І. Б. Трегубенко О. В. Коваль безпека корпоративних мереж. Служба каталогу active directory

Вид материала

Документы

Содержание Події доступу користувачів до файлів і папок Прийоми, що рекомендуються при настроюванні політик аудита. Адміністрування журналу безпеки. 3.7.2. Визначені шаблони безпеки Сумісний шаблон (Compatws.inf) Відновлення стандартних параметрів безпеки для контролерів домена (DC security.inf) Шаблони безпеки для високонадійних машин (Hisecws.inf і Hisecdc.inf)

Подобный материал:

• На правах рукописи, 1970.76kb.
• Телефон: +7-902-991-3258 (сотовый), 18.27kb.
• 003 и желающих получить аналогичные знания и навыки для администрирования серверов, 106.39kb.
• Active Directory Rights Management Services ad rms в составе ос windows Server® 2008., 872.38kb.
• Active Channel Узел Web, автоматически поставляемый на рабочий стол пользователя. , 316.14kb.
• План Основні поняття > Іntranet корпоративна мережа Вимоги до корпоративних мереж, 17.4kb.
• Список литературы на тему воспитание и образование детей в Древней Руси. Коваль Т.,, 14.67kb.
• Действительный залог(the Active Voice) и страдательный залог (the passive voice), 38.59kb.
• Перелік виставкових заходів нк «Експоцентр України», які потребують державної підтримки, 94.99kb.
• Безпека, 3519.8kb.

деякі події аудита об'єктів Active Directory

Подія	Дії користувачів, що ініціюють подію
Full Control (Полный доступ)	Будь-яке звернення до об'єкта аудита
List Contents (Список содержимого)	Перегляд дочірніх об'єктів об'єкта аудита
List Object (Список объектов)	Перегляд об'єкта аудита
Read All Properties (Чтение всех свойств)	Перегляд будь-якого атрибута об'єкта аудита
Write All Properties (Запись всех свойств)	Зміна будь-якого атрибута об'єкта аудита
Create All Child Objects (Создание всех дочерних объектов)	Створення будь-якого нового об'єкта в складі об'єкта аудита
Delete All Child Objects (Удаление всех дочерних объектов)	Видалення будь-якого дочірнього об'єкта з об'єкта аудита
Read Permissions (Чтение разрешений)	Перегляд дозволів, що діють відносно об'єкта аудита
Modify Permissions (Смена разрешений)	Зміна дозволів відносно об'єкта аудита
Modify Owner (Зміна власника)	Прийняття об'єкта аудита у володіння

Якщо для проведення аудита обрана категорія подій Audit Object Access (Аудит доступа к объектам), то з'являється можливість відслідковувати звертання до файлів, папок і принтерів.

Щоб настроїти файли і папки для проведення аудита, необхідно вказати користувачів або групи, відносно яких передбачається настроїти аудит звернень до файлів і папок, а після цього для кожної події доступу користувачів встановити вид результату події, який потрібно фіксувати - успішно проведену подію або відмову. В таблиці 3.12 наведені події доступу користувачів.


Таблиця 3.12


Події доступу користувачів до файлів і папок

Подія	Дії користувачів, що ініціюють подію
Full Control (Полный доступ)	Будь-які звертання до файлу або папки, для якої настроєний аудит
Traverse Folder/Execute File (Обзор папок/Выполнение файлов)	Виконання програми або одержання доступу до папки з метою зміни структури каталогів
List Folder/Read Data (Содержание папки/Чтение данных)	Виведення вмісту файлу або папки
Read Attributes (Чтение атрибутов) и Read Extended Attributes (Чтение дополнительных атрибутов)	Виведення атрибутів файлу або папки
Create Files/Write Data (Создание файлов/Запись данных) и Create Folders/Append Data (Создание папок/дозапись данных)	Зміна вмісту файлу або папки, створення нових папок або файлів у папці
Write Attributes (Запись атрибутов) и Write Extended Attributes (Запись дополнительных атрибутов)	Зміна атрибутів файлу або папки
Delete Subfolders And Files (Удаление подпапок и файлов)	Видалення файлу або папки
Delete (Удаление)	Видалення файлу або підпапки в складі папки
Read Permissions (Чтение разрешений)	Перегляд дозволів власника файлу або папки
Change Permissions (Смена разрешений)	Зміна дозволів на доступ до файлу або папки
Take Ownership (Смена владельца)	Прийняття файлу або папки у володіння

