Введение. 5 Структура Операций Microsoft (mof) 6 Добейтесь безопасности и оставайтесь в безопасности 7
| Вид материала | Документы |
СодержаниеТаблица 3.1: Секции шаблона безопасности, соответствующие настройкам групповой политики |
- Учебная программа курса Введение в обязанности и условия работы специалиста по технической, 16.36kb.
- Введение, 234.92kb.
- План. Введение Структура экономической безопасности страны. Характеристика аспектов, 183.23kb.
- I. введение, 424.45kb.
- Календарно – тематическое планирование, 135.98kb.
- Малюк А. А., Пазизин С. В., Погожин Н. С. Введение в защиту информации в автоматизированных, 3940.4kb.
- Работа школы по обеспечению личной безопасности обучающихся, 26.09kb.
- Конституции Российской Федерации и федеральных закон, 327.39kb.
- Личная безопасность персонала скорой медицинской помощи, 108.54kb.
- Рабочая программа по технологии 9 класс Календарно тематическое планирование, 132.44kb.
Заключение
В этой главе показаны наиболее значительные угрозы вашей среде и действия, при помощи которых вы можете от них защититься. По мере прочтения следующих глав вы получите более детальную информацию относительно того, как защитить вашу систему от нападения, как определить, если вы атакованы, и что делать, если нападение происходит
Дополнительная информация:
Дополнительная информация от Symantec по стратегии «глубокой защиты»:
esponse.symantec.com/avcenter/security/Content/security.articles
/defense.in.depth.phpl
Writing Secure Code by Michael Howard and David LeBlanc (Microsoft Press; ISBN: 0-7356-1588-8).
Информация о черве Nimda и защиты от него:
soft.com/technet/treeview/default.asp?url=/technet/security/topics
/nimda.asp
Requests for Comments (RFCs) are available from:
ditor.org/
Глава 3. Управление безопасностью при помощи групповой политики Windows 2000
После того как вы установили уровень риска, соответствующий вашей среде, и определили общую политику безопасности, следует приступить к организации защиты вашей среды. В среде на базе Windows 2000 это в основном достигается за счёт групповой политики (Group Policy).
В этом разделе описывается процесс установки объектов групповой политики (Group Policy objects, GPO) с шаблонами безопасности, чтобы определить настройки безопасности в среде на базе Windows 2000. Мы также обсудим простую структуру организационных подразделений (OU, Organizational Unit), которая будет поддерживать использование GPO.
Предупреждение: Прежде чем применить шаблоны безопасности, обсуждаемые в этом разделе, в производственной среде, необходимо тщательно проверить эти шаблоны безопасности в лаборатории, чтобы убедиться в том, что ваши серверы продолжают функционировать так, как и ожидалось.
Значение использования групповой политики
Цель политик безопасности – определить процедуры выбора конфигурации и управления безопасностью в вашей среде. Групповая политика для Windows 2000 может помочь вам применить технические рекомендации в вашей политике безопасности для всех рабочих станций и серверов в доменах Active Directory. Вы можете использовать групповую политику в сочетании со структурой OU, чтобы определить специфические настройки безопасности для тех или иных функций сервера.
Если вы используете групповую политику для создания настроек безопасности, вы можете убедиться, что любые изменения, осуществляемые по отношению к какой-либо из политик, будут относиться ко всем серверам, использующим эту политику, и все новые сервера автоматически получат те же настройки.
Установка групповой политики
Чтобы использовать групповую политику безопасно и эффективно, очень важно знать, как она устанавливается. Пользователь или компьютерный объект может зависеть от многих объектов групповой политики. Они настраиваются последовательно, и настройки накапливаются, кроме случаев конфликта – тогда настройки старых политик по умолчанию заменяются более поздними.
В первую очередь настраивается локальный GPO. В каждом компьютере, на котором установлен Windows 2000, имеется локальный GPO. По умолчанию конфигурируются только настройки безопасности (Security Settings). Настройки в остальных частях локального GPO при этом не включаются и не отключаются. Локальный GPO хранится на каждом сервере в каталоге %systemroot%\System32\GroupPolicy.
После локального GPO, следующие GPO настраиваются на сайте, домене, материнском OU и наконец на дочернем OU. Следующая диаграмма показывает, как настраивается каждая из политик:
Рисунок 3.1
Иерархия настроек GPO
Если на каждом уровне определяется несколько GPO, администратор сам устанавливает порядок их настройки.
Пользователь или компьютер применяет настройки, определенные в групповой политике, если: а) он входит в более крупную структуру, в которой установлена эта политика; б) в Списке разграничительного контроля доступа для GPO ему присвоено, по меньшей мере, разрешение Apply Group Policy.
Примечание: По умолчанию такое разрешение имеет встроенная группа Authenticated Users. В эту группу входят все пользователи и компьютеры домена.
Как убедиться в том, что групповая политика настроена.
