона воспользуйтесь средством «Мастер настройки безопасности» для
применения шаблона безопасности узла-бастиона в формате XML для локального объекта
групповой политики сервера.
Проверка загрузки групповой политики на рядовых серверах
В ходе предыдущей процедуры были созданы объекты групповой политики, затем они были применены
к подразделениям для настройки компьютеров в соответствующих подразделениях. Выполните
указанные ниже действия для подтверждения успешной загрузки групповой политики с контроллера
домена на рядовые серверы. (Предполагается, что после связывания объектов групповой политики с
подразделениями была выполнена перезагрузка рядовых серверов.)
Проверка загрузки групповой политики на рядовые серверы
1.
Войдите на рядовой сервер.
2.
Нажмите кнопку Пуск, выберите пункт Выполнить, введите rsop.msc и нажмите клавишу
«ВВОД».
3.
В консоли результирующей политики разверните узел Корень консоли и перейдите к пункту
Конфигурация компьютера.
4.
Щелкните правой кнопкой мыши пункт Конфигурация компьютера и выберите пункт Свойства.
На панели свойств конфигурации компьютер отобразится список объектов групповой политики.
Объект групповой политики, который был применен к подразделению, должен отобразиться в
списке, и с ним не должно быть связанно никаких ошибок.
Фаза проведения проверки
В ходе данной фазы были выполнены отдельные проверки, разработанные группой, проводившей
проверку. Фаза проведения проверки служит для выявления следующих проблем:
•
любые возможные неполадки приложений, безопасности или системы, причиной которых явились
процессы, использовавшиеся для укрепления безопасности домена, контроллеров домена, рядовых
серверов или сервера узла-бастиона;
•
потеря доступности служб и функций, вызванная изменениями в настройке безопасности серверов
•
технические неточности и несоответствие материала, изложенного в документации, с фактической
сети;
реализацией в лабораторных условиях.
Группа, ответственная за тестирование, выполнила ряд проверок, которые включены в папку
\Средства и шаблоны руководства по безопасности Windows Server 2003\Средства
проведения проверок. (Средства и шаблоны включены в загружаемую версию настоящего
руководства.) Данные проверки были выполнены в каждой из трех отдельных сетей, за исключением
случаев, когда выполнялось тестирование компонентов, имеющихся только в одной сети, например
служб сертификации, которые присутствовали только в среде EC. В дополнение к данным проверкам
на различных этапах выполнялось ручное тестирование, например периодическая проверка журналов
средства просмотра событий или проверка наличия каких-либо определенных проблем, обнаруженных
в предыдущей версии руководства. Все обнаруженные проблемы были занесены в базу данных и
поочередно решались совместно с членами группы разработчиков.
Дополнительные сведения о различных типах проводившихся проверок см. в разделе ниже.
Типы проверок
Группа, ответственная за тестирование, проводила следующие типы проверок на различных этапах
тестирования для подтверждения отсутствия существенной потери функциональности доменов,
контроллеров доменов и рядовых серверов, для которых выполнялось укрепление безопасности. В
книге Excel, которая находится в папке \Средства и шаблоны руководства по безопасности
Windows Server 2003\Средства проведения проверок, входящей в состав загружаемой версии
настоящего руководства, содержится полный список отдельных проверок, которые выполнялись как
для доменных, так и для отдельных серверов с Windows Server 2003 с пакетом обновления 1 (SP1).
Дополнительные сведения, включая тестовые сценарии, выполняемые действия и ожидаемые
результаты приведены там же.
Данные проверки проводились несколько раз. Более того, они проводились до и после внедрения
параметров безопасности, описанных в настоящем руководстве. Такой подход служит для выявления
группой, проводившей проверки, возможных ошибок и отклонений в функциональности
перечисленных ролей серверов.