Крім того потрібно визначити область дії аудита. За замовчуванням, встановлено настроювання проведення аудита для цієї папки, її підпапок і файлів, - This Folder, Subfolders And Files (Для этой папки, ее подпапок и файлов) - при якому зміни настроювань аудита поширюються не тільки на батьківську папку, але і на дочірні папки і на всі файли в батьківській і дочірній папках. Крім того існують настроювання проведення аудита тільки для поточної папки, тільки для поточної папки і її підпапок, тільки для поточної папки і файлів і ін., які визначаються наступним списком настроювань:

• Тільки для цієї папки - This Folder Only (Только для этой папки)
  
• Для цієї папки, її підпапок і файлів - This Folder, Subfolders And Files (Для этой папки,ее подпапок и файлов)
  
• Для цієї папки і її підпапок - This Folder And Sub-folders (Для этой папки и ее подпапок)
  
• Для цієї папки і її файлів - This Folder And Files (Для этой папки и ее файлов)
  
• Тільки для підпапок і файлів - Subfolders And Files Only (Только для подпапок и файлов)
  
• Тільки для підпапок - Subfolders Only (Только для подпапок)
  
• Тільки для файлів - Files Only (Только для файловё)
  

Область дії аудита визначається як згаданими настроюваннями так і окремим настроюванням Apply These Auditing Entries To Objects And/Or Containers Within This Container Only, що дозволяє застосовувати цей аудит до об'єктів і контейнерів тільки всередині поточного контейнера. Ця настройка може бути включена або виключена. Результат виключення настроювання, що дозволяє застосовувати цей аудит до об'єктів і контейнерів тільки всередині поточного контейнера наведений у таблиці 3.13.


Таблиця 3.13


Результат виключення настроювання Apply These Auditing Entries To Objects And/Or Containers Within This Container Only

Діє	Аудит поточної папки	Аудит підпапок поточної папки	Аудит файлів у поточній папці	Аудит всіх наступних папок	Аудит файлів в усіх наступних папках
This Folder Only (Только для этой папки)	X
This Folder, Subfolders And Files (Для этой папки, ее подпапок и файлов)	X	X	X	X	X
This Folder And Sub-folders (Для этой папки и ее подпапок)	X	X		X
This Folder And Files (Для этой папки и ее файлов)	X		X		X
Subfolders And Files Only (Только для подпапок и файлов)		X	X	X	X
Subfolders Only (Только для подпапок)		X		X
Files Only (Только для файлов)			X		X

Прийоми, що рекомендуються при настроюванні політик аудита.

• Складіть план аудита. Визначіться з тим, відносно яких об'єктів потрібно проводити аудит. Візьміть до уваги всі наявні ресурси по збору і перегляду журналу аудита.
  
• Організуйте збір і архівацію журналів безпеки в масштабі всієї організації. Архіви можуть виявитися дуже корисними у випадку вторгнення.
  

В категорії System Events (Системные события) аудит варто проводити відносно успішних і невдалих подій. Таким чином, можна простежити незвичайні види активності - наприклад, спроби зловмисників одержати доступ до комп'ютера або до всієї мережі.

• В категорії Policy Change (Изменение политики) на контролерах домена аудит варто проводити тільки відносно успішних подій. Кожна подія, зареєстрована в цій категорії, свідчить про те, що хтось вніс зміни в конфігурацію політики, яка належить до локального адміністратора безпеки (Local Security Authority, LSA).
  
• В категорії Account Management (Учетные записи) аудит варто проводити тільки відносно успішних подій. При такій схемі можна буде перевіряти всі зміни властивостей облікових записів і груп.
  
