Введение. 5 Структура Операций Microsoft (mof) 6 Добейтесь безопасности и оставайтесь в безопасности 7

Вид материала

Документы

Подобный материал:

• Учебная программа курса Введение в обязанности и условия работы специалиста по технической, 16.36kb.
• Введение, 234.92kb.
• План. Введение Структура экономической безопасности страны. Характеристика аспектов, 183.23kb.
• I. введение, 424.45kb.
• Календарно – тематическое планирование, 135.98kb.
• Малюк А. А., Пазизин С. В., Погожин Н. С. Введение в защиту информации в автоматизированных, 3940.4kb.
• Работа школы по обеспечению личной безопасности обучающихся, 26.09kb.
• Конституции Российской Федерации и федеральных закон, 327.39kb.
• Личная безопасность персонала скорой медицинской помощи, 108.54kb.
• Рабочая программа по технологии 9 класс Календарно тематическое планирование, 132.44kb.

Тестовая среда

Крайне важно, чтобы вы тщательно оценивали любые изменения в безопасности ваших IT систем в тестовой среде, прежде чем вносить какие-либо изменения в вашу рабочую среду. Ваша тестовая среда должна как можно ближе и точнее моделировать рабочую среду. Как минимум, она должна включать несколько контроллеров доменов и отражать любую функцию рядового сервера, имеющуюся в рабочей среде.

Тестирование необходимо для того, чтобы установить, что ваша среда продолжает работать после внесения изменений, но она также крайне необходима, для того чтобы убедиться, что вы повысили уровень безопасности, как и планировали. Нужно тщательно обосновать все изменения и произвести оценку защищенности в тестовой среде.

Примечание: Прежде чем кто-либо произведет оценку защищенности в вашей организации, вам нужно убедиться в том, что у него на это есть письменное разрешение.

Проверка доменной среды

Прежде чем внедрять групповую политику в вашей рабочей среде, важно, чтобы ваша доменная среда была стабильной и работала должным образом. Некоторые ключевые области в Active Directory должны быть проверены: это DNS сервера, копирование контроллеров доменов и синхронизация времени.

Проверка конфигурации DNS

Для серверов и контроллеров доменов крайне необходимо, чтобы разрешение имен посредством DNS работало правильно. Когда в домене устанавливается несколько DNS-серверов, каждый из DNS-серверов должен быть проверен. вы должны провести следующие тесты:

• На контроллерах доменов:
  

• Запустить dcdiag /v и netdiag /v с ключом Verbose для проверки DNS в каждом контроллере домена и просмотреть отчет о возможных ошибках. DCDIAG и NETDIAG можно найти на установочном диске Windows 2000 в каталоге Support Tools
  
• Остановите и запустите сервис Net Logon и проверьте Event Log на возможные ошибки. Сервис Net Logon будет динамически регистрировать служебные записи на DNS для этого контроллера домена и выдавать сообщения об ошибках, если он не сможет успешно зарегистрировать какую-либо запись DNS. Эти служебные записи можно найти в файле netlogon.dns, который находится в каталоге %SystemRoot%\System32\Config.
  

• С помощью nslookup или запустив netdiag /v, убедитесь, что на рядовых серверах DNS работает правильно.
  

Репликация контроллеров доменов

Важно, чтобы репликация из одного контроллера домена в другой работала правильно до того, как началось внедрение групповой политики. Если репликация работает неправильно, то изменения, внесенные в групповую политику, нельзя будет применить ко всем контроллерам доменов. Это может вызвать несоответствие между серверами, которые ищут обновления групповой политики в контроллерах доменов. Серверы будут обновляться, если они указывают на контроллеры доменов, которые продолжают ожидать, что политику, которая должна копироваться, не будет обновляться.

Ускорение и проверка копирования с использованием утилиты Repadmin.

