Первая страница
Наша команда
Контакты
О нас

    Головна сторінка



N держреєстрації

N держреєстрації




Сторінка5/18
Дата конвертації10.03.2017
Розмір1.8 Mb.
1   2   3   4   5   6   7   8   9   ...   18

2.1.2. Політика домену


Параметри безпеки групової політики можна застосовувати на різних рівнях організації. У базовому середовищі, яке розглядається в розділі 2.1.1 «Механізми зміцнення безпеки Windows Server 2003», групові політики використовувалися для застосування параметрів на трьох наступних рівнях інфраструктури домену:

  • Рівень домену. Параметри на даному рівні служать для забезпечення загальних вимог безпеки, таких як політики облікових записів і паролів, які повинні бути реалізовані для всіх серверів домену.

  • Базовий рівень. Параметри на даному рівні відповідають особливим вимогам безпеки, загальним для всіх серверів в інфраструктурі домену.

  • Рівень, визначуваний роллю сервера. Параметри на даному рівні відповідають вимогам безпеки, визначуваним роллю сервера. Наприклад, вимоги безпеки для сервера інфраструктури відрізняються від вимог для серверів із службами Microsoft IIS.

У наступних частинах даного розділу детально розглядається тільки політика доменного рівня. Більшість даних параметрів безпеки пов'язані з обліковими записами користувачів і паролями.
Більшість - велика частина чого-небудь, або кількісне переважання прихильників якоїсь ідеї чи рішення над їхніми противниками. Вважається найпершою засадою демократичного способу прийняття спільних рішень, головною й необхідною умовою обрання кандидата на виборну посаду.
При вивченні даних параметрів і рекомендацій слід врахувати, що всі параметри застосовуються до всіх користувачів в межах домену.

2.1.2.1. Огляд політики домену


Групова політика є дуже ефективним засобом, оскільки дозволяє адміністраторові створювати стандартну конфігурацію комп'ютера мережі. Об'єкти групової політики (GPO) є значною частиною рішення для управління параметрами, відповідного для будь-якої організації, оскільки дозволяють адміністраторам вносити зміни в параметри безпеки одночасно на всіх комп'ютерах в домені або підрозділах домену.

Наступні розділи містять докладні відомості про параметри безпеки, які можна використовувати для зміцнення безпеки операційної системи Windows Server 2003 з пакетом оновлення 1 (SP1). Розділи також включають таблиці з описом параметрів і докладний опис способів досягнення цілей у сфері зміцнення безпеки за допомогою конкретних параметрів. Параметри розділені на декілька категорій, відповідних порядку їх відображення в редакторові конфігурацій безпеки Windows Server 2003.



За допомогою групових політик можна одночасно застосовувати наступні типи змін параметрів безпеці:

  • зміна дозволів для файлової системи;

  • зміна дозволів для об'єктів реєстру;

  • зміна параметрів в реєстрі;

  • зміна призначень прав користувача;

  • настройка системних служб;

  • настройка журналів аудиту і подій;

  • установка політик паролів і облікових записів.

Рекомендується створити нову групову політику в корені домену для застосування політик доменного рівня, які розглядаються в даному розділі. Це дозволить спростити перевірку і усунення неполадок нової групової політики, оскільки для відкату змін можна просто відключити її. Проте деякі програми, створені для роботи з Active Directory, вносять зміни безпосередньо у вбудовану стандартну політику домену. При виконанні рекомендацій, що містяться в даному документі, такі програми не отримуватимуть відомостей про нову упроваджену групову політику. Перш ніж розгортати нові корпоративні програми, їх необхідно ретельно перевірити. При появі проблем потрібно переконатися, що програма не вносила змін в політики облікових записів, не створювала нових облікових записів користувачів, не змінювала права користувачів і не вносила інших змін до стандартної політики домену або політики локальних комп'ютерів.