Проверки на стороне клиента
Такие проверки выполнялись на клиентских компьютерах сети. Основной целью данных проверок
являлось выявление доступности служб домена (например служб проверки подлинности, прав доступа,
разрешений имен и т. п.) и служб приложений (например, файловой службы, службы печати и вебслужбы) для клиентских компьютеров, после укрепления безопасности серверов сети. В среде LC эти
проверки служили для подтверждения того, что клиентские компьютеры с Windows NT 4.0 с пакетом
обновления 6а (SP6a) и Windows 98 могли проходить проверку подлинности в домене Active Directory
ОС Windows Server 2003.
Проверки на соответствие документации
Такие проверки использовались для оценки точности, однозначности и полноты утверждений,
процедур и функций, описание которых приводится в рекомендациях по внедрению. Для этих
проверок не существует отдельных контрольных задач.
Проверки сценариев
Некоторые клиентские тестовые сценарии были созданы с помощью VBScript. Основной задачей таких
проверок являлась проверка должной функциональности клиентских компьютеров с Windows XP,
использующих сетевые службы, такие как вход в домен, смена пароля и доступ к серверу печати.
Файлы VBScript для данных проверок содержатся в папке \Средства и шаблоны руководства по
безопасности Windows Server 2003\Средства проведения проверок, входящей в состав
загружаемой версии настоящего руководства.
Проверки на стороне сервера
Данные проверки были разработаны для проверки функциональности и эффективности процедур
построения безопасности на серверах с Windows Server 2003 с пакетом обновления 1 (SP1), для
которых выполнялось укрепление безопасности в соответствии с рекомендациями настоящего
руководства. Были протестированы все роли серверов, описанные в настоящем руководстве.
Дополнительные роли серверов, включенные в тестовую сеть, такие как Exchange, MOM и SMS, также
были протестированы.
Критерии прохождения проверки
До проведения проверок были определены следующие критерии, необходимые для предотвращения
неполадок и устранения ошибок:
•
при выполнении каждой проверки должен быть получен результат, соответствующий описанию,
•
проверка считается пройденной, если фактические результаты соответствуют ожидаемым
имеющемуся в электронных таблицах для каждой отдельной проверки;
результатам, изложенным в описании. Если фактические результаты не совпадают с ожидаемыми
результатами, проверка признавалась не пройденной, создавался отчет об ошибке и присваивался
уровень серьезности ошибки;
•
если проверка признавалась не пройденной, не предполагалось, что рекомендации обязательно
являются ошибочными. Например, неправильная интерпретация документации продукта, неполная
документация или неточная документация может являться причиной неполадок. Каждая ошибка
была проанализирована с целью обнаружения причины, основываясь на фактических результатах и
результатах, описанных в документации проекта. О неудачных результатах сообщалось
соответствующим владельцам продуктов Майкрософт.
Критерии выпуска
Основной критерий выпуска руководства по безопасности Windows Server 2003 был связан с
серьезностью обнаруженных ошибок. Однако рассматривались и другие проблемы, не
отслеживавшиеся через ошибки. Критерии выпуска выглядят следующим образом:
•
отсутствие обнаруженных ошибок с уровнем серьезности 1 или 2;
•
все обнаруженные ошибки рассмотрены руководящей группой проекта, их последствия полностью
•
рекомендации решения не содержат комментариев и пометок редакторов;
•
решение успешно прошло все проверки в изолированной лабораторной среде;
•
текст решения не содержит противоречивых утверждений.
изучены;
Классификация ошибок
Следующая таблица содержит шкалу серьезности ошибок. Это четырехбалльная шкала, где 1
соответствует наиболее серьезным ошибкам, а 4 — наименее серьезным.
Таблица Г.1 Классификация ошибок
Серьезность
Наиболее типичные ошибки
Необходимые условия
1
– Ошибка препятствует сборке или
– Решение не работает.
дальнейшему проведению проверки.
– Пользователю не удается начать
– Ошибка непредсказуемым образом
пользоваться существенной частью
влияет на возможности доступа
ресурсов компьютера или сети.
пользователя.
– Пользователь обладает правами
– Действия, описанные в
доступа, которых у него не должно
документации, недостаточно понятны.