Repadmin – это утилита командной строки, включенная в каталог Support на установочном диске Windows 2000. Вы можете использовать Repadmin для определения других участников копирования директорий на сервере назначения, а затем дать команду синхронизировать сервер-источник с сервером назначения. Это делается с использованием глобально уникального идентификатора объекта (GUID) сервера-источника.

Как использовать Repadmin, чтобы ускорить копирование между двумя контроллерами доменов.

1. 
   В командной строке контроллера домена наберите следующее:
   

Repadmin /showreps <имя_сервера_назначения>

2. Под секцией Inbound Neighbors в отчёте найдите раздел, который нуждается в синхронизации и выясните местонахождение сервера-источника, с которым должен быть синхронизирован сервер назначения. Запишите значение GUID объекта сервера источника.
   
3. Начните копирование введя следующую команду:
   

repadmin /sync <раздел_директории_DN> <имя_сервера_назначения>

Примечание: Когда у вас имеется GUID объекта каждого контроллера домена, вы могли бы создать пакетный сценарий, который использует утилиту repadmin для того чтобы начать копирование между серверами и сообщить вам статус – успешно ли проходит копирование.

Централизация шаблонов безопасности

Очень важно чтобы шаблоны безопасности, используемые в работе, хранились в безопасном месте, доступ к которому имеют только администраторы, отвечающие за внедрение групповой политики. По умолчанию шаблоны безопасности хранятся в папке: %SystemRoot%\security\templates на каждом контроллере домена. Эта папка не копируется по нескольким контроллерам доменов. Поэтому вы должны будете выбрать контроллер домена, в котором бы хранился эталон шаблонов безопасности, так чтобы вы не столкнулись с проблемой управления версиями шаблонов.

Конфигурация времени

Очень важно, чтобы системное время было точным и чтобы все серверы использовали один и тот же источник времени. Сервис W32Time в Windows 2000 обеспечивает синхронизацию времени в компьютерах на базе Windows 2000, работая в домене Active Directory. Сервис W32Time гарантирует, что часы у клиентов на базе Windows 2000 синхронизированы с контроллерами домена в домене. Это необходимо для аутентификации по протоколу Kerberos, но время синхронизации также помогает синхронизировать журнал регистрации событий.

Сервис W32Time синхронизирует часы, используя Simple Network Time Protocole (SNTP) так, как это описано в RFC 1769. В «лесу» Windows 2000 время синхронизировано следующим образом:

• Эмулятор PDC в корневом домене леса – источник информации о точном времени для вашей организации.
  
• Все эмуляторы РDС в других доменах леса следуют иерархии доменов, при выборе эмулятора PDC, с которым синхронизируется время.
  
• Все контроллеры домена в домене синхронизируют своё время с эмулятором PDC в своем домене.
  
• Все рядовые серверы и настольные компьютеры клиентов используют контроллер домена в качестве источника точного времени.
  

Эмулятор PDC в корневом домене должен быть синхронизирован с внешним сервером времени с SNTP. Вы можете конфигурировать это, запустив следующую команду сетевого времени, где <список_серверов> - это ваш список серверов:

Net time /setsntp:<список_серверов>

Примечание: Если ваш эмулятор PDC в корне леса защищен брандмауэром, нужно открыть UDP порт 123 на брандмауэре, чтобы позволить эмулятору PDC подключиться к серверу времени SNTP в Интернете.

Если ваша сеть использует более старые версии операционной системы Windows, на этих компьютерах часы можно выставить используя следующую команду в сценарии регистрации:

Net time \\/set/yes ­ - здесь - это контроллер домена сети.

Примечание: В компьютерах, пользующихся другими операционными системами, кроме Windows, время также должно быть синхронизировано с внешними источниками точного времени, чтобы можно было проанализировать журнал регистрации событий, базируясь на времени. Более подробную информацию можно найти в Базе знаний Microsoft, статья Q 216734, как сконфигурировать надежный сервер времени в Windows.