Первая страница
Наша команда
Контакты
О нас

    Головна сторінкаБазова політика рядових серверів

Базова політика рядових серверів
Сторінка6/18
Дата конвертації10.03.2017
Розмір1.8 Mb.
1   2   3   4   5   6   7   8   9   ...   18

2.1.3. Базова політика рядових серверів


У цьому розділі описані вимоги до конфігурації системи, які необхідно виконати, щоб можна було управляти базовим шаблоном безпеки для всіх серверів з Microsoft® Windows Server™ 2003

Параметри безпеки описуються в цьому розділі в контексті трьох наступних середовищ: • Середовище застарілих клієнтів (LC). Це середовище включає комп'ютери під управлінням систем Windows NT® 4.0 і Microsoft Windows® 98, які іноді називають успадкованими операційними системами. Це середовище забезпечує прийнятний рівень безпеки, але з трьох середовищ, що описуються в цьому керівництві, вона захищена найменш надійно. Для забезпечення надійнішого захисту організації можуть замінити це середовище захищенішим середовищем корпоративних клієнтів. Окрім згаданих успадкованих операційних систем середовище застарілих клієнтів включає робочі станції під управлінням систем Windows 2000 Professional і Windows XP Professional. Контроллери домену в цьому середовищі працюють тільки під управлінням Windows 2000 або Windows Server 2003. Контроллери домену під управлінням Windows NT 4.0 в цьому середовищі відсутні, але рядові сервери можуть працювати під управлінням системи Windows NT.

 • Середовище корпоративних клієнтів (ЄС). Це середовище забезпечує високий рівень безпеки і розроблена для новіших версій операційних систем Windows. Середовище корпоративних клієнтів включає клієнтські комп'ютери під управлінням систем Windows 2000 Professional і Windows XP Professional. Основна частина роботи по міграції з середовища застарілих клієнтів в середу корпоративних клієнтів зводиться до оновлення успадкованих клієнтів, наприклад комп'ютерів під управлінням Windows 98 і Windows NT 4.0 Workstation, до Windows 2000 або Windows XP. Всі контроллери домену і рядові сервери в цьому середовищі працюють під управлінням системи Windows 2000 Server або Windows Server 2003.

 • Спеціальне безпечне середовище з обмеженою функціональністю (SSLF). Це середовище забезпечує набагато вищий рівень безпеки, чим середовище корпоративних клієнтів. Для міграції з середовища корпоративних клієнтів в спеціальне безпечне середовище з обмеженою функціональністю необхідно забезпечити дотримання строгих політик безпеки на клієнтських комп'ютерах і серверах. Це середовище включає клієнтські комп'ютери з Windows 2000 Professional і Windows XP Professional і контроллери домену з Windows 2000 Server або Windows Server 2003. У середовищі SSLF настільки строгі вимоги до безпеки, що значне обмеження функціональності і керованості клієнтів вважається прийнятною платою за досягнення високого рівня безпеки. Рядові сервери в цьому середовищі працюють під управлінням системи Windows 2000 Server або Windows Server 2003.

Організації, що прагнуть поетапно підвищити безпеку своїх середовищ, можуть почати з рівня середовища застарілих клієнтів, а потім поступово розгортати захищеніші середовища у міру оновлення програм і клієнтських комп'ютерів і їх тестування із строгішими параметрами безпеки.
Тестування застосовується для визначення відповідності предмета випробування заданим специфікаціям. До завдань тестування не належить визначення причин невідповідності заданим вимогам (специфікаціям). Тестування - один з розділів діагностики.