• В категорії Logon Events (События входа в систему) варто реєструвати тільки успішні події. Цей тип аудита дає можливість відстежити реєстрацію користувачів у системі і їх вихід із системи. Якщо, скажімо, пароль одного з користувачів став відомий третій особі, якій згодом вдалося зареєструватися в системі, то можна точно встановити, коли виникла проблема.
  
• В категорії Account Logon Events (События входа) варто реєструвати тільки успішні події. Аудит цього типу повідомляє час реєстрації користувачів у домені і їхнього виходу з домена.
  
• Варто встановити прийнятний розмір журналу безпеки, враховуючи приблизну кількість подій, що генеруються. При необхідності потрібно змінити розмір.
  

Адміністрування журналу безпеки.

В журналі безпеки містяться важливі відомості про задані в політиці аудита події безпеки. Адміністрування журналу безпеки здійснюється в консолі перегляду подій Event Viewer (Просмотр событий). Успішні події позначаються значком ключа, а невдалі - значком замка. Крім того, для кожної з них вказується дата, час, категорія і користувач, що ініціював генерацію події. Під категорією мається на увазі категорія подій, у вигляді Object Access (Доступ к объектам), Account Management (Учетные записи), Directory Service Access (Доступ к службе каталогов) і Logon Events (Logon Events).

Для пошуку окремих подій в журналі застосовується функція Find (Пошук), у якій необхідно вказати критерії пошуку у відповідному полі:

• типи подій, що підлягають пошуку в області Event Types (Типы событий);
  
• програма або драйвер компонента, що ініціював реєстрацію події, у списку Event Source (Источник события);
  
• категорія подій у списку Category (Категория);
  
• номер події в полі Event ID (Идентификатор события);
  
• реєстраційне ім'я користувача, що ініціював запис події, в полі User (Пользователь);
  
• ім'я комп'ютера в полі Computer (Компьютер);
  
• опис події в полі Description (Описание);
  
• напрямок пошуку по журналу (зверху донизу або знизу догори) в області Search Direction (Направление поиска).
  

Можна обмежити перелік подій, виведених в журналі безпеки, наприклад, залишити в ньому тільки ті події, які відображають спроби запису в текстові файли при відсутності необхідних дозволів. Для цього застосовується функція Filter (Фильтр). При цьому необхідно у відповідному полі вказати критерії фільтрації:

• типи подій, які передбачається відображати в консолі Event Viewer (Просмотр событий), в області Event Types (Типы событий).
  

• програма або драйвер компонента, що ініціював реєстрацію події, у списку Event Source (Источник события).
  

• категорія подій у списку Category (Категория).
  

• номер (ідентифікатор) події в полі Event ID (Идентификатор события).
  

• реєстраційне ім'я користувача в полі User (Пользователь).
  
• ім'я комп'ютера в полі Computer (Компьютер).
  
• початок шуканого діапазону подій у списку From (От). Пункт First Event (Пер­вого) виводить список від першої події в журналі. Пункт Events On (Момента) дозволяє вказати дату і час, починаючи з якого будуть виводитися всі події.
  
• закінчення діапазону подій у списку То (До). Пункт Last Event (Последнего) дозволяє вивести список до останньої події в журналі. Пункт Events On (Момента) виводить події до заданої дати і часу.
  

Як було відзначено раніше, реєстрація подій в журналі безпеки починається відразу після настроювання політики аудита на контролері домена або на локальному комп'ютері. Реєстрація зупиняється в тому випадку, якщо журнал переповнюється і не може переписати сам себе. Така ситуація виникає, по-перше, при настроюванні на ручне очищення, а, по-друге, у тому випадку, якщо перша подія в журналі ще не застаріла. При припиненні запису подій у журнал безпеки помилки можуть реєструватися в журналі додатків. При реєстрації в журналі безпеки тільки ключових подій і адекватному настроюванні його об’єму ризик переповнення зводиться до мінімуму.