2.1.2.2. Політики облікових записів


Політики облікових записів, що включають політику паролів, політику блокування облікового запису і параметри безпеки політики Kerberos, підходять тільки для політики домену у всіх трьох середовищах, що розглядаються в цьому посібнику. Політики паролів забезпечують установку складності і розклад змін для систем з високим рівнем безпеки. Політика блокування облікового запису дозволяє відстежувати невдалі спроби введення пароля для входу в систему, щоб у разі потреби здійснити блокування облікового запису. Політики Kerberos використовуються для облікових записів користувача домену. Вони визначають параметри, пов'язані з протоколом перевірки достовірності Kerberos, такі як час життя квитка і примусове застосування.
Достовірність (validity, adequacy) - властивість інформації бути правильно сприйнятою, ймовірність відсутності помилок, безсумнівна вірність наведених відомостей, які сприймає людина. Таким чином, достовірність - не те ж саме, що істинність.

2.1.2.3. Політика блокування облікового запису


Політика блокування облікового запису — це функція забезпечення безпеки операційної системи Windows Server 2003 з пакетом оновлення 1 (SP1), яка служить для блокування облікового запису користувача після здійснення декількох невдалих спроб входу в систему за певний проміжок часу. Кількість допустимих спроб і період блокування залежать від значень, заданих для політики. Windows Server 2003 з пакетом оновлення 1 (SP1) відстежує спроби входу в систему. Програмне забезпечення сервера може бути настроєне так, щоб відключати облікові записи після заданої кількості невдалих спроб входу в систему як реакція на можливі атаки.

2.1.2.3. Політики Kerberos


Політики Kerberos використовуються для облікових записів користувача домену. Дані політики визначають параметри, що мають відношення до протоколу перевірки достовірності Kerberos 5, такі як час життя квитка і примусове застосування. Політики Kerberos не входять в локальну політику комп'ютера. При скороченні часу життя квитків Kerberos зменшується і уразливість до атак зловмисників, які намагаються викрасти паролі, щоб скористатися обліковими записами справжніх користувачів.
Ді́лення (також діління́)- в математиці, бінарна операція, що обернена множенню.
Середній час життя або просто час життя - чисельна характеристика тривалості спонтанного розпаду нестабільних систем, час, протягом якого кількість таких систем зменшується в e разів (e - основа натуральних логарифмів).
Проте необхідність підтримувати ці політики веде за собою збільшення витрат на перевірку достовірності.

Для більшості середовищ не слід вносити зміни в стандартні значення даних політик. Оскільки параметри політик Kerberos включені в стандартну політику домену і здійснюються з її допомогою, вони не включаються в шаблони безпеки, що входять в сьогодення керівництві.


2.1.2.4. Параметри безпеки


Три типи політик облікових записів, розглянуті раніше в даному розділі, визначаються на рівні домену і здійснюються всіма контроллерами домену в домені. Контроллер домену отримує політику облікових записів від об'єкту GPO стандартної політики домену, навіть якщо до підрозділу, який містить контроллер домену, застосовується інша політика облікових записів.

Існує три параметри безпеки, які присутні у всіх політиках облікових записів. Дані параметри слід застосовувати на рівні всього домену, а не для окремих підрозділів. Ці параметри можна налаштувати в наступному розділі редактора об'єктів групової політики:



Конфігурація компьютера\ Конфігурація Windows\ Параметри безпеки\
Локальні політики\ Параметри безпеки

У таблиці нижче приводяться узагальнені відомості про параметри безпеки, що рекомендуються.

Редагува́ння - це приведення об'єкта редагування у відповідність із чинними у певний час у конкретному суспільстві нормами, а також його творча оптимізація, метою яких є отримання заданого соціального ефекту.
Додаткові відомості про кожен параметр приведені в підрозділах наступної таблиці.



Параметр

Середовище застарілих клієнтів

Середовище корпоративних клієнтів

Спеціальне безпечне середовище з обмеженою функціональністю

Сервер мережі Microsoft: Відключати клієнтів після закінчення дозволеного часу входу

Включений

Включений

Включений

Доступ до мережі: Дозволити трансляцію анонімного SID в ім'я

Відключений

Відключений

Відключений

Мережева безпека: примусовий вивід з сеансу після закінчення допустимих годин роботи

Включений

Включений

Включений

Таблиця 2.2. Параметри безпеки


1   2   3   4   5   6   7   8   9   ...   18



  • 2.1.2.1. Огляд політики домену
  • 2.1.2.2. Політики облікових записів
  • 2.1.2.3. Політика блокування облікового запису
  • 2.1.2.3. Політики Kerberos
  • 2.1.2.4. Параметри безпеки