На наступному малюнку показано, як шаблони безпеки (файли INF) використовуються як основа базової політики рядових серверів (MSBP) в середовищі корпоративних клієнтів. Крім того, цей малюнок пояснює один з можливих способів зв'язку цієї політики зі всіма серверами в організації.Мал. 2.1. Шаблон безпеки EC-Member Server

Baseline.inf імпортується в базову політику рядових серверів, яка потім зв'язується з підрозділом рядових серверів

2.1.3.1. Базова політика Windows Server 2003


Параметри рівня підрозділу рядових серверів визначають загальні параметри для всіх ролей рядових серверів, що описуються в даному керівництві.
Імпорт - ввезення товарів, послуг (іноді може вживатися щодо капіталу, знань, технологій)
Для застосування цих параметрів можна створити об'єкт групової політики, пов'язаний з підрозділом рядових серверів, який називається базовою політикою. Цей об'єкт групової політики автоматизує настройку конкретних параметрів безпеки на кожному сервері. Для цього потрібно буде перемістити серверні облікові записи у відповідні підрозділи, дочірні по відношенню до підрозділу рядових серверів, з урахуванням кожної ролі сервера.

Наступні параметри описані відповідно до їх уявлення в призначеному для користувача інтерфейсі редактора конфігурацій безпеки консолі MMC (Microsoft Management Console).


2.1.3.2. Політика аудиту


Адміністраторам слід створити політику аудиту, що визначає вміст звітів про події безпеки і реєструючу дії користувачів або комп'ютерів, що відносяться до вказаних категорій подій. Адміністратори можуть стежити за діями, що мають відношення до безпеки, такими як доступ до об'єктів, вхід в систему і вихід з неї і зміну параметрів політики аудиту.

Перед реалізацією політики аудиту потрібно вирішити, для яких категорій подій слід виконувати аудит. Від параметрів аудиту, заданих адміністратором для категорій подій, залежить політика аудиту організації. Якщо параметри аудиту для конкретних категорій подій визначені, адміністратори можуть створити політику аудиту, відповідну вимогам організації.

Якщо політика аудиту не задана, визначити, що відбулося при інциденті у сфері безпеки, буде складне або неможливе. Якщо ж набудувати параметри аудиту так, щоб події реєструвалися при багатьох санкціонованих діях, журнал безпеки може бути заповнений даремними даними. Приведені нижче рекомендації і описи параметрів допомагають визначити, що саме слід відстежувати, щоб збирати дані, які мають значення.

Журнали збоїв часто виявляються більш інформативними, ніж журнали успішного виконання операцій, тому що збої зазвичай свідчать про помилки. Наприклад, успішний вхід користувача в систему зазвичай вважається нормальним розвитком подій. Якщо хтось безуспішно намагається кілька разів увійти до системи, це може бути ознакою використання чужих облікових даних. Події, що відбуваються на комп'ютері, реєструються в журналах подій. У операційних системах Microsoft Windows немає окремих журналів подій для програм, подій безпеки і системних подій. Події аудиту реєструються в журналі безпеки. Контейнер журналу подій групової політики використовується для визначення атрибутів, що відносяться до журналів подій програм, безпеки і системи, таких як максимальний розмір журналу, права доступу для кожного журналу, а також параметри і методи збереження.

У таблиці нижче приведені рекомендації по настройці параметрів політики аудиту для всіх трьох середовищ, визначених в даному керівництві. Можна відмітити, що в більшості випадків параметри однакові для всіх середовищ. Додаткові відомості про кожен параметр приведені в підрозділах, наступних за таблицею.

Параметр

Середовище застарілих клієнтів

Середовище корпоративних клієнтів

Спеціальне безпечне середовище з обмеженою функціональністю

Аудит подій входу облікових записів в систему

Успіх

Успіх

Успіх, відмова

Аудит управління обліковими записами

Успіх

Успіх

Успіх, відмова

Аудит подій входу в систему

Успіх

Успіх

Успіх, відмова

Аудит доступу до об'єктів

Немає аудиту

Немає аудиту

Відмова

Аудит зміни політики

Успіх

Успіх

Успіх

Аудит використання привілеїв

Немає аудиту

Немає аудиту

Відмова

Аудит відстежування процесів

Немає аудиту

Немає аудиту

Немає аудиту

Аудит системних подій

Успіх

Успіх

Успіх

Таблиця 2.3. Параметри політики аудиту


2.1.3.3. Призначення прав користувача


Функція призначення прав користувача дозволяє надавати користувачам права входу в систему або привілеї на комп'ютерах в організації. Як приклад права входу в систему можна привести право на інтерактивний вхід в систему. Прикладом привілею може служити право на виключення комп'ютера. І права входу в систему, і привілеї призначаються адміністраторами окремим користувачам або групам при настройці параметрів безпеки комп'ютера.