При досягненні максимального розміру журналу існує можливість вибору одного з наступних параметрів:

• Затирати старі події по необхідності - Overwrite Events As Needed (Затирать старые события по необходимости). Цей параметр дозволяє записувати в журнал всі нові події. При досягненні максимального розміру кожна наступна подія записується поверх найстарішої.
  
• Затирати події старіше X днів - Overwrite Events Older Than X Days (Затирать события старее X дней). X потрібно замінити кількістю днів від 1 до 365. Протягом цього часу події будуть зберігатися; після його закінчення - затиратися. При досягненні максимального розміру журналу і при відсутності подій старіше зазначеної кількості днів реєстрація нових подій припиняється.
  
• Не затирати події - Do Not Overwrite Events (Clear Log Manually) [Не затирать события (очистка журнала вручную)]. Зафіксовані в журналі події зберігаються. При досягненні максимально припустимого розміру події не затираються. У цій ситуації потрібно регулярно чистити журнал вручну.
  

Якщо журнал заповнюється і реєстрація нових подій припиняється, очищення можна провести вручну. В цьому випадку події видаляються без можливості відновлення. Чим менше період часу, протягом якого зберігається кожна подія, тим менше обсяг журналу і тим швидше поверх старих подій записуються нові.

Зберігати події, що відносяться до системи безпеки, незалежно від їхнього віку, дозволяє функція архівації журналу безпеки. У багатьох організаціях прийнято зберігати архіви журналів безпеки протягом певних періодів часу з метою відстеження динаміки ефективності системи безпеки. Архівація журналу припускає його збереження цілком і повністю, без врахування параметрів фільтрації.

При архівації журналу у власному форматі архів можна буде згодом відкрити в консолі Event Viewer (Просмотр событий). В журналах, збережених у файлах журналів подій (*.evt), зберігаються двійкові дані, що відносяться до зареєстрованих подій. Журнали, збережені в текстових файлах або у файлах з комами-роздільниками (*.txt і *.csv, відповідно), можна відкривати в зовнішніх додатках, зокрема, у текстових процесорах і програмах обробки електронних таблиць, але, в них не зберігаються двійкові дані і їх не можна відкрити в консолі Event Viewer (Просмотр событий).

Архіви журналу безпеки видаляються штатними засобами Провідника (Windows Explorer).

3.7. Шаблони безпеки


3.7.1. Поняття шаблону безпеки


В Windows Server 2003 передбачений метод централізованого настроювання системи безпеки за допомогою шаблонів.

Шаблон безпеки - це файл, у якому зберігається сукупність настроювань безпеки, тобто це «фізичне» втілення конфігурації системи безпеки. Шаблони безпеки активізуються тільки після імпорту в об'єкт GPO або в консоль аналізу і настроювання безпеки Security Configuration And Analysis (Анализ и настройка безопасности). Можливість централізованого зберігання всіх настроювань системи безпеки істотно спрощує завдання адміністрування. За допомогою шаблона безпеки в рамках об'єкта GPO можна задати наступні параметри безпеки:

• політики облікових записів;
  
• локальні політики;
  
• журнал подій;
  
• групи з обмеженим доступом;
  
• реєстр;
  
• файлова система.
  

Шаблони безпеки не передбачають можливості задання в рамках об'єкта GPO параметрів ІР-безпеки, відкритого ключа, обмежувальної програмної політики та безпеки безпровідної мережі.

Шаблони безпеки зберігаються у вигляді текстових файлів з розширенням .inf. Таким чином, атрибути шаблонів можна копіювати/вставляти/імпортувати як разом, так і окремо. Імпортувати (активізувати) файли шаблонів безпеки можна і у локальні, і в нелокальні об'єкти GPO. Параметри, задані в шаблоні безпеки, поширюються, як і об'єкти GPO, у яких вони містяться, на всі комп'ютери/облікові записи користувачів у рамках відповідних вузлів, доменів або підрозділів. При імпорті шаблона безпеки в об'єкт GPO завдання адміністрування домена спрощується, оскільки системи безпеки на декількох комп'ютерах при цьому настроюються одночасно.