быть.
– Результаты или поведение функции
– Доступ пользователя к определенным
или процесса противоречат ожидаемым
серверам заблокирован, хотя должен
результатам (описанным в
быть разрешен.
функциональных требованиях).
– Ожидаемые результаты не достигнуты.
– Существенное отличие файлов
– Невозможно продолжение проверки
шаблонов безопасности от
без обращения.
функциональных требований.
2
– Действия, описанные в руководстве,
– У пользователя нет возможности
непонятны.
применить простое временное решение
– Описанная в документации функция
для выхода из сложившейся ситуации.
отсутствует (в этом случае проверка
– Пользователю не удается легко найти
блокировалась).
временное решение.
– Документация отсутствует или не
– Несоответствие компьютера или сети
отвечает требованиям.
основным требованиям компании.
– Несоответствие файлов шаблонов
безопасности содержанию настоящего
руководства, при этом файлы шаблонов
безопасности соответствуют
функциональным требованиям.
3
– Проблема с документированным
– У пользователя есть возможность
форматом.
применить простое временное решение
– Незначительные ошибки и неточности для выхода из сложившейся ситуации.
в документации.
– Пользователю удается легко найти
– Орфографические ошибки в тексте.
временное решение.
Серьезность
Наиболее типичные ошибки
Необходимые условия
– Ошибка не вызывает неудобств в
работе пользователя.
– При наличии ошибки основные
требования предприятия выполняются.
4
– Предложения.
– Явно не имеет отношения к данной
– Будущие усовершенствования.
версии.
Заключение
Данное приложение позволяет организации, использующей руководство по безопасности
Windows Server 2003, изучить процедуры и действия, которые применялись для тестирования
внедрения решения в изолированной лабораторной среде. Данное приложение содержит фактический
опыт применения руководства по безопасности Windows Server 2003 группой, проводившей проверки,
и включает описание тестовой среды, типов проверок, критерии выпуска и сведения о классификации
ошибок.
При выполнении всех проверок группой, выполнявшей тестирование, были получены ожидаемые
результаты. Группа, проводившая проверки, подтверждает, что после применения в указанных средах
рекомендаций, содержащихся в руководстве по безопасности Windows Server 2003, была достигнута
необходимая функциональность.
Благодарности
Члены группы MSSC (Microsoft Solutions for Security and Compliance) благодарят специалистов,
составивших руководство по безопасности Windows Server 2003. Перечисленные ниже люди напрямую
участвовали в создании, разработке и тестировании данного решения или внесли существенный вклад
в этот процесс.
Авторы
Майк Дансеглио (Mike Danseglio)
Курт Диллард (Kurt Dillard)
Хосе Малдонадо (José Maldonado)
Брэд Уоррендер (Brad Warrender)
Соавторы
Лайэм Колвин (Liam Colvin), 3Sharp, LLC
Уильям Диксон (William Dixon), V6 Security Inc.