У даному розділі описані рекомендовані настройки параметрів призначення прав користувача в базових політиках рядових серверів для всіх трьох середовищ, визначених в даному керівництві. Оглядові відомості про настройки, рекомендовані в цьому розділі, див. в робочій книзі Microsoft Excel «Параметри безпеки Windows Server 2003», що додається до версії даного керівництва, яку можна завантажити з Інтернету.

Microsoft Excel (повна назва Microsoft Office Excel) - табличний процесор, програма для роботи з електронними таблицями, створена корпорацією Microsoft для Microsoft Windows, Windows NT і Mac OS. Програма входить до складу офісного пакету Microsoft Office.
Відомості про параметри за умовчанням і докладний опис кожного параметра, що згадується в цьому розділі, див. в додатковому керівництві Загрози і міри протидії: параметри безпеки в Windows Server 2003 і Windows XP.У наступній таблиці приведені рекомендації за призначенням прав користувача для всіх трьох середовищ, визначених в даному керівництві. Додаткові відомості про кожен параметр приведені в підрозділах, наступних за таблицею.

Параметр

Середовище застарілих клієнтів

Середовище корпоративних клієнтів

Спеціальне безпечне середовище з обмеженою функціональністю

Доступ до комп'ютера з мережі

Не визначений

Не визначений

«Адміністратори», що «Пройшли перевірку», «КОНТРОЛЛЕРИ ДОМЕНА ПІДПРИЄМСТВА»

Робота з правами елементу операційної системи.

Не визначений

Не визначений

Ніхто

Настройка квот пам'яті для процесу

Не визначений

Не визначений

«Адміністратори», «МЕРЕЖЕВА СЛУЖБА», «ЛОКАЛЬНА СЛУЖБА»

Локальний вхід в систему

«Адміністратори», «Оператори архіву», «Досвідчені користувачі»

«Адміністратори», «Оператори архіву», «Досвідчені користувачі»

«Адміністратори»

Дозволити вхід в систему через службу терміналів

«Адміністратори», «Користувачі віддаленого робочого столу»

«Адміністратори», «Користувачі віддаленого робочого столу»

«Адміністратори»

Архівація файлів і каталогів

Не визначений

Не визначений

«Адміністратори»

Обхід перехресної перевірки

Не визначений

Не визначений

«Що пройшли перевірку»

Зміна системного часу

Не визначений

Не визначений

«Адміністратори»,
«ЛОКАЛЬНА СЛУЖБА»

Створення файлу підкачки

Не визначений

Не визначений

«Адміністратори»

Створення маркерного об'єкту

Не визначений

Не визначений

Ніхто

Створення глобальних об'єктів

Не визначений

Не визначений

«Адміністратори», «СЛУЖБА»

Створення постійних загальних об'єктів

Не визначений

Не визначений

Ніхто

Відладка програм

Не визначений

«Адміністратори»

Ніхто

Відмова в доступі до комп'ютера з мережі

«Анонімний вхід», «Гості», Support_388945a0, всі облікові записи служб, що не відносяться до операційної системи

«Анонімний вхід», «Гості», Support_388945a0, всі облікові записи служб, що не відносяться до операційної системи

«Анонімний вхід», «Гості», Support_388945a0, всі облікові записи служб, що не відносяться до операційної системи

Відмова у вході як пакетне завдання

«Гості», Support_388945a0

«Гості», Support_388945a0

«Гості», Support_388945a0

Відмовити у вході як служба

Не визначений

Не визначений

Ніхто

Відхилити локальний вхід

Не визначений

Не визначений

«Гості», Support_388945a0

Заборонити вхід в систему через службу терміналів

«Гості»

«Гості»

«Гості»