Настройки групповой политики частично находятся в Active Directory. Это значит, что изменения в групповой политике активизируются не сразу. Сначала контроллеры домена должны скопировать изменения групповой политики в остальные контроллеры доменов. Это занимает около 15 минут в пределах одного сайта, и значительно больше, если сайтов несколько. Как только изменения будут скопированы, потребуется еще некоторое время (5 минут для контроллеров домена и от одного до двух часов для других компьютеров) на то, чтобы политика изменилась также и на выбранном компьютере.
По желанию вы можете значительно ускорить выполнение какой-либо из этих функций.
Чтобы ускорить копирование в контроллерах домена:
- Откройте Active Directory Sites and Services, разверните Sites, далее
и затем Servers
- Откройте
и и затем для каждого из серверов выберите NTDS Settings.
- На правой панели правой кнопкой мыши откройте меню на имени объекта связи и выберите Replicate Now. В этом случае копирование из одного контроллера домена в другой произойдет немедленно.
- Повторите шаги 2 и 3 для каждого контроллера домена.
- Откройте
Обновление политики на сервере вручную
В командной строке сервера наберите Secedit /Refreshpolicy machine_policy /enforce. По этой команде сервер проверяет Active Directory на любые обновления политики, и если он их находит, то немедленно загружает.
Проверка настроек политики
Запустить Local Security Policy
- Под Security Settings откройте Local Policies и затем - Security Options.
- На правой панели просмотрите колонку Effective Settings, чтобы проверить правильность настроек безопасности.
Примечание: Применяя настройки безопасности групповой политики, очень важно иметь ясное представление об их свойствах и взаимодействии. «Белая книга» компании Microsoft – «Групповая политика в Windows 2000» (Group Policy Windows 2000) - приводит более подробную информацию на эту тему. В конце данного раздела вы найдете все необходимые сведения.
Структура групповой политики
Установочные настройки групповой политики хранятся в двух местах:
- GPO, находящиеся в Active Directory;
- Файлы шаблонов защиты, находящиеся в локальной файловой системе
Изменения, внесенные в GPO, сохраняются непосредственно в Active Directory, в то время как изменения, внесенные в файлы шаблонов защиты, нужно импортировать обратно в GPO внутри Active Directory, и только после этого запускать их.
Примечание: Настоящее Руководство дает вам шаблоны, с помощью которых можно модифицировать ваши GPO. Если вы вносите изменения и модифицируете GPO непосредственно, нарушится их синхронизация с файлами шаблонов. Поэтому мы рекомендуем вам модифицировать файлы шаблонов и импортировать их обратно в GPO.
В комплект Windows 2000 входит значительное количество шаблонов защиты. Следующие шаблоны можно применять в среде с низкой степенью защиты:
- Basicwk.inf – для Windows 2000 Professional
- Basicsv.inf – для Windows 2000 Server
- Basicdc. inf – для контроллеров доменов на базе Windows 2000
Для того чтобы обеспечить компьютеры на базе Windows 2000 высокой степенью защиты, предлагаются следующие шаблоны. Они содержат дополнительные настройки по безопасности для основных шаблонов:
- Securedc.inf и Hisecdc.inf – для контроллеров доменов
- Securews.inf и Hisecws.inf – для рядовых серверов и рабочих станций.
Эти шаблоны считаются шаблонами инкрементного статуса, потому что основные шаблоны должны настраиваться до того, как можно будет добавлять инкрементные шаблоны. Для этого руководства мы создали новые шаблоны безопасности, приняв Hisecdc.inf и Hisecws.inf в качестве отправной точки. Цель – создать среду с высоким уровнем ограничений, к которой вы можете потом избирательно открывать доступ, чтобы обеспечить ее требуемую функциональность, при этом сохраняя безопасность первостепенной важности.
Примечание: По умолчанию, шаблоны безопасности Windows 2000 сохраняются как .inf файлы в %SystemRoote%\Security\Templates folder.
Формат шаблона безопасности
Файлы шаблонов – это текстовые файлы. Изменения в файлы шаблонов могут производиться из приложения MMC Security Templates или с помощью текстовых редакторов, таких как блокнот. Следующая таблица показывает, как секции политики отображаются в файлах – шаблонах.
Таблица 3.1: Секции шаблона безопасности, соответствующие настройкам групповой политики
Раздел политики | Раздел шаблона |
| Account Policy | [System Access] |
| Audit Policy | [System Log] [Security Log] [Application Log] |
| User Rights | [Privilege Rights] |
| Security Options | [Registry Values] |
| Event Log | [Event Audit] |
| Restricted Groups | [Group Membership] |
| System Services | [Service General Setting] |
| Registry | [Registry Keys] |
| File System | [File Security] |
Некоторые секции внутри файла шаблона безопасности, такие как [File Security] и [Registry Keys] содержат списки контроля доступа (ACL). Эти ACL представляют собой текстовые ряды, определяемые посредством Security Descriptor Definition Language (SDDL). Более подробные сведения о редакции шаблонов безопасности и о SDDL можно найти в MSDN. За дополнительной информацией обращайтесь в раздел “ дополнительная информация” в конце этого раздела.