І. Б. Трегубенко О. В. Коваль безпека корпоративних мереж. Служба каталогу active directory

Вид материала

Документы

Содержание Проектування політики блокування облікових записів Таблиця 3.9 Параметри політики блокування облікових записів Журнал подій Групи з обмеженим доступом Системні служби Реєстр і файлова система Політики безпровідної мережі IEEE 802.11 Політики обмеженого використання програм 3.6.4. Аудит і ведення журналу безпеки Таблиця 3.10 Події аудита комп’ютерів Рекомендації з формування політик аудита Реалізація політики аудита Настроювання об'єктів для проведення аудита.

Подобный материал:

• На правах рукописи, 1970.76kb.
• Телефон: +7-902-991-3258 (сотовый), 18.27kb.
• 003 и желающих получить аналогичные знания и навыки для администрирования серверов, 106.39kb.
• Active Directory Rights Management Services ad rms в составе ос windows Server® 2008., 872.38kb.
• Active Channel Узел Web, автоматически поставляемый на рабочий стол пользователя. , 316.14kb.
• План Основні поняття > Іntranet корпоративна мережа Вимоги до корпоративних мереж, 17.4kb.
• Список литературы на тему воспитание и образование детей в Древней Руси. Коваль Т.,, 14.67kb.
• Действительный залог(the Active Voice) и страдательный залог (the passive voice), 38.59kb.
• Перелік виставкових заходів нк «Експоцентр України», які потребують державної підтримки, 94.99kb.
• Безпека, 3519.8kb.

Проектування політики блокування облікових записів

Проектування політики блокування облікових записів зводиться до задання параметрів об'єкта групової політики, які містяться в контейнері Windows Configuration/Security Settings/Account Policy/Account Locout Policy (Конфигурация Windows/Параметры безопасности/Политика учетных записей/Политика блокировки учетных записей паролей) і представлені в таблиці 3.9.


Таблиця 3.9

Параметри політики блокування облікових записів

Параметр	Значення за замовчуванням	Опис
Account Lockout Duration (Блокировка учетной записи на)	He заданий	Тривалість блокування облікового запису в хвилинах. Якщо значення дорівнює нулю, запис залишиться заблокований до тих пір, поки адміністратор або користувач із відповідними привілеями не розблокує його

Продовження табл. 3.9

Account Lockout Threshold (Пороговое значение блокировки)	0 помилок входу в систему	Число невдалих спроб введення пароля до блокування облікового запису. Якщо це значення дорівнює 0, обліковий запис не блокується в результаті неправильного введення пароля
Reset Account Lockout Count After (Сброс счетчика бло­кировки через)	Не заданий	Час у хвилинах, через який лічильник невдалих спроб введення пароля приймає значекння 0

Нижче наведені деякі рекомендації при проектуванні політики блокування облікових записів

• Встановіть тривалість блокування рівну декільком хвилинам. Це зробить неможливими звичайні атаки, але дозволить виявляти їхні спроби при здійсненні аудиту. Крім того, така політика не створить додаткового навантаження для адміністратора і не ускладнить роботу користувачів, схильних блокувати свої облікові записи через неуважність.
  
• Продумайте можливість автоматичного розблокування облікових записів.
  
• Встановіть досить високий поріг блокування, оптимальне значення - 25 спроб. Це набагато більше, ніж потрібно нормальному користувачеві для введення пароля, але цілком достатньо, щоб зупинити зловмисника.
  

3.6.3. Огляд існуючих областей безпеки,

що підлягають настроюванню за допомогою групових політик


Локальні політики

Політики цієї області безпеки належать до настроювань безпеки, які використовуються додатком або користувачем у вузлі, домені або підрозділі, до яких прив'язаний об'єкт GPO. Локальні політики визначаються виходячи з того, на якому комп'ютері здійснилася реєстрація, і базуються на правах, які користувач має на цьому комп'ютері. Ця область містить атрибути наступних політик.

• Audit Policy (Политика аудита). Визначає, які події протоколюються в журналі безпеки комп'ютера (успішні спроби, невдалі спроби або обидва варіанти). Журнал безпеки є частиною консолі Event Viewer (Перегляд подій).
  