Дозвіл довіри до облікових записів комп'ютерів і користувачів при делегуванні

Не визначений

Не визначений

«Адміністратори»

Примусове видалене завершення роботи

Не визначений

Не визначений

«Адміністратори»

Створення аудитів безпеки

Не визначений

Не визначений

«МЕРЕЖЕВА СЛУЖБА», «ЛОКАЛЬНА СЛУЖБА»

Втілювати клієнт після перевірки достовірності

Не визначений

Не визначений

«Адміністратори», «СЛУЖБА»

Збільшення пріоритету виконання

Не визначений

Не визначений

«Адміністратори»

Завантаження і вивантаження драйверів пристроїв

Не визначений

Не визначений

«Адміністратори»

Блокування сторінок в пам'яті

Не визначений

Не визначений

Ніхто

Вхід в систему як пакетне завдання

Не визначений

Не визначений

Не визначений

Вхід як служба

Не визначений

Не визначений

«МЕРЕЖЕВА СЛУЖБА»

Управління аудитом і журналом безпеки

Не визначений

Не визначений

«Адміністратори»

Зміна параметрів середовища виготівника

Не визначений

Не визначений

«Адміністратори»

Виконання завдань по обслуговуванню томів

Не визначений

Не визначений

«Адміністратори»

Профілізація окремого процесу

Не визначений

Не визначений

«Адміністратори»

Профілізація продуктивності системи

Не визначений

Не визначений

«Адміністратори»

Відключення комп'ютера від стикувального вузла

Не визначений

Не визначений

«Адміністратори»

Заміна маркера рівня процесу

Не визначений

Не визначений

«ЛОКАЛЬНА СЛУЖБА», «МЕРЕЖЕВА СЛУЖБА»

Відновлення файлів і каталогів

Не визначений

Не визначений

«Адміністратори»

Завершення роботи системи

Не визначений

Не визначений

«Адміністратори»

Синхронізація даних служби каталогів

Не визначений

Не визначений

Ніхто

Зміна власників файлів і інших об'єктів

Не визначений

Не визначений

«Адміністратори»

Таблиця 2.4. Рекомендації по призначенню прав користувача2.1.3.4 . Параметри безпеки


Параметри безпеки групової політики використовуються для включення і відключення таких функцій, як доступ до дисководів гнучких дисків і компакт-дисків і відображення повідомлень при вході в систему. Ці параметри політики також використовуються для настройки безлічі інших параметрів, таких як параметри цифрового підпису даних, імена облікових записів адміністратора і гостя і процес установки драйверів.
Дисковід або дисково́д (англ. disk drive) - контролер зовнішніх запам'ятовуючих пристроїв, комп'ютерний пристрій управління введенням-виведенням інформації (даних) для записування-зчитування на змінні диски, важливий різновид комп'ютерних накопичувачів.
Гнучкий диск також Дискета, Гнучкий магнітний диск чи Флоппі Диск (англ. Floppy disk) - портативний носій інформації, який використовується для багаторазового запису та зберігання даних, що являє собою поміщений в захисний пластиковий корпус (диск діаметром 3½ має жорсткіший футляр, ніж диск діаметром 5¼) гнучкий магнітний диск, покритий феромагнітним шаром.
Електро́нний цифрови́й пі́дпис (ЕЦП) (англ. digital signature) - вид електронного підпису, отриманого за результатом криптографічного перетворення набору електронних даних, який додається до цього набору або логічно з ним поєднується і дає змогу підтвердити його цілісність та ідентифікувати підписувача.

У наступних розділах описані рекомендовані настройки параметрів безпеки в базових політиках рядових серверів для всіх трьох середовищ, визначених в даному керівництві. Оглядові відомості про рекомендовані настройки див. в робочій книзі Microsoft Excel «Параметри безпеки Windows Server 2003», що додається до версії даного керівництва, яку можна завантажити з Інтернету. Відомості про конфігурацію за умовчанням і докладний опис кожного параметра див. в додатковому керівництві Загрози і міри протидії: параметри безпеки в Windows Server 2003 і Windows XP.


