Краткий обзор

Вид материалаРуководство
Изолирование сервера обязательным шифрованием и членством в группе
Введение в изоляцию серверов и доменов
Шаги по созданию правил безопасности подключения, обеспечивающих изоляцию сервера
Шаг 1. Создание группы безопасности
Создание группы безопасности
Roles (роли), Active
Шаг 2. Включение в правило брандмауэра требования членства в группе и шифрования
Изменение правила брандмауэра для службы Telnet на компьютере MBRSVR1
Group Policy
Users and
Allow Inbound
Шаг 3. Создание клиентского правила брандмауэра для поддержки шифрования
Изменение клиентского правила брандмауэра для службы Telnet
Group Policy
Protocol and Ports
Шаг 4. Тестирование правила, когда клиентский компьютер не входит в группу
Попытка подключения к службе удаленного журнала на компьютере MBRSVR1
Попытка подключения к службе Telnet сервера MBRSVR1
Шаг 5. Добавление клиентского компьютера в группу и повторное тестирование
Добавление компьютера в группу
...
Полное содержание
Подобный материал:
1   2   3   4   5   6   7   8   9   10   11

Изолирование сервера обязательным шифрованием и членством в группе


При изоляции домена компьютеры, входящие в него, могут устанавливать подключения только между собой. Некоторые серверы содержат конфиденциальные данные — личные сведения, медицинские карты, данные о кредитных картах, и защитить их нужно еще надежнее. Изоляция сервера — это дополнительный слой безопасности, предоставляющий доступ к конфиденциальным данным только тем пользователям, кому это действительно необходимо по роду службы. Часто такие данные должны шифроваться при передаче во избежание перехвата.

С помощью брандмауэра в режиме повышенной безопасности в ОС Windows Vista и Windows Server 2008 можно указать, что отдельные сетевые подключения доступны лишь пользователям, входящим в указанные группы. Также можно разрешить доступ только с компьютеров, чьи учетные записи входят в нужные группы. Оба типа ограничений основаны на методах проверки подлинности, рассмотренных в предыдущем разделе. Наконец, можно установить шифрование этих подключений одним из нескольких алгоритмов.

Дополнительную информацию об изоляции сервера см. в статьях:

Шаги по созданию правил безопасности подключения, обеспечивающих изоляцию сервера


В этом разделе мы создадим правила входящего трафика брандмауэра, предписывающие, что получать доступ к серверу MBRSVR1 могут только компьютеры, входящие в указанную группу. Мы также настроим правила, требующие обязательного шифрования всех подключений к этому серверу.

Шаг 1. Создание группы безопасности

Шаг 2. Включение в правило брандмауэра требования членства в группе и шифрования

Шаг 3. Создание клиентского правила брандмауэра для поддержки шифрования

Шаг 4. Тестирование правила, когда клиентский компьютер не входит в группу

Шаг 5. Добавление клиентского компьютера в группу и повторное тестирование

Шаг 1. Создание группы безопасности


На этом шаге мы создадим группу безопасности в службе Active Directory. На нее мы впоследствии будем ссылаться из правила брандмауэра, определяя, каким компьютерам разрешается подключаться к серверу.

Создание группы безопасности

    1. На компьютере DC1 нажмите кнопку Start и выберите пункт Server Manager (диспетчер сервера).

    2. В области переходов последовательно раскройте узлы Roles (роли), Active Directory Domain Services (доменные службы Active Directory), Active Directory Users and Computers (пользователи и компьютеры Active Directory) и contoso.com, щелкните правой кнопкой мыши пункт Computers, укажите вариант New и выберите пункт Group (группа).

    3. В диалоговом окне New Object - Group (создание объекта – группа) введите команду Access to MBRSVR1 и нажмите кнопку OK.

    4. Оставьте диспетчер открытым, с содержимым контейнера Computers в области сведений.

Пока не включайте в группу никакие компьютеры.

Шаг 2. Включение в правило брандмауэра требования членства в группе и шифрования


На этом шаге мы изменим наше правило брандмауэра для службы Telnet, разрешив трафик этой службы только с компьютеров, входящих в группу, которую мы только что создали.

Изменение правила брандмауэра для службы Telnet на компьютере MBRSVR1

    1. На компьютере MBRSVR1 обратитесь к оснастке Group Policy Management.