• User Rights Assigment (Назначение прав пользователя). Визначає, які користувачі і групи мають право реєструватися в системі і виконувати завдання на комп'ютері у вузлі, домені або підрозділі. Право користувача - це дозвіл виконувати операцію над комп'ютером в цілому, а не над окремими об'єктами. Щоб полегшити завдання адміністрування облікових записів користувача, потрібно перш за все призначати права користувача обліковим записам груп, а не індивідуальним користувачам.
  
• Security Options (Параметри безопасности). Включають або відключають параметри безпеки комп'ютера, такі як цифровий підпис даних, облікові записи Administrator (Администратор) і Goust (Гость), доступ до приводів гнучких дисків і CD-ROM, встановлення драйверів і запрошення для входу в систему.
  

Локальні політики належать тільки до комп'ютера. Коли ці параметри імпортуються в об'єкт GPO Active Directory, вони змінюють локальні настроювання безпеки всіх облікових записів комп'ютерів, які використовують цей об'єкт GPO.

Журнал подій

Параметри безпеки журналу подій визначають атрибути, пов'язані з журналами додатків, безпеки та системним журналом консолі Event Viewer (Просмотр событий), для комп'ютерів вузла, домена або підрозділу. Атрибутами є: максимальний розмір журналу, права доступу для кожного журналу та параметри і методи запису повідомлень.

Групи з обмеженим доступом

Політики цієї області безпеки являють важливу функцію безпеки, що діє як механізм керування членами групи. Наприклад, можна створити політику, щоб контролювати членство в групі Administrators (Администраторы). Так, якщо в групах з обмеженим доступом вказати двох користувачів, Tom і Alex, в якості членів групи Administrators (Администраторы), то коли політика буде введена в дію, тільки Tom і Alex залишаться членами групи Administrators (Администраторы).

Групи і користувачі, не вказані в групах з обмеженим доступом, видаляються з відповідної групи. До того ж, параметр зворотної конфігурації членства гарантує, що всі дочірні групи з обмеженим доступом входять тільки в ті батьківські групи, які вказані в стовпці Member Of (Член групп). Таким чином, групи з обмеженим доступом в першу чергу повинні використовуватися для настроювання членства в локальних групах на робочих станціях і рядових серверах.

Системні служби

Ця область безпеки використовується для настроювання параметрів безпеки і запуску служб, що працюють на комп'ютері. Параметри безпеки служби визначають, облікові записи яких користувачів або груп мають права на читання/запис/видалення/виконання, а також на властивості наслідування, аудита і права власності. Властивості запуску такі:

• Авто - запускати службу автоматично одночасно із включенням системи;
  
• Вручну - запускати службу тільки у випадку ручного запуску;
  
• Відключено - служба відключена, тому вона не може бути запущена.
  

Якщо обрано автоматичний запуск системної служби, необхідно провести відповідну перевірку і переконатися, що служба може запускатися без втручання користувача.

Реєстр і файлова система

Область безпеки реєстру використовується для настроювання безпеки розділів реєстру. Область безпеки файлової системи використовується для настроювання безпеки об'єктів файлової системи, включаючи керування доступом, аудит і право власності.

Політики безпровідної мережі IEEE 802.11

Безпровідна технологія надає можливість використовувати різні пристрої для доступу до даних з будь-якої точки земної кулі. Сімейство Windows Server 2003 надає підтримку для безпровідних мереж 802.11. В сімействі Windows Server 2003 тільки Windows Server 2003 SE підтримує інфрачервоні мережі.

Можна визначати тільки одну політику безпровідної мережі для домена або підрозділу. Якщо політика безпровідної мережі вже існує, неможливо створити нову політику.

Для створення політики безпровідної мережі існує Майстер політики безпровідної мережі Wireless Network Policy Wizard (Мастер политики беспроводной сети). За допомогою цього майстра можна вказати ім'я і опис політики та настроїти її додаткові параметри, деякі з яких наведені нижче.

• Як часто перевіряти зміни політики.
  
• Типи безпровідних мереж, які доступні для спроб підключення з боку клієнтів.
  
• Чи повинен Windows настроювати параметри безпровідної мережі клієнтам.
  
• Мережі, до яких клієнти можуть пробувати підключитися.
  
• Настроювання ключа безпровідного зв'язку (WEP).
  
• Настроювання IEEE 802.1х.
  

Політики відкритого ключа

Область безпеки політик відкритого ключа застосовується для розміщення інфраструктури відкритого ключа (public key infrastructure, PKI) в організації. Інфраструктура PKI - це система законів, політик, стандартів і програмного забезпечення, що перевіряє та встановлює справжність кожної частини, включеної в електронну транзакцію.

