Введение. 5 Структура Операций Microsoft (mof) 6 Добейтесь безопасности и оставайтесь в безопасности 7
| Вид материала | Документы |
- Учебная программа курса Введение в обязанности и условия работы специалиста по технической, 16.36kb.
- Введение, 234.92kb.
- План. Введение Структура экономической безопасности страны. Характеристика аспектов, 183.23kb.
- I. введение, 424.45kb.
- Календарно – тематическое планирование, 135.98kb.
- Малюк А. А., Пазизин С. В., Погожин Н. С. Введение в защиту информации в автоматизированных, 3940.4kb.
- Работа школы по обеспечению личной безопасности обучающихся, 26.09kb.
- Конституции Российской Федерации и федеральных закон, 327.39kb.
- Личная безопасность персонала скорой медицинской помощи, 108.54kb.
- Рабочая программа по технологии 9 класс Календарно тематическое планирование, 132.44kb.
Политика базового уровня контроллера доменов
Все контроллеры доменов, созданные в домене, автоматически прописываются в Domain Controllers OU. Контроллеры доменов никогда не следует изымать из Domain Controllers OU, поскольку существуют особые защитные списки контроля доступа (ACL), применяемые по отношению к этой OU.
Domain Controllers OU является OU верхнего уровня и потому не принимает настроек, определяемых в вашей политике базового уровня рядовых серверов. По этой причине мы разработали отдельную политику базового уровня контроллеров доменов.
Конфигурационные настройки, осуществляемые в политике базового уровня контроллеров доменов, затрагивают следующие секторы политики:
- политика аудита
- защитные опции
- сервисная конфигурация
Примечание: Файловые списки контроля доступа (ACL), кроме файлов System32, список которых приводится в Приложении A, и реестровые списки контроля доступа (ACL) не включаются в данную Group Policy, поскольку они определяются и осуществляются, когда сервер, работающий в Windows 2000 is promoted to контроллеру домена. Шаблон защиты, который называется Defltdc.inf, применяется во время установки Active Directory на контроллере домена. Этот шаблон применяет списки контроля доступа (ACL) к файловой системе и реестровым ключам (registry keys) для дополнительных сервисов, разработанных, чтобы поддерживать контроллер домена.
Аудит базового уровня контроллера домена и политика опций защиты
Политика аудита и опции безопасности, конфигурированные для контроллеров домена, идентичны политике базового уровня (подробнее об этих настройках см. раздел "Политика базового уровня рядовых серверов").
Политика сервисов базового уровня контроллеров доменов
Сервисы, конфигурированные для запуска, - это сервисы, определяемые в конфигурации базового уровня, плюс дополнительные сервисы, нужные для поддержки функций контроллера домена.
Таблица 4.13: Сервисы, которые запускает политика сервисов базового уровня контроллера домена, в дополнение к тем, которые устанавливаются политикой базового уровня рядовых серверов.
Сервис | Запуск | Основание для внесения в Политику базового уровня контроллера домена |
| Distributed File System | Автоматически | Необходим для работы разделенного ресурса Sysvol в Active Directory |
| DNS Server | Автоматически | Необходим для работы DNS, интегрированного с Active Directory |
| File Replication | Автоматически | Необходим для репликации файлов между контроллерами |
| Kerberos Key Distribution Center | Автоматически | Необходим для аутентификации пользователей по протоколу Kerberos |
| NT LM Security Support Provider | Автоматически | Необходим для аутентификации пользователей по протоколу NTLM |
| RPC Locator | Автоматически | Обеспечивает службу имен RPC |
Ключевые сервисы, не внесенные в политику базового уровня контроллера домена
Политика Базового уровня рядового сервера нацелена на то, чтобы быть как можно более запрещающей. По этой причине несколько сервисов, которые, возможно, требуются вашей среде, запрещены. Список наиболее распространенных из них приводится ниже
Simple Mail Transport Protocol (SMTP)
Межсайтовое копирование может осуществляться с помощью как RPC, так и SMTP. Если в своей среде вы используете для копирования SMTP, вам нужно подключить SMTP Service.
Межсайтовая передача сообщений
Этот сервис используется для копирования с одного сайта на другой на базе почтовых сообщений. Каждое средство передачи, которое должно использоваться для копирования, определяется в отдельной встроенной динамичной библиотеке ссылок (DLL). Эти встраиваемые DLL грузятся в Intersite Messaging. Intersite Messaging команды отправляют запросы и получают запросы в подходящий транспорт встроенных DLL, которые затем направляют сообщения route в Intersite Messaging выбранного компьютера. Если вы в своей среде используете для копирования SMTP, вам нужно запустить этот сервис.
IIS Admin сервис
Если сервис SMTP запущен, тогда также нужно запустить и сервис IIS Admin, поскольку сервис SMTP зависит от сервиса IIS Admin.
Сервис сервера отслеживания распределенных ссылок (Distributed Link Tracking Server Service)
Сервис используется для отслеживания файлов на NTFS томах по всему домену и включается компьютерами, использующими сервис Distributed Link Tracking Client. Эти компьютеры будут периодически пытаться включить сервис Distributed Link Tracking Server даже после его отключения.
Примечание: Если вы запустите утилиту dcdiag из Support Tools для Windows 2000, она будет проверять все сервисы, которые обычно работают на контроллерах доменов и должны запускаться. Поскольку в политике базового уровня контроллера домена некоторые сервисы отключены, dcdiag сообщит об ошибках. Эта ситуация предсказуема и не свидетельствует о проблемах вашей конфигурации.
