Первая страница
Наша команда
Контакты
О нас

    Головна сторінка



N держреєстрації

N держреєстрації




Сторінка7/18
Дата конвертації10.03.2017
Розмір1.8 Mb.
1   2   3   4   5   6   7   8   9   10   ...   18

2.1.4. Базова політика контроллерів домену


Забезпечення безпеки серверної ролі контролера домену — одне з найважливіших завдань в будь-якому середовищі з комп'ютерами з Microsoft® Windows Server™ 2003 з пакетом оновлення 1 і службою каталогів Active Directory®.
Сертифікат (франц. certificat, від пізньолат. sertifico - засвідчую),
Будь-які збої в роботі контролера домену і порушення його захисту в такому середовищі можуть серйозно вплинути на функціонування клієнтських комп'ютерів, серверів і програм, які використовують контроллери домену для перевірки достовірності, реалізації групової політики і як центральний каталог LDAP.

Зважаючи на важливість контролерів домену їх завжди слід розміщувати у фізично захищених місцях, доступних тільки кваліфікованим співробітникам адміністративної служби. Якщо контроллери домену знаходяться в незахищених місцях, таких як філії компаній, налаштувавши деякі параметри безпеки, можна зменшити потенційний збиток від фізичних погроз.

На відміну від політик інших серверних ролей, які будуть описані пізніше, групова політика для серверної ролі контролера домену є базовою, як і базова політика рядових серверів, визначена в розділі 3 «Базова політика рядових серверів». Базова політика контроллерів домену пов'язана з підрозділом контролерів домену і має вищий пріоритет, ніж політика контролерів домену за умовчанням.

Пріоритет (рос. приоритет, англ. priority, нім. Priorität f) -
Параметри, що входять в базову політику контроллерів домену, дозволяють підвищити загальну безпеку всіх контролерів домену в будь-якому середовищі.

Базова політика контролерів домену мало чим відрізняється від базової політики рядових серверів.

Так, щоб повністю розібратися з багатьма параметрами базової політики контролерів домену, слід повторити матеріал, викладений в розділі 3 «Базова політика рядових серверів». У даному розділі описуються тільки ті параметри базової політики контролерів домену, які відрізняються від параметрів базової політики рядових серверів.

Шаблони контролерів домену спеціально розроблені для задоволення вимог, що пред'являються до безпеки в трьох середовищах, визначених в даному керівництві.

Задово́лення - позитивно забарвлена емоція, що супроводжує вдоволення однієї або кількох потреб. Антонімом задоволення є страждання й біль. Поняття задоволення в філософії Епікура ототожнене зі щастям.
У таблиці нижче вказані файли INF, що додаються до даного керівництва, для контролерів домену в середовищах застарілих клієнтів (LC), корпоративних клієнтів (ЄС) і спеціального безпечного середовища з обмеженою функціональністю (SSLF). Наприклад, файл шаблону безпеки для середовища корпоративних клієнтів називається EC-Domain Controller.inf.




Середовище застарілих клієнтів

Середовище корпоративних клієнтів

Спеціальне безпечне середовище з обмеженою функціональністю

LC-Domain Controller.inf

EC-Domain Controller.inf

SSLF-Domain Controller.inf

Таблиця 2.6. Базові шаблони безпеки контроллерів домену


2.1.4.1. Параметри політики аудиту


Параметри політики аудиту контролерів домену майже не відрізняються від параметрів базової політики рядових северов. Додаткові відомості див. в розділі 3 «Базова політика рядових серверів». Ці параметри в базовій політиці контролерів домену гарантують, що на контроллрах домену зберігатимуться всі необхідні відомості аудиту безпеки.

Параметр

Середовище застарілих клієнтів

Середовище корпоративних клієнтів

Спеціальне безпечне середовище з обмеженою функціональністю

Аудит доступу до служби каталогів

Немає аудиту

Немає аудиту

Відмова

Таблиця 2.7. Рекомендації по настройці параметрів політики аудиту


2.1.4.2. Параметри призначення прав користувача


У базовій політиці контролерів домену їм призначається ряд прав користувача. Деякі параметри прав користувача за умовчанням в ній змінені для підвищення безпеки контролерів домену у всіх трьох середовищах, визначених в даному керівництві.

У цьому розділі приводяться рекомендації по настройці прав користувача в базовій політиці контролерів домену для тих випадків, коли вона відрізняється від базової політики рядових серверів. Оглядові відомості про параметри, рекомендовані в цьому розділі, див. в робочій книзі Microsoft Excel® «Параметри безпеки Windows Server 2003».

У наступній таблиці приведені рекомендації по настройці прав користувача в базовій політиці контролерів домену. Додаткові відомості про кожен параметр приведені в підрозділах, наступних за таблицею.

Параметр

Середовище застарілих клієнтів

Середовище корпоративних клієнтів

Спеціальне безпечне середовище з обмеженою функціональністю

Доступ до комп'ютера з мережі

Не визначений

Не визначений

«Адміністратори», що «пройшли перевірку», «Контроллери домена підприємства»

Додавання робочих