    2. В области переходов, раскрыв узел Group Policy Objects, щелкните правой кнопкой мыши пункт Firewall Settings for WS2008 Servers и выберите команду Edit.

    3. В редакторе Group Policy Management Editor последовательно разверните узлы Windows Settings, Security Settings, Windows Firewall with Advanced Security и Windows Firewall with Advanced Security - LDAP://{GUID},cn=policies,cn=system,DC=contoso,DC=com, после чего щелкните пункт Inbound Rules.

    4. В области сведений щелкните правой кнопкой мыши пункт Allow Inbound Telnet и выберите пункт Properties.

    5. Смените имя, введя новое Allow Encrypted Inbound Telnet to Group Members Only.

    6. Выберите пункт Allow only secure connections (разрешить только безопасные подключения) и установите флажок Require encryption (шифрование обязательно).

    7. Перейдите на вкладку Users and Computers.

    8. В разделе Authorized computers (авторизованные компьютеры) установите флажок Only allow connections from these computers (разрешить подключение только следующим) и нажмите кнопку Add.

    9. В диалоговом окне Select Computers or Groups (выбор: компьютеры и группы) введите команду Access to MBRSVR1, нажмите кнопку Check Names (проверить имена), чтобы убедиться в распознаваемости имени, и нажмите кнопку OK.

Важно

В этом руководстве рассмотрено использование только группы компьютеров, но тем же способом можно указать в качестве требования и членство пользователя в некоей группе, если используемый метод проверки подлинности включает проверку подлинности пользователя наряду с проверкой подлинности компьютера. Так, можно указать, что подключаться к защищенному серверу могут только пользователи, входящие в группу X, причем только когда они используют компьютер, входящий в группу Y. Авторизованные пользователи, использующие неавторизованный компьютер, не смогут получить доступ к серверу, равно как не получат его неавторизованные пользователи, работающие на авторизованном компьютере.

    10. Закройте страницу Allow Inbound Telnet Properties, нажав кнопку OK.

    11. Закройте редактор Group Policy Management Editor.


Шаг 3. Создание клиентского правила брандмауэра для поддержки шифрования


На этом шаге мы создадим новое правило брандмауэра, применяющееся к клиентскому компьютеру и дающее ему возможность зашифровать соединение, как того требует сервер.

Изменение клиентского правила брандмауэра для службы Telnet

    1. На компьютере MBRSVR1 в оснастке Group Policy Management, развернув узел Group Policy Objects, щелкните правой кнопкой пункт Firewall Settings for Vista Clients и выберите команду Edit.

    2. В редакторе Group Policy Management Editor последовательно разверните узлы Windows Settings, Security Settings, Windows Firewall with Advanced Security и Windows Firewall with Advanced Security - LDAP://{GUID},cn=policies,cn=system,DC=contoso,DC=com, после чего щелкните правой кнопкой мыши пункт Outbound Rules и выберите команду New Rule.

    3. На странице Rule Type выберите пункт Custom и нажмите кнопку Next.

    4. На странице Program укажите вариант All programs и нажмите кнопку Next.

Примечание

Ограничив правило на следующем шаге только номером порта службы Telnet, а не именем программы, мы обеспечим возможность использования любого правильно настроенного клиента службы Telnet. Если указать программу с помощью пути и имени файла, сможет работать только она, а остальные программы клиентов службы Telnet не смогут. Такая конфигурация рекомендуется только для правил исходящих соединений. Для входящих соединений стоит использовать ограничение и по номеру порта, и по имени программы. Тогда порт будет открыт только в том случае, когда программа запущена. Без указания имени программы порт будет открыт все время.

    5. На странице Protocol and Ports для пункта Protocol type укажите тип TCP.

    6. В списке Remote ports выберите пункт Specific Ports, введите команду 23 в поле ввода и нажмите кнопку Next.

    7. На странице в разделе Which remote IP addresses does this rule match (каким удаленным IP-адресам соответствует данное правило) выберите пункт These IP addresses (указанные IP-адреса). Не перепутайте разделы, мы работаем с удаленными адресами.

    8. Нажмите кнопку Add в правой части раздела Remote address.

    9. В диалоговом окне IP Address введите в верхнее текстовое поле адрес 192.168.0.100 (IP-адрес компьютера MBRSVR1), нажмите кнопку OK и затем кнопку Next.