Область безпеки політик відкритого ключа включає в себе наступні параметри безпеки.

• Encripting File Sistem (Шифрованная файловая система). Цей параметр застосовується для добавлення агентів відновлення зашифрованих даних і зміни параметрів політики відновлення зашифрованих даних. Параметр доступний тільки через вузол конфігурації комп'ютера.
  
• Automatic Certificate Request Settings (Настройки автоматического запроса сертификата). Сертифікат - це цифровий документ, що застосовується для перевірки справжньості і захисту інформації у відкритих мережах. Цей параметр дозволяє комп'ютерам автоматично подавати запит на одержання сертифіката центру сертифікації підприємства і встановлювати виданий сертифікат. Це зручно для перевірки того, що комп'ютери мають необхідні сертифікати, щоб виконувати шифрувальні операції з відкритим ключем. Параметр доступний тільки через вузол конфігурації комп'ютера.
  
• Trusted Root Certification Authorities (Доверенные корневые центры сертификации). Центр сертифікації (certification authority, CA) - це елемент, відповідальний за створення і підтвердження справжньості відкритого ключа, що належить суб'єктам (звичайно користувачам або комп'ютерам) або іншим центрам сертифікації. Параметр використовується для створення загальних довірених кореневих центрів сертифікації. Цей параметр можна використовувати для того, щоб встановити довірчу відносину в кореневому центрі сертифікації, яка не є частиною організації. Параметр доступний тільки через вузол конфігурації комп'ютера.
  
• Enterprise Trust (Доверительные отношения в предприятии). Цей параметр застосовується для створення і поширення списків довіри сертифікатів (certificate trust list, CTL). Список довіри сертифікатів - це підписаний список сертифікатів кореневих СА, які адміністратор вважає такими, що заслуговують довіру для цільових призначень, таких як автентифікація клієнта або захист електронної пошти. Ця опція доступна як через вузол конфігурації комп'ютера, так і через вузол конфігурації користувача.
  
• Autoenrollment Settings (Параметры автоматической подачи заявок). У діалоговому вікні Autoenrollment Settings Properties (Свойства: Параметры автоматической подачи заявок) можна дозволити або заборонити автоматичну подачу заявок на одержання сертифікатів комп'ютера і користувача з використанням групової політики. За допомогою цього діалогового вікна можна також використовувати автоматичну подачу заявок для керування і запиту сертифікатів, ґрунтуючись на шаблонах. Це діалогове вікно доступно як через вузол конфігурації комп'ютера, так і через вузол конфігурації користувача.
  

Використання в груповій політиці цих параметрів політики відкритого ключа не є необхідним для розгортання в організації інфраструктури PKI. Однак ці параметри підвищують гнучкість і керованість при встановленні довірчих відносин в центрах сертифікації видачі сертифікатів комп'ютерам і розміщенні в домені файлової системи EFS (Encrypted File System).

Політики обмеженого використання програм

Ця область безпеки застосовується для ідентифікації програмного забезпечення, що працює в домені і для керування його здатністю до виконання. Ця функція може визначати програмне забезпечення, що є небажаним і запобігати його виконанню на комп'ютерах, що працюють під керуванням Windows XP Professional і Windows Server 2003.

Політики безпеки IP

Дана область використовується для настроювання безпеки мережевого протоколу IP (Infernet Protocol, IP).


3.6.4. Аудит і ведення журналу безпеки


Поняття політики аудиту

Аудитом називається процес відстеження дій користувача і операцій системи.

Політики аудита дозволяють відслідковувати дії користувачів і системні події, що фіксуються в консолі перегляду подій Event Viewer (Просмотр событий).

В журнал безпеки записуються наступні дані:

• тип події (наприклад, помилка, попередження, інформаційне повідомлення, успішний або невдалий аудит);
  
• дата генерації події;
  
• час занесення події в журнал;
  
• програма, що зареєструвала подію;
  
• ідентифікаційний номер події;
  
• користувач, що виконав дію, яка викликала подію;
  
• ім'я комп'ютера, на якому зафіксована подія;
  
• опис події.
  

Аудит можна проводити відносно успішних і невдалих операцій. Таким чином, цей процес, по-перше, визначає перелік користувачів, що виконували в мережі ті або інші дії, а по-друге, дозволяє виявити тих осіб, які намагалися виконати заборонені операції.