2.1.3.5. Групи з обмеженим доступом


Групи з обмеженим доступом дозволяють управляти членством в групах з допомогою політик і запобігати умисному або випадковому використанню груп з правами користувача, що надають широкі можливості. При визначенні груп, для яких слід обмежити доступ, перш за все потрібно проаналізувати вимоги організації.

У всіх трьох середовищах, визначених в даному керівництві, групи Оператори архіву і Досвідчені користувачі є групами з обмеженим доступом. Хоча члени груп Оператори архіву і Досвідчені користувачі мають більш обмежені права, ніж члени групи Адміністратори, ці права все ж таки надають широкі можливості.

Якщо в організації використовуються які-небудь з цих груп, слід ретельно контролювати членство в них і відмовитися від виконання рекомендацій по настройці груп з обмеженим доступом. Якщо організація додає користувачів в групу «Досвідчені користувачі», можна використовувати необов'язкові дозволи на роботу з файловою системою, описані в наступному розділі, «Захист файлової системи».

Адміністратори можуть настроювати групи з обмеженим доступом, додаючи потрібні групи безпосередньо в базову політику рядових серверів. Якщо для групи обмежений доступ, можна визначити її члени і будь-які інші групи, до яких вона відноситься. Якщо члени групи не вказані, доступ для групи залишається повністю обмеженим.


2.1.3.6. Захист файлової системи


Файлова система NTFS удосконалювалася з кожним випуском нової системи Microsoft Windows, і дозволи на роботу з нею, що діють за умовчанням, відповідають вимогам більшості організацій. Параметри, що описуються в цьому розділі, є необов'язковими і орієнтовані на організації, які не використовують групи з обмеженим

В більшості випадків дозволи на роботу з файлами, що діють за умовчанням в системі Windows Server 2003 з пакетом оновлення 1, змінювати не потрібно. Проте якщо в організації не планується блокувати членство групи Досвідчені користувачі за допомогою функції груп з обмеженим доступом або передбачається включити параметр Доступ до мережі: дозволити застосування дозволів для всіх до анонімних користувачів, можна використовувати необов'язкові дозволи абзаці.

Анонім (від грец. anonimos - безіменний): Автор листа, повідомлення, твору, який зумисно приховує своє ім'я. Твір без зазначення імені автора.
Вони дуже специфічні і накладають додаткові обмеження на роботу з деякими засобами, які зловмисник з підвищеними привілеями може використовувати для подальшого проведення атак на комп'ютер або мережу.


2.1.3.7. Додаткові параметри безпеки


Хоча більшість описаних в цьому керівництві мір по посиленню захисту базових серверів засновані на використанні групової політики, деякі параметри складно або неможливо задати за допомогою групової політики. Докладний опис всіх мір протидії, згаданих в цьому розділі, див. додатковому керівництві Угрозы и меры противодействия: параметры безопасности в Windows Server 2003 и Windows XP, яке доступне за адресою http://go.microsoft.com/fwlink/?LinkId=15159.

У цьому розділі розказано про те, як для кожного середовища безпеки, визначеної в даному керівництві, уручну реалізувати деякі додаткові заходи забезпечення безпеки (такі як захист облікових записів).

Більшість рекомендованих груп безпеки для призначення прав користувача настроєні в шаблонах безпеки, що додаються до даного керівництва. Проте деякі права неможливо включити в шаблони безпеки, тому що ідентифікатори безпеки конкретних груп безпеки унікальні для різних доменів Windows Server 2003. Проблема полягає в тому, що відносний ідентифікатор (RID), який є частиною ідентифікатора безпеки, унікальний.

Ідентифіка́тор (identifier) - 1. Ознака, яка служить для ідентифікації особи чи предмета, що розпізнається. // Захисна ознака для встановлення справжності банкноти чи цінного папера.
Ці права вказані в наступній таблиці.