    10. На странице Action выберите вариант Allow the connection if it is secure (разрешить безопасное подключение), установите флажок Require the connections to be encrypted (обязательное шифрование подключений) и нажмите кнопку Next.

    11. На странице Computers нажмите кнопку Next.

    12. На странице Profile снимите флажки Private и Public и нажмите кнопку Next.

    13. Назовите правило именем Allow only encrypted Telnet to MBRSVR1 и нажмите кнопку Finish.

    14. В командной строке от имени администратора выполните команду gpupdate /force. Дождитесь завершения работы команды.


Шаг 4. Тестирование правила, когда клиентский компьютер не входит в группу


Теперь у клиентского компьютера CLIENT1 есть правило брандмауэра и правило безопасности подключения, удовлетворяющие требованиям сервера MBRSVR1, но компьютер CLIENT1 пока еще не был добавлен в группу компьютеров, на которую ссылается правило входящих подключений этого сервера. На этом шаге мы попробуем подключиться к службе удаленного журнала событий и к службе Telnet сервера MBRSVR1.

Попытка подключения к службе удаленного журнала на компьютере MBRSVR1

    1. На компьютере CLIENT1 в командной строке от имени администратора выполните команду gpupdate /force. Дождитесь завершения работы команды.

    2. Нажмите кнопку Start, введите команду event viewer в поле Start Search и нажмите клавишу ввода.

    3. В области переходов просмотра событий щелкните правой кнопкой узел Event Viewer (Local) и выберите команду Connect to another computer.

    4. В диалоговом окне Select Computer введите имя MBRSVR1 и нажмите кнопку OK.

Попытка завершилась успехом, поскольку имеющиеся правила не требуют членства в группе или шифрования для доступа к просмотру событий.

Теперь проверим действие новых правил, подключившись к службе Telnet сервера.

Попытка подключения к службе Telnet сервера MBRSVR1

    • На компьютере CLIENT1 в командной строке от имени администратора выполните команду telnet mbrsvr1.

Попытка завершается неудачей, поскольку компьютер еще не входит в группу Access to MBRSVR1, тогда как только ее участникам разрешено отправлять этому серверу трафик на порту 23.


Шаг 5. Добавление клиентского компьютера в группу и повторное тестирование


На этом шаге мы добавим компьютер CLIENT1 в группу безопасности Access to MBRSVR1 и убедимся в том, что это дает ему доступ к службе Telnet.

Добавление компьютера в группу

    1. На компьютере DC1 в контейнере Computers дважды щелкните группу Access to MBRSVR1 и перейдите на вкладку Members.

    2. Нажмите кнопку Add.

    3. В диалоговом окне Select Users, Contacts, Computers, or Groups (выбор: «Пользователи, Контакты, Компьютеры, или Группы») нажмите кнопку Object Types.

    4. Отметьте вариант Computers и нажмите кнопку OK.

    5. В текстовое поле введите команду client1 и нажмите кнопку OK.

    6. Закройте страницу Properties, нажав кнопку OK.

Проверка доступа к службе Telnet сервера MBRSVR1 с компьютера CLIENT1

    1. Поскольку нужно обновить членство в группах, перезапустите компьютер CLIENT1.

    2. После перезапуска войдите в систему под именем contoso\admin1.

    3. Запустите командную строку от имени администратора и выполните команду telnet mbrsvr1.

Команда срабатывает, поскольку все требования теперь выполняются. Доступ к службе Telnet сервера MBRSVR1 имеют только компьютеры, входящие в домен и имеющие подтвержденное членство в указанной группе.

    4. Откройте оснастку брандмауэра ОС Windows в режиме повышенной безопасности.

    5. Раскройте узлы Monitoring и Security Associations, после чего щелкните пункт Quick Mode.

    6. Дважды щелкните сопоставление безопасности и просмотрите его параметры. Теперь в них присутствует новый протокол, идущий вслед за протоколом ESP. Это — алгоритм шифрования, используемый данным подключением.

    7. Нажмите кнопку OK и закройте брандмауэр ОС Windows в режиме повышенной безопасности.

    8. В окне Telnet введите команду exit и нажмите клавишу ввода, завершив этим сеанс.