Щоб визначити події, відносно яких передбачається проводити аудит, потрібно настроїти політику аудита в рамках об'єкта GPO. Політика аудита визначає категорії подій, що записуються у журнал безпеки на кожному комп'ютері.

Параметри політики аудита встановлюються в об'єкті GPO у папці Computer Configuration\Windows Settings\Security Settings\Local Policies\Audit Policy (Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Политика аудита).

Політика аудита комп'ютерів дозволяє відслідковувати успішні і невдалі випадки завершення подій, які надані в таблиці 3.10.


Таблиця 3.10

Події аудита комп’ютерів

Категорії подій	Опис
Audit account logon events (Регистрация с данными учетной записи)	Ця політика виконує аудит всіх входжень користувача у систему, для якого потрібна перевірка справжньості на контролері домена.
Audit account managment (Управление учетными записями)	Включає аудит таких дій, як створення, видалення і модифікація облікових записів користувачів, груп або комп'ютерів. Коли включена ця політика, події зміни пароля також реєструються.
Audit directory service accsess (Обращение к службе каталогов)	Користувач звернувся до об'єкта Active Directory. Для проведення аудита цього типу необхідно настроїти деякі об'єкти Active Directory
Audit lоgon events (События регистрации)	Користувач зареєструвався в системі або вийшов з неї; користувач встановив або завершив мережеве з'єднання з даним комп'ютером

Продовження табл. 3.10

Audit object access (Обращение к объекту)	Користувач звернувся до файлу, папки або принтеру. Для проведення аудита цього типу необхідно настроїти потрібні файли, папки або принтери
Audit policy change (Изменение политики)	У настроювання безпеки користувача, права користувача або політики аудита внесені зміни
Audit privilege use (Применение привилегий)	Користувач скористався одним з наданих йому прав — наприклад, змінив системний час (за винятком прав, що відносяться до реєстрації в системі і виходу з неї)
Audit process tracking (Отслеживание процессов)	Програма виконала якусь операцію. Відомості про операції корисні, в основному, тільки програмістам при детальному відстеженні виконання програм.
Audit system events (Системные события)	Користувач запустив або виключив комп'ютер; відбулася подія, що впливає на безпеку системи або ведення журналу безпеки (наприклад, журнал аудита переповнений або система виключає з нього записи)

Рекомендації з формування політик аудита

В процесі планування політики аудита необхідно визначитися з тим, на яких комп'ютерах його проводити і які події необхідно відслідковувати. За замовчуванням функція аудита відключена. В середовищі Windows Server 2003 реєстрація результатів аудита подій ведеться на кожному комп'ютері окремо.

Аудит можна проводити при успішному завершенні подій, невдалому завершенні, і в обох цих випадках. При відстеженні успішних подій стає зрозуміло, наскільки часто система і користувачі звертаються до файлів, принтерів і інших об'єктів. Ці відомості корисні в контексті планування ресурсів. Відстеження невдалих подій дає можливість прослідкувати слабкі місця в системі захисту. Приміром, якщо в журналі з'являються записи про невдалі спроби доступу, здійснені у неробочі години, то, швидше за все, у систему намагається проникнути зловмисник.

Ряд рекомендацій з політики аудита наведено нижче.

• Аудит уразливих і конфіденційних даних потрібно проводити в обов'язковому порядку. Події, відносно яких проводиться аудит, повинні надавати осмислені відомості про мережеве середовище. В такому випадку використання ресурсів сервера зводиться до мінімуму, а знайти необхідну інформацію стає легше. Чим більше типів подій, відносно яких настроєний аудит, тим вище навантаження на операційну систему і тим складніше адміністраторам знайти потрібну інформацію.
  
• Якщо в системі безпеки компанії зафіксовані слабкі місця, потрібно настроїти аудит файлів і папок у системних розділах NTFS за допомогою параметра Audit Object Access (Аудит доступа к объектам).
  
• Як правило, аудит принтерів проводити не варто, оскільки, при цьому журнал подій швидко переповнеться лишніми записами. Найкраще проводити аудит тільки відносно дорогих в експлуатації принтерів, а також тих, на яких друкуються документи з конфіденційними даними.
  
• Аудит звернення до ресурсів краще проводити відносно групи Everyone (Все), a не Users (Пользователи). В цьому випадку в поле зору попадають всі особи, що мають можливість підключення до мережі, а не тільки користувачі, для яких створені облікові записи в домені. Таким же чином варто проводити аудит помилок при зверненні до ресурсів.
  