3.7.2. Визначені шаблони безпеки


Існує ряд визначених шаблонів безпеки. Кожний з них розрахований на певну роль комп'ютера і набір розповсюджених сценаріїв безпеки. Таким чином, визначені шаблони існують як для звичайних робочих станцій і серверів, так і для контролерів домена з надійною системою захисту. Шаблони можна задіяти у тому вигляді, в якому вони надаються, у зміненому вигляді або як основу для розробки нових шаблонів. Активізувати визначені шаблони безпеки в діючих системах треба тільки після тестування рівня функціональності в рамках даної мережевої/системної архітектури.

Перелік визначених шаблонів безпеки такий:

• параметри безпеки для сумісних робочих станцій/серверів (Compatws.inf);
  
• відновлення стандартних параметрів безпеки для контролерів домена (DC security. inf);
  
• параметри безпеки для високонадійних контролерів домена (Hisecdc.inf);
  
• параметри безпеки для високонадійних робочих станцій і серверів (Hisecws.inf);
  
• кореневі дозволи (Rootsec.inf);
  
• параметри безпеки для надійних контролерів домена (Securedc.inf);
  
• параметри безпеки для надійних робочих станцій і серверів (Securews.inf);
  
• стандартні параметри безпеки (Setup security.inf).
  

За замовчуванням визначені шаблони зберігаються в папці %Systemroot%\Security\Templates.

Сумісний шаблон (Compatws.inf)

Стандартні дозволи, що діють відносно робочих станцій і серверів, як правело, надаються членам трьох локальних груп: Administrators (Администраторы), Power Users (Опытные пользователи) і Users (Пользователи). Найбільше привілеїв у групи Administrators, найменше у групи Users. Члени групи Users мають право запускати додатки, що беруть участь в програмі Windows Logo, що ж стосується несертифікованих додатків, то на них це право поширюється не завжди. Якщо членам цієї групи потрібен доступ до несертифікованих додатків, можливі два рішення:

• дозволити членам групи Users одночасно входити в групу Power Users;
  
• послабити стандартні обмеження, що діють відносно членів групи Users.
  

Оскільки учасники групи Power Users мають право створювати нові облікові записи користувачів, груп, принтерів і загальних ресурсів, адміністраторам вигідніше пом'якшити стандартні обмеження відносно членів Users, ніж ввести їх у групу Power Users. Сумісний шаблон змінює стандартні дозволи на доступ до файлів і реєстру, що надаються членам групи Users, які в результаті одержують можливість запуску несертифікованих додатків. Крім того, сумісний шаблон видаляє із групи Power Users всіх користувачів і всі дочірні групи; при цьому передбачається, що адміністратор, який активізує цей шаблон, не бажає вводити в групу Power Users кінцевих користувачів.

Відновлення стандартних параметрів безпеки для контролерів домена (DC security.inf)

Цей шаблон застосовується при переведенні комп'ютера з рядового сервера в контролери домена. Він відповідним чином оновлює стандартні параметри безпеки для файлів, реєстру і системних служб.

Шаблони безпеки для високонадійних машин (Hisecws.inf і Hisecdc.inf)

Шаблони безпеки для високонадійних машин визначають параметри безпеки мережевих з'єднань за участю систем Windows Server 2003. Вони встановлюють рівні шифрування і характеристики підписів - двох засобів автентифікації і передачі даних по захищених каналах, а також між клієнтами і серверами по протоколу SMB. Шаблони цього типу блокують передачу даних по каналах NTLM і дозволяють її тільки між клієнтами з NTLM версії 2 або Kerberos. До клієнтів, що не підтримують NLTM версії 2, належать комп'ютери, які працюють під керуванням наступних операційних систем: Microsoft Windows for Workgroups, Windows NT (до сервісного пакета 4), Microsoft Windows 95 і Microsoft Windows 98 без клієнтського пакета служб каталогів (Directory Services, DS). Підтримують NTLM версії 2 без яких-небудь додаткових оновлень операційні системи Microsoft Windows Me і Windows XP Professional.