Введение. 5 Структура Операций Microsoft (mof) 6 Добейтесь безопасности и оставайтесь в безопасности 7

Вид материала

Документы

Содержание Изменения в рекомендуемой среде Изменения в администрировании Модификации безопасности, если не используется HFNETCHK Дополнительная информация

Подобный материал:

• Учебная программа курса Введение в обязанности и условия работы специалиста по технической, 16.36kb.
• Введение, 234.92kb.
• План. Введение Структура экономической безопасности страны. Характеристика аспектов, 183.23kb.
• I. введение, 424.45kb.
• Календарно – тематическое планирование, 135.98kb.
• Малюк А. А., Пазизин С. В., Погожин Н. С. Введение в защиту информации в автоматизированных, 3940.4kb.
• Работа школы по обеспечению личной безопасности обучающихся, 26.09kb.
• Конституции Российской Федерации и федеральных закон, 327.39kb.
• Личная безопасность персонала скорой медицинской помощи, 108.54kb.
• Рабочая программа по технологии 9 класс Календарно тематическое планирование, 132.44kb.

Изменения в рекомендуемой среде

Цель рекомендаций, приведенных в этой главе, – создание значительно более безопасной среды для серверов на базе Windows 2000. Однако некоторые изменения могут оказаться не подходящими для вашей организации. Здесь мы рассмотрим два случая, когда 1) требуется больше управляющих мощностей, и 2) когда утилита Hfnetchk не может использоваться.

Изменения в администрировании

Базовые политики по умолчанию для рядовых серверов и контроллеров доменов будут исключать некоторые из отдаленных (и некоторые из локальных) административных функций в вашем окружении. Удаленное управление, использующее встроенные программы управления компьютером (computer management snap-in) Microsoft Management Console (MMC), не будут работать при базовых политиках по умолчанию, поскольку некоторые серверы, связанные с ММС, в этом случае отключены.

Базовые политики разрешают сервисы «Сервер» и «Удаленное управление реестром» (the Server service and Remote Registry service). Это позволит встроенным программам управления компьютером на расстоянии подключаться к другим компьютерам и администрировать следующие элементы:

• Совместно используемые папки
  
• Локальные пользователи и группы
  
• Управление, содержащееся в памяти (Under Storage Management) – кроме логических устройств и съемной памяти.
  
• Менеджер сервисных устройств
  
• Журнал событий (Event Viewer)
  
• WMI не разрешены в базовых политиках. Это не позволяет администрировать следующие элементы:
  
• WMI (инструментальные средства управления средой Windows)
  
• Storage Management, локальные носители информации.
  

Если вам нужно их администрировать, локально или удаленно, вам следует разрешить сервис WMI.

Удаленный доступ к съемным хранилищам (Removable Storage ) невозможен, если включены только сервисы базовой политики рядового сервера. Если служебная программа управления съемными хранилищами (Removable Storage) не запущена на удаленном сервере, то удаленный сервер передаст в системный журнал сообщение об ошибке DCOM с утверждением, что сервис недоступен.

Примечание: Активизируя вышеуказанные сервисы, включайте их только в инкрементных политиках серверных ролей, где требуются эти сервисы.


Примечание: Некоторые административные утилиты могут потребовать от вас произвести модификацию безопасности для компьютера клиента, с которого вы запускаете эту утилиту. Например, некоторые утилиты могут использовать аутентификацию NTLM, и базовая политика конфигурирует серверы так, чтобы те допускали только NTLM v2. Чтобы получить больше информации о том, как создавать эту конфигурацию, смотрите раздел «Уровень аутентификации менеджера локальной сети» в конце этой главы.

Модификации безопасности, если не используется HFNETCHK

Hfnetchk – это утилита, которая позволяет вам выяснить, какие патчи установлены на каждом из серверов вашей организации. Мы настоятельно рекомендуем вам использовать такой инструмент, как Hfnetchk, т.к. он поможет вам повысить общий уровень безопасности в вашей среде.

Однако, если вы не внедряете Hfnetchk, вы можете запретить сервисы «Удаленного управления реестром» (Remote Registry) и «Сервер» в базовой политике рядового сервера. В базовой политике контроллера домена можно запретить сервис «Удаленного управления реестром».

Если вы действительно запретили эти сервисы в базовой политике рядового сервера, вам нужно разрешить их в некоторых сервисных ролях:

Таблица 4.17: Сервисы, которые необходимо добавить к ролям серверов GPO, если запрещены сервисы «Удаленного управления реестром» и «Сервер» в базовой политике рядового сервера

Функция сервера	Разрешаемый сервис	Основание
Файл-сервер и сервер печати	Server	Нужно обеспечить возможность совместного использования файлов
Сервер инфраструктуры	Server	Должна правильно работать служба имен WINS
Сервер инфраструктуры	Remote Registry	Менеджер WINS должен видеть состояние сервера WINS.

Если вы действительно запретили сервисы «Сервер» и «Удаленного управления реестром», вы также потеряете почти все возможности удаленного администрирования.

Резюме

Сервисы на базе Windows 2000 предоставляют очень много рабочих функций. Однако многие из них требуются не на всех серверах. Определив задачи, выполняемые вашим сервером, вы можете отключить ненужные элементы, и таким образом повысить безопасность своей среды. Приняв меры, предлагаемые в данной главе, вы совершите большой шаг вперед на пути к полной безопасности.

Дополнительная информация

Дополнительную информацию из Symantec о базовых положениях безопасности вы найдете по адресу:

esponse.symantec.com/avcenter/security/Content/security.articles/fundamentals.of.info.security.phpl

О том, как защитить Windows 2000 TCP/IP:

soft.com/technet/treeview/default.asp?url=/TechNet/security/website/dosrv.asp

Настройки контроля доступа по умолчанию в «Белой книге» Windows 2000:

soft.com/technet/treeview/default.asp?url=/TechNet/prodtechnol/windows2000serv/maintain/featusability/secdefs.asp

Набор утилит Microsoft Security:

soft.com/security/mstpp.asp

Глоссарий сервисов Windows 2000:

soft.com/windows2000/techinfo/howitworks/management/w2kservices.asp