Тони Даулер (Tony Dowler), 3Sharp, LLC
Эрик Фитцджеральд (Eric Fitzgerald)
Девин Гейнджер (Devin Ganger), 3Sharp, LLC
Стирлинг Готц (Stirling Goetz)
Ян Хеллен (Ian Hellen)
Джеспер Йоханссон (Jesper Johansson)
Стив Райан (Steve Ryan), Content Master
Кирк Солак (Kirk Soluk)
Руководители программы
Бомани Сивату (Bomani Siwatu)
Элисон Вулфорд (Alison Woolford), Content Master
Редакторы
Рейд Бэннекер (Reid Bannecker)
Венди Клири (Wendy Cleary), S&T Onsite
Джон Кобб (John Cobb), Volt Information Sciences
Келли Макмахон (Kelly McMahon), Content Master
Линн Перри (Lynne Perry), Content Master
Джон Тоби (Jon Tobey)
Стив Вэкер (Steve Wacker), Wadeware LLC
Менеджеры выпуска
Флика Крэнделл (Flicka Crandell)
Карл Сенг (Karl Seng), Siemens Agency Services
Испытатели
Кенон Блисс (Kenon Bliss), Volt Information Sciences
Гаурав Сингх Бора (Gaurav Singh Bora), Infosys Technologies
Пареш Гуджар (Paresh Gujar), Infosys Technologies
Винс Хамфрис (Vince Humphreys), Volt Information Sciences
Ашиш Джава (Ashish Java), Infosys Technologies
Мехул Медивала (Mehul Mediwala), Infosys Technologies
Роб Пайк (Rob Pike)
Варун Растоги (Varun Rastogi), Infosys Technologies
Рецензенты
Роджер Эбелл (Roger Abell), Университет штата Аризона
Хосе Луис Ауриччио (Jose Luis Auricchio)
Ави Бен-Менахем (Avi Ben-Menahem)
Рич Бинек (Rich Benack)
Шелли Берд (Shelly Bird)
Сьюзен Брэдли (Susan Bradley)
Стив Кларк (Steve Clark)
Роб Купер (Rob Cooper)
Дуэйн Крайдер (Duane Crider)
Карел Декивер (Karel Dekyvere)
Кристин Дуэлл (Christine Duell)
Эрик Фитцджеральд (Eric Fitzgerald)
Майк Грир (Mike Greer)
Роберт Хенсинг (Robert Hensing)
Чед Хилтон (Chad Hilton)
Эндрю Мэйсон (Andrew Mason)
Дон Макгован (Don McGowan)
Джеймс Нойс (James Noyce)
Джо Портер (Joe Porter)
Джоэл Скэмбрей (Joel Scambray)
Дебра Литтлджон Шиндер (Debra Littlejohn Shinder)
Том Шиндер (Tom Shinder)
Стив Смигнер (Steve Smegner)
Бен Смит (Ben Smith)
Аллен Стюарт (Allen Stewart)
Дидье Ванденбрук (Didier Vandenbroeck)
Райан Ватне (Ryan Vatne)
Джефф Уильямс (Jeff Williams)
Джим Уитни (Jim Whitney), Configuresoft
Шейн Врей (Shain Wray)
Другие участники проекта
Игнасио Авелланеда (Ignacio Avellaneda)
Ганеш Балакришнан (Ganesh Balakrishnan)
Тони Бейли (Tony Bailey)
Шелли Берд (Shelly Bird)
Натан Баггиа (Nathan Buggia)
Дерик Кэмпбелл (Derick Campbell)
Чейз Карпентер (Chase Carpenter)
Джефф Коэн (Jeff Cohen)
Джон Дуайер (John Dwyer)
Шин Финнеган (Sean Finnegan)
Карл Грюнвальд (Karl Grunwald)
Джоан Кеннеди (Joanne Kennedy)
Карина Ларсон (Karina Larson), Volt Information Sciences
Крисси Льюис (Chrissy Lewis), Siemens Business Services
Дэвид Мауэрс (David Mowers)
Джевв Ньюфелд (Jeff Newfeld)
Роб Оикава (Rob Oikawa)
Вишну Патанкар (Vishnu Patankar)
Питер Майстер (Peter Meister)
Кит Проктор (Keith Proctor)
Билл Рейд (Bill Reid)
Сандип Синха (Sandeep Sinha)
Стейси Цурусаки (Stacy Tsurusaki), Volt Information Sciences
Дэвид Визинтейнер (David Visintainer), Volt Information Sciences
Грэм Уайтли (Graham Whiteley)
Роб Уикхэм (Rob Wickham)
Лори Волер (Lori Woehler)
Джей Женг (Jay Zhang)
По просьбе корпорации Майкрософт специалисты Центра безопасности в Интернете (Center for Internet
Security, CIS) и Национального института стандартов и технологий (National Institute of Standards and
Technology, NIST) Министерства торговли США приняли участие в окончательной проверке этих
документов Майкрософт и предоставили комментарии, вошедшие в их опубликованные версии.