Краткий обзор

Вид материала

Руководство

Подобный материал:

• Краткий обзор передач лекций, прочитанных на тк «Культура» в рамках передачи «Академия», 1550.44kb.
• Краткий обзор материалов семинар, 433.73kb.
• План Расширения понятия угла и дуги, их измерение. Тригонометрические функции в Индии., 98.28kb.
• Учебная программа курса Краткий обзор sql server Краткий обзор программирования в sql, 16.78kb.
• Программа Тасис для России Осуществление реформы бухгалтерского учета и отчетности, 261.14kb.
• Е. П. Блаватской за 90 минут «аст, Астрель-спб»: спб; 2008 isbn 978-5-9725-0252-3,, 1130.67kb.
• Информационно-аналитический центр «сова» Краткий обзор по тематике расизма и злоупотреблений, 94.72kb.
• Краткий обзор, 179.93kb.
• Сжигание отходов и здоровье человека. Краткий обзор (вместо введения и предисловия), 1212.58kb.
• Еженедельный аналитический обзор ифи, 175.97kb.

Пошаговое руководство по развертыванию политик брандмауэра ОС Windows в режиме повышенной безопасности

Это пошаговое руководство демонстрирует развертывание объектов групповой политики Active Directory® (объектов GPO) для настройки брандмауэра ОС Windows в режиме повышенной безопасности на ОС Windows Vista® и Windows Server® 2008. Настроить один сервер можно и локально, используя его собственные средства управления групповыми политиками, но такой подход не обеспечивает нужной эффективности и очередности, когда требуется настроить множество компьютеров. В последнем случае стоит создать и настроить объекты GPO, а затем применить их к остальным компьютерам предприятия.

Цель настройки на предприятии брандмауэра ОС Windows в режиме повышенной безопасности — повысить защищенность каждого компьютера, предотвращая его подключение к нежелательному сетевому трафику. Сетевой трафик, не удовлетворяющий набору правил брандмауэра в режиме повышенной безопасности, отсекается. Можно также ввести требование того, чтобы весь разрешенный трафик защищался проверкой подлинности или шифрованием. Благодаря возможности управлять брандмауэром в режиме повышенной безопасности с помощью групповых политик администраторы могут распространять согласованные настройки по всей организации тем способом, который пользователям совсем не просто обойти.

Благодаря этому руководству, можно приобрести практический опыт реализации в лабораторной среде типичных настроек брандмауэра, создавая и редактируя объекты групповой политики с помощью средств управления групповыми политиками. Здесь также будет рассмотрено конфигурирование объектов GPO с целью реализации типовых сценариев изоляции сервера и домена и показан эффект, производимый такими настройками.

Обзор сценария

В этом руководстве будет рассмотрено создание и развертывание настроек брандмауэра ОС Windows в режиме повышенной безопасности путем выполнения пошаговой процедуры, отражающей задачи, с которыми приходится иметь дело в типичных ситуациях.

В частности, при помощи настроек объектов GPO будут контролироваться следующие аспекты поведения брандмауэра:

• включение и выключение брандмауэра, настройка его базовых характеристик;

• определение того, каким программам и сетевым портам разрешено принимать входящий сетевой трафик;

• определение того, какой исходящий трафик блокируется, а какой нет;

• поддержка сетевого трафика, использующего несколько портов или динамические порты, например, порты трафика при удаленном вызове процедур (RPC) или порты протокола FTP;

• требование того, чтобы весь трафик, входящий на определенные серверы, был защищен проверкой подлинности IPsec и, возможно, зашифрован.

Предполагается работа с несколькими компьютерами, которые будут играть типичные роли, встречающиеся в сетевой среде. Это — контроллер домена, рядовой сервер и клиентский компьютер (см. следующую иллюстрацию).




Сценарий работы включает просмотр и изменение настроек брандмауэра, конфигурирование среды изоляции домена, изоляцию сервера, из-за которой для доступа к нему потребуется членство в группе, и необязательное шифрование всего серверного трафика. Наконец, в него входит рассмотрение способа, позволяющего доверенным сетевым устройствам обходить настройки брандмауэра для устранения неполадок.

Каждый из шагов сценария описан в последующих разделах.

Определение настроек по умолчанию на клиентах и серверах

В этом разделе для определения настроек по умолчанию брандмауэра ОС Windows в режиме повышенной безопасности на компьютерах CLIENT1 и MBRSVR1 мы используем настройку брандмауэра в панели управления, средство командной строки netsh и оснастку консоли управления (MMC) брандмауэра в режиме повышенной безопасности. Использование этих средств непосредственно на локальном компьютере позволяет увидеть текущую конфигурацию брандмауэра и действующие на компьютере правила безопасности подключений.

Развертывание основных настроек с помощью групповой политики

В этом разделе мы создадим объект групповой политики (GPO), содержащий основные настройки брандмауэра, а затем назначим этот объект подразделению (OU), в которое входит клиентский компьютер. Чтобы настройки объекта групповой политики были применены только к нужным компьютерам, мы используем инструментарий управления ОС Windows WMI и фильтрацию групп безопасности, ограничив с их помощью область распространения настроек только компьютерами под управлением нужной версии ОС Windows.

Настраиваемый объект GPO будет включать ряд базовых параметров брандмауэра в режиме повышенной безопасности, которые обычно входят в состав настроек объекта GPO типовой организации:

• игнорируются все локальные настройки брандмауэра, созданные любыми пользователями, включая локальных администраторов;

• обеспечивается запуск брандмауэра с указанными параметрами обработки сетевого трафика и невозможность его отключения;

• компьютер не отображает уведомлений, когда брандмауэр в режиме повышенной безопасности запрещает программе прослушивание сетевого порта.

Создание правил, разрешающих определенный входящий трафик

В этом разделе мы создадим правила брандмауэра для входящих соединений, которые:

• используют предопределенные группы правил для поддержки обычных сетевых служб;

• позволяют программе прослушивать любой сетевой трафик, в котором она нуждается;

• позволяют программе прослушивать трафик только на определенном порту TCP или UDP;

• позволяют сетевой службе прослушивать сетевой трафик;

• ограничивают сетевой трафик только указанными адресами и типами сетей;

• вводят в действие разные модели поведения брандмауэра в зависимости от типа сетевого размещения сети, к которой подключен компьютер;

• поддерживают программы, использующие динамическое назначение портов RPC.

Создание правил, блокирующих нежелательный исходящий трафик

В этом разделе мы настроим исходящие правила брандмауэра на запрещение исходящего трафика, посылаемого неизвестными программами.

Развертывание настроек изоляции домена

В этом разделе мы распространим настройки объекта групповой политики на компьютеры, входящие в домен, благодаря чему те станут принимать только запросы на соединения, посылаемые из этого же домена.

Изолирование сервера обязательным шифрованием и членством в группе

В этом разделе мы создадим правила безопасности подключений, требующие, чтобы сервер или группа серверов пропускали только трафик с компьютеров, входящих в авторизованную группу, а также обязывающие шифровать весь входящий и исходящий трафик этих серверов.

Создание правил, позволяющих отдельным компьютерам или пользователям обходить запрещающие правила брандмауэра

В этом разделе мы настроим брандмауэр и правила безопасности подключений таким образом, чтобы определенные пользователи или компьютеры, например, сканеры сетевых портов, используемые группами по выявлению сетевых неполадок и обеспечению безопасности, могли обходить брандмауэр.