Наступна таблиця включає параметри, що задаються для вбудованого облікового запису адміністратора. Це вбудований обліковий запис користувача, а не група безпеки Адміністратори. Якщо з якими-небудь з наступних прав, що відмовляють у виконанні тих або інших дій, буде зіставлена група безпеки Адміністратори, для виправлення цієї помилки потрібно буде виконати локальний вхід в систему. Слід також відзначити, що вбудований обліковий запис адміністратора може мати інше ім'я, якщо вона була перейменована відповідно до даної раніше ради. При зіставленні цього облікового запису з будь-якими з наступних прав користувача потрібно переконатися в тому, що вибраний перейменований обліковий запис адміністратора.
Назва параметра в призначеному для користувача інтерфейсі

Середовище застарілих клієнтів

Середовище корпоративних клієнтів

Середовище спеціалізованої безпеки з обмеженою функціональністю

Відмова в доступі до комп'ютера з мережі

Вбудований обліковий запис адміністратора; Support_388945a0;

«Гість»; всі облікові записи служб не операційної системиВбудований обліковий запис адміністратора; Support_388945a0;

«Гість»; всі облікові записи служб не операційної системиВбудований обліковий запис адміністратора; Support_388945a0;

«Гість»; всі облікові записи служб не операційної системиВідмова у вході як пакетне завдання

Support_388945a0 і «Гість»

Support_388945a0 і «Гість»

Support_388945a0 і «Гість»

Заборонити вхід в систему через службу терміналів

Вбудований обліковий запис адміністратора; «Гості»; Support_388945a0; «Гість»; всі облікові записи служб не операційної системи

Вбудований обліковий запис адміністратора; «Гості»; Support_388945a0; «Гість»; всі облікові записи служб не операційної системи

Вбудований обліковий запис адміністратора; «Гості»; Support_388945a0; «Гість»; всі облікові записи служб не операційної системи

Таблиця 2.5. Права користувача, що призначаються вручну


2.1.3.8. Перевірка політики за допомогою майстра настройки безпеки


Після створення і збереження політики, настійно рекомендується розвернути її в тестовому середовищі. У ідеалі тестові сервери повинні включати те ж устаткування і конфігурацію програмного забезпечення, що і робочі сервери. Це дозволить виявити і усунути можливі проблеми, наприклад присутність непередбачених служб, що зажадалися певними пристроями.

Для тестування політики використовуються два способи. Можна скористатися вбудованими функціями розгортання майстра настройки безпеки або розвернути політики за допомогою об'єкту групової політики.

Приступаючи до створення політик, слід розглянути можливість використання вбудованих засобів розгортання майстра настройки безпеки. Примусово відправити політику на окремий сервер можна за допомогою майстра настройки безпеки, для групи серверів можна використовувати засіб Scwcmd. Вбудований метод розгортання робить можливим відкіт застосованих політик за допомогою майстра настройки безпеки. Дана функція може бути дуже корисна при внесенні множинних змін в політики в ході тестування.

Мета тестування політик — упевнитися, що застосування тієї або іншої політики до серверів не вплине негативно на їх основні функції. Після застосування настройок, слід перевірити базову функціональність комп'ютера.

Функціоналі́зм - архітектурний напрям, різновид раціоналізму, що виник у 1920-х роках у Німеччині. Основні вимоги функціоналізму: обумовленість зовнішнього виду будівлі її конструкцією і внутрішнім плануванням, які, у свою чергу, визначаються її практичним призначенням (функцією).
Наприклад, якщо сервер настроєний як центр сертифікації, слід упевнитися, що клієнти зможуть запрошувати і завантажувати сертифікати, списки відгуку сертифікатів і так далі1   2   3   4   5   6   7   8   9   ...   18 • 2.1.3.1. Базова політика Windows Server 2003
 • 2.1.3.2. Політика аудиту
 • 2.1.3.3. Призначення прав користувача
 • 2.1.3.4 . Параметри безпеки
 • 2.1.3.5. Групи з обмеженим доступом
 • 2.1.3.6. Захист файлової системи
 • 2.1.3.7. Додаткові параметри безпеки
 • 2.1.3.8. Перевірка політики за допомогою майстра настройки безпеки