• Бажано проводити аудит всіх адміністративних завдань, що виконуються членами адміністративних груп. В такому випадку всі нововведення і зміни, ініціаторами яких виступають адміністратори, будуть реєструватися в журналі.
  
• Необхідно визначити, чи можна відстежити тенденції використання ресурсів системи. У випадку позитивного результату заплануйте архівацію журналів подій. Таким чином, стає можливим аналізувати часову динаміку споживання ресурсів і завчасно планувати їхнє розширення.
  

Реалізація політики аудита

Нижче перераховані вимоги по налаштуванню і адмініструванню політики аудита.

• Відносно комп'ютера, на якому передбачається настроїти політику аудита або переглянути журнал аудита, потрібно щоб було встановлено право користувача Manage Auditing And Security Log (Управление аудитом и журналом безопасности). За замовчуванням в середовищі Windows Server 2003 це право надається всім членам групи Administrators.
  
• Аудит файлів і папок проводити на томах NTFS.
  

При реалізації політики аудита потрібно виконати наступні завдання:

1. Визначитися з категоріями подій, відносно яких передбачається проводити аудит і який результат фіксувати - успішне завершення, невдале завершення або те і інше.
   
2. У випадку вибору категорій об'єктів Audit Directory Service Access (Аудит доступа к службе каталогов) або Audit Object Access (Аудит доступа к объектам) - настроїти об'єкти для проведення аудита.
   

Визначення категорій подій для проведення аудита.

Процедура вибору категорій подій для проведення аудита виглядає так:

1. Вибір об'єкта для проведення аудита.

• Щоб вказати категорії подій для локального комп'ютера, необхідно вибрати Start\Administrative Tools\Local Security Policy (Пуск\Администрирование\Локальная политика безопасности). У папці Security Settings (Параметры безопасности), потрібно вибрати Local Policies\Audit Policy (Локальные политики\Политика аудита).
  
• Щоб вказати категорії подій для всіх контролерів домена необхідно у вікні властивостей підрозділу Domain Controllers перейти на вкладку Group Policy (Групповая политика), визначити нову або вибрати одну з існуючий політик, в рамках якої передбачається настроїти політику аудита і, опинившись у дереві консолі редактора об'єктів групових політик, вибрати Computer Configuration\Windows Settings\Security Settings\Local Policies\Audit Policy (Конфигурация компьютера\ Параметры Windows\ Параметры безопасности\ Локальные политики\ Политика аудита).
  
• Щоб вказати категорії подій для вузла, домена або підрозділу необхідно у вікні властивостей вузла, домена або підрозділу перейти на вкладку Group Policy (Групповая политика), визначити нову або вибрати одну з існуючих політик, у рамках якої передбачається настроїти політику аудита і, опинившись у дереві консолі редактора об'єктів групових політик, вибрати Computer Configuration\Windows Settings\Security Settings\Local Policies\Audit Policy (Конфигурация компьютера\ Параметры Windows\ Параметры безопасности\ Локальные политики\ Политика аудита).
  

2. Вибір категорії події.

Для вибору категорії подій необхідно клацнути правою кнопкою миші на запису потрібної категорії подій, і вибрати в контекстному меню пункт Properties (Свойства), після чого встановити наступні параметри в будь-якому сполученні:

• Success (Успех) - аудит успішних подій в рамках обраної категорії;
  
• Failure (Неудача) - аудит невдалих подій в рамках обраної категорії.
  

Настроювання об'єктів для проведення аудита.

Якщо для проведення аудита обрана категорія подій Audit Directory Service Access (Аудит доступа к службе каталогов) або Audit Object Access (Аудит доступа к объектам), необхідно настроїти об'єкти, відносно яких буде проводитися аудит.

В рамках категорії подій Audit Directory Service Access (Аудит доступа к службе каталогов) проводиться аудит звернень користувачів до об'єктів Active Directory. При цьому вибравши об'єкт, відносно якого передбачається настроїти аудит, необхідно вибрати користувачів або групи, звернення яких до даного об'єкта потрібно відслідковувати, а також встановити для кожної можливої події стосовно об'єкта Active Directory вид результату дії, який потрібно фіксувати - успішну дію або відмову. В таблиці 3.11 представлені деякі події аудита об'єктів Active Directory.


Таблиця 3.11