Другие задачи безопасности базового уровня
Невозможно выполнить все задачи необходимые для укрепления безопасности ваших рядовых серверов и контроллеров доменов с помощью групповой политики. Существует некоторое число дополнительных действий, которые вам следует предпринять для того, чтобы поднять общий уровень безопасности на всех ваших серверах.
Защита встроенных учетных записей
В Windows 2000 имеется определенное число встроенных пользовательских учетных записей, которые нельзя удалить, но можно переименовать. Гость (Guest) и Администратор (Administrator) - две встроенных учетных записи в Windows 2000. По умолчанию учетная запись Гость отключается на рядовых серверах и контроллерах домена – эти настройки вам не следует изменять. Встроенную учетную запись администратора следует переименовать, чтобы предотвратить опасность вторжения из удаленного сервера, использующего знакомое имя. Многие программы-вредители используют встроенную учетную запись администратора в качестве первой попытки проникнуть на сервер.
Примечание: Встроенную учетную запись администратора можно переименовать с помощью групповой политики. Мы не применяем эту настройку в политике базового уровня, потому что вам следует выбрать имя, которое будет неизвестно окружающим.
Защита учетных записей локального администратора
В каждом рядовом сервере имеются локальная база данных учетных записей и учетная запись локального администратора, которые обеспечивают полный контроль над сервером. Вам следует переименовать эту учетную запись, и убедиться, что у нее сложный пароль. Вам также следует убедиться, что пароли локального администратора не копируются через рядовые серверы. В том случае если они копируются, взломщик, стремящийся к доступу на один рядовой сервер, получит возможность получить доступ и на все остальные, где используется тот же пароль.
Вам не следует создавать учетные записи локального администратора отдельно от администраторской группы домена (Domain Admins group), поскольку последняя дает больше возможностей, нежели нужно для администрирования рядовых серверов. По той же причине важно убедиться в том, что для администрирования ваших рядовых серверов используются только локальные учетные записи.
Защита учетных записей сервиса
Как правило, сервисы Windows 2000 работают под учетными записями локальной системы (Local System account), но они могут также работать и под учетными записями пользователя домена и под локальными учетными записями. Всегда, когда это возможно, вам следует поверх учетных записей пользователей домена использовать локальные учетные записи. Сервис работает в контексте безопасности своей сервисной учетной записи, так что когда сервис на рядовом сервере подвергается нападению, существует возможность использования сервисной учетной записи для нападения на контроллер домена. При определении того, какую учетную запись использовать в качестве сервисной, вам следует удостовериться, что прописанные привилегии ограничиваются тем, что требуется для успешного функционирования сервиса. В таблице внизу объясняются привилегии, присущие каждому типу сервисных учетных записей.
Таблица 4.14: Привилегии учетных записей Windows 2000 в разных средах
Аутентификация при работе сервиса на компьютере на базе Windows 2000 | В рамках одного «леса» , все серверы на базе Windows 2000 | Приложения в среде многочисленных «лесов» с доверительными отношениями на основе NTLM между доменами |
| Учетная запись сервиса локального пользователя | Сетевые ресурсы недоступны, только локальный доступ с привилегиями, назначенными учетной записи | Сетевые ресурсы недоступны, только локальный доступ с привилегиями, назначенными учетной записи |
| Учетная запись сервиса пользователя домена | Доступ в сеть на правах Пользователя домена, локальных доступ с привилегиями, назначенными учетной записи пользователя | Доступ в сеть на правах Пользователя домена, локальных доступ с привилегиями, назначенными учетной записи пользователя |
| LocalSystem | Доступ в сеть на правах учетной записи машины аутентифицированного пользователя, локальный доступ с правами Локальной Системы | Нет доступа к сетевым ресурсам других «лесов», локальный доступ с правами Локальной Системы |
Все сервисы, запускаемые по умолчанию в Windows 2000, работают под локальной системой (LocalSystem) и это не следует изменять. Любые дополнительные сервисы, добавленные к системе, требующей использования учетных записей домена, следует тщательно оценивать, до того как они будут развернуты.
Проверка конфигурации базового уровня
После первого применения защиты на сервере следует подтвердить правильность конфигурации специфических настроек безопасности. Утилита Microsoft Security Baseline Analyzer проведет серию проверок на ваших серверах и предупредит вас о всех проблемах, связанных с защитой и безопасностью, с которыми вы можете столкнуться.
Проверка конфигурации портов
Важно подтвердить окончательную конфигурацию порта и понять, какие TCP и UDP порты вашего сервера на базе Windows 2000 прослушиваются. После подключения политики базового уровня можно запустить команду netstat, которая покажет, какие порты сервер прослушивает при использовании каждой сетевой карты
В таблице показан предполагаемый вывод значений netstat для рядовых серверов, на которых применяется Политика базового уровня рядовых серверов:
Таблица 4.15: Порты, которые будет прослушивать рядовой сервер после запуска Базовой политики рядовых серверов
Протокол | Локальный адрес | Внешний адрес | Статус |
| TCP | 0.0.0.0:135 | 0.0.0.0:0 | Слушает |
| TCP | 0.0.0.0:445 | 0.0.0.0:0 | Слушает |
| TCP | | 0.0.0.0:0 | Слушает |
| UDP | | *.* | Не определено |
| UDP | | *.* | Не определено |
| UDP | 0.0.0.0:445 | *.* | Не определено |
| UDP | 0.0.0.0:1027 | *.* | Не определено |
| UDP | 0.0.0.0:1045 | *.* | Не определено |