Введение. 5 Структура Операций Microsoft (mof) 6 Добейтесь безопасности и оставайтесь в безопасности 7
| Вид материала | Документы |
СодержаниеNo Override Windows 2000 Server Resource Kit |
- Учебная программа курса Введение в обязанности и условия работы специалиста по технической, 16.36kb.
- Введение, 234.92kb.
- План. Введение Структура экономической безопасности страны. Характеристика аспектов, 183.23kb.
- I. введение, 424.45kb.
- Календарно – тематическое планирование, 135.98kb.
- Малюк А. А., Пазизин С. В., Погожин Н. С. Введение в защиту информации в автоматизированных, 3940.4kb.
- Работа школы по обеспечению личной безопасности обучающихся, 26.09kb.
- Конституции Российской Федерации и федеральных закон, 327.39kb.
- Личная безопасность персонала скорой медицинской помощи, 108.54kb.
- Рабочая программа по технологии 9 класс Календарно тематическое планирование, 132.44kb.
Поддерживание настроек групповой политики в безопасности.
Если вы применяете настройки безопасности, используя групповую политику, важно обеспечить максимально возможную безопасность самих настроек. В основном, для этого необходимо убедиться, что права доступа на GPO и OU, а также в домены, на которых они введены, установлены правильно. Шаблоны, содержащиеся в данном руководстве, не модифицируют права допуска Active Directory по умолчанию, поэтому вам необходимо модифицировать эти права вручную.
Возможны случаи, когда настройки Group Policy, определенные на носителях более высокого уровня, перекрываются настройками на носителях более низкого уровня. Использование опции No Override в GPO предотвращает такие ситуации.
Примечание: Не задавайте опцию No Override в базовой политике рядового сервера. Это не позволит политикам функций сервера запускать нужные сервисы и настройки.
Кроме разделения функций сервера на уровне OU, вам также необходимо создать отдельные соответствующие администраторские функции, наделив их правами администрирования только в соответствующих OU. Это гарантирует вам, что если взломщику удастся получить права администратора IIS сервера, он, тем не менее, не сможет получить доступ к серверам инфраструктуры и другим серверам.
Только администраторы доменного уровня и выше могут иметь право менять структуру членства в OU. Если администратор уровня OU сможет удалить сервер с этого OU, он сможет также изменить настройки безопасности на этих серверах.
Когда политика установлена на серверах, ваша работа не заканчивается. вам нужно проверить свои сервера стандартным способом, чтобы удостовериться в том, что:
- На сервере установлена правильная политика
- Администратор не менял настроек в политике и не снижал уровень безопасности на ваших серверах
- Любые обновления или изменения политики применялись ко всем серверам.
Проверка, были ли настройки GPO применены на ваших серверах должным образом, даст вам уверенность в том, что ваши серверы находятся в безопасности. Есть несколько методов, которые можно использовать для проверки правильности установки групповой политики на сервере.
События в журнале регистрации событий (Log File)
Если политика сгрузилась успешно, появляется запись события со следующей информацией:
Type: Information
SourceID: SceCli
Event ID: 1704
Message String: Security policy in the Group Policy objects are applied successfully
После запуска политики может потребоваться несколько минут на то, чтобы появилось это сообщение. Если вы не получаете сообщение об успешной операции, вам следует задать secedit/refreshpolicy machine_policy /enforce и затем перезапустить сервер, чтобы политика начала загружаться. После перезагрузки снова проверьте журнал регистрации событий (Log File), чтобы узнать, успешно ли загрузилась политика.
Примечание: Если в GPO сервисы запрещены (Disabled) и сервер перезапускается один раз, сервисы перезапускаются типично, до того как вступят в силу настройки, определенные в GPO. Если вы перезапустите сервер во второй раз, есть гарантия, что запрещенные сервисы не запустятся.
Проверка политики с использованием локальной политики безопасности ММС
Другой способ проверить правильность применения политики – это рассмотреть действующие настройки политики на локальном сервере.
Чтобы проверить действующие настройки политики:
Запустите Local Security Policy MMC.
- Под Security Settings нажмите Local Policies, а затем – Security Options.
- Просмотрите колонку Effective Setting на правой панели.
Колонка Effective Setting (действующие настройки) должна показывать, какие настройки сконфигурированы в шаблоне для функции выбранного сервера.
Проверка политики с использованием утилит командной строки
Есть также две утилиты командной строки, которые можно использовать для проверки настроек политики.
Secedit
Эта утилита включена в Windows 2000 и может использоваться для выявления различий между файлом шаблона и политикой компьютера. Чтобы сравнить шаблон с текущей политикой на компьютере, пользуйтесь следующей командной строкой:
secedit /analyze /db secedit.sdb /cfg
Примечание: Если вы примените настройки, содержащиеся в данном руководстве, а затем запустите вышеуказанную команду, вам будет выдана ошибка access is denied. Это происходит благодаря мерам дополнительной безопасности. Системный журнал с результатами анализа все равно будет создан.
Gpresult
The Windows 2000 Server Resource Kit (Microsoft Press; ISBN: 1-57231-805-8) содержит утилиту, называемую Gpresult – с ее помощью можно отображать политики, в настоящий момент применяемые на сервере. Чтобы получить список политик, применяемых на сервере, пользуйтесь следующей командной строкой:
Gpresult /c
Примечание: Gpresult более детально описывается в разделе “Troubleshooting Group Policy” ближе к концу этой главы.
Аудит групповой политики
Аудит изменений политики можно использовать, чтобы отследить, кто вносит или пытается внести изменения в настройки политики. Отслеживание успешных и безуспешных изменений в политике разрешено в базовых шаблонах безопасности.