Введение. 5 Структура Операций Microsoft (mof) 6 Добейтесь безопасности и оставайтесь в безопасности 7
| Вид материала | Документы |
- Учебная программа курса Введение в обязанности и условия работы специалиста по технической, 16.36kb.
- Введение, 234.92kb.
- План. Введение Структура экономической безопасности страны. Характеристика аспектов, 183.23kb.
- I. введение, 424.45kb.
- Календарно – тематическое планирование, 135.98kb.
- Малюк А. А., Пазизин С. В., Погожин Н. С. Введение в защиту информации в автоматизированных, 3940.4kb.
- Работа школы по обеспечению личной безопасности обучающихся, 26.09kb.
- Конституции Российской Федерации и федеральных закон, 327.39kb.
- Личная безопасность персонала скорой медицинской помощи, 108.54kb.
- Рабочая программа по технологии 9 класс Календарно тематическое планирование, 132.44kb.
Резюме.
Групповые политики для Windows 2000 – это очень полезный способ обеспечить вашу среду на базе Windows 2000 совместимыми настройками. Чтобы эффективно ее внедрить, вам нужно убедиться, что вы знаете, где применяются GPO, что все серверы получают подходящие настройки, и что вы определили подходящий режим безопасности на самих GPO.
Дополнительная информация
Для получения дополнительной информации от Symantec о корпоративных политиках безопасности смотрите:
esponse.symantec.com/avcenter/security/Content/security.articles/corp.security.policy.phpl
«Белая Книга» Microsoft о групповой политике:
soft.com/windows2000/techinfo/howitworks/management/grouppolwp.asp
«Белая Книга» Microsoft о неисправностях в групповой политике:
soft.com/Windows2000/techinfo/howitworks/management/gptshoot.asp
Разделы базы знаний Microsoft, касающиеся отладке групповой политики
icrosoft.com/default.aspx?scid=kb;EN-US;Q250842
icrosoft.com/default.aspx?scid=kb;EN-US;Q216359
Administrative Template File Format:
osoft.com/library/default.asp?url=/library/en-us/policy/policyref_17hw.asp
Язык определений Security Descriptor:
osoft.com/library/default.asp?url=/library/en-us/security/accctrl_757p.asp
Дополнительные утилиты и информация о групповой политике доступна на:
The Windows 2000 Server Resource Kit (Microsoft Press; ISBN: 1-57231-805-8)
Или в сети Интернет:
ссылка скрыта
Глава 4. Защита серверов в зависимости от выполняемой ими роли
В предыдущей главе мы узнали, как можно использовать групповую политику для определения настроек безопасности на ваших серверах. В этой главе мы перейдем к особенностям, рассмотрим базовые политики, которые можно определить для всех рядовых серверов и контроллеров доменов на предприятии, и затем дальнейшие модификации, которые вы применили бы для специфических функций (ролей) серверов.
Этот подход позволяет администраторам закрыть доступ к своим серверам, используя централизованные базовые политики, применяемые последовательно ко всем серверам на предприятии. Базовые политики дают только минимальную функциональность, но все же позволяют серверам устанавливать связь с другими компьютерами в домене и получить аутентификацию наряду с контроллерами доменов. В этом, более безопасном, состоянии можно применять дополнительные инкрементные политики, позволяя каждому серверу выполнять только те особые задачи, которые определяются его функцией (ролью). Ваша стратегия управления рисками определит, будут ли внесенные изменения полезны для вашей среды.
В данном руководстве внедрение политики подразделяется следующим образом:
- Политика в рамках домена. Относится к общим требованиям безопасности, таким, как политика учетных записей, которую нужно обязательно установить на всех серверах и рабочих станциях.
- Политика контроллера домена. Политики, которые применяются к OU “Контроллеры домена”. В особенности структурные настройки влияют на политику аудита, опции безопасности и конфигурацию сервера.
- Базовая политика рядовых серверов. Стандартный набор установок для всех рядовых серверов включает в себя политики аудита, конфигурацию системных служб, политики, ограничивающие доступ к реестру, файловой системе, равно как определенный перечень других установок безопасности, таких, как, например, очищение файла виртуальной памяти по завершению сеанса работы компьютера.
- Политика серверной роли. Определяются четыре различные серверные роли: серверы приложений, серверы файлов и печати (file and print), серверы инфраструктуры и серверы IIS. Для каждой из ролей даются специальные требования безопасности и конфигурация.
Данная глава рассматривает эти политики и другие настройки, которые следует определить для отдельных серверных ролей. Для получения дополнительной информации о том, как групповая политика используется для применения настроек безопасности, см. Глава 3, «Управление безопасностью с помощью групповой политики для Windows 2000».
Политика домена
В данном руководстве мы не вводим специальных настроек на доменном уровне, поскольку многие из этих настроек, такие, как длина пароля, изменятся, если изменить общую политику безопасности в вашей организации. Однако очень важно, чтобы вы определили эти настройки правильно.
Политика паролей
По умолчанию стандартная политика паролей вводится для всех серверов в домене. В данной таблице приводится список настроек для стандартной политики паролей и рекомендуемые минимумы для вашей среды.
Таблица 4.1 Политика паролей по умолчанию и рекомендуемые настройки
Политика | Настройки по умолчанию | Рекомендуемые минимальные настройки |
| Сохраняется история пароля | Запоминается 1 пароль | Запоминается 24 пароля |
| Максимальный срок действия пароля | 42 дня | 42 дня |
| Минимальный срок действия пароля | 0 дней | 2 дня |
| Минимальная длина пароля | 0 символов | 8 символов |
| Пароль должен удовлетворять требованиям сложности | Отключено | Включено |
| Пароль хранится с использованием реверсивной кодировки для всех пользователей в домене | Отключено | Отключено |
Требования сложности
Когда включена настройка групповой политики «пароль должен удовлетворять требованиям сложности», это значит, что длина пароля должна составлять, по меньшей мере, 6 символов (хотя мы рекомендуем вам увеличить это число до 8). Требуется также, чтобы пароль содержал символы не менее чем трех типов:
- Английские заглавные буквы A, B, C, …, Z
- Английские прописные буквы а, b, с, …, z
- Арабские цифры 0, 1, 2, …, 9
- Неалфавитные символы – например, знаки препинания.
Примечание: политика паролей должна быть установлена не только на серверах на базе Windows 2000, но также на любых других устройствах, требующих пароль для регистрации. Сетевые устройства, такие, как маршрутизаторы и коммутаторы, очень уязвимы для взлома, если они используют простые пароли. Взломщики могут пытаться установить контроль над этими сетевыми устройствами, чтобы обойти брандмауэры.
Политика блокировки учетных записей (Lockout)
Эффективная политика блокировки учетных записей не позволит взломщику угадать пароли ваших учетных записей.
В данной таблице приводится список настроек для политики блокировки учетных записей по умолчанию и рекомендуемые минимальные настройки для вашей среды.
Таблица 4.2: Умолчания для политики учетных записей и рекомендуемые настройки
Политика | Настройки по умолчанию | Минимальные рекомендуемые настройки |
| Длительность блокировки учетной записи | Не определена | 30 минут |
| Порог блокировки учетной записи | 0 | 5 ошибочных попыток входа в систему |
| Сброс блокировки учетной записи | Не определено | 30 минут |
Согласно минимальным рекомендациям, учетная запись блокируется, если на протяжении 30 минут осуществляются 5 ошибочных попыток входа в систему. Она блокируется на 30 минут (после чего счетчик неудачных попыток входа обнуляется и можно снова попытаться зарегистрироваться в системе). Учетная запись может быть активизирован до истечения 30 минут, только если администратор сбросит блокировку. Чтобы повысить уровень безопасности в вашей организации, вам следует подумать о том, чтобы увеличить длительность локаута и понизить порог локаута.
Примечание: Политика паролей и политика учетных записей должна устанавливаться на доменном уровне. Если эти политики установлены на уровне OU или где-либо еще в Active Directory, они будут влиять на локальные, а не на доменные учетные записи.
Допускается наличие только одной политики учетных записей домена. За дополнительной информацией обращайтесь к базе знаний Microsoft, статья Q255550, «Конфигурация политик учетных записей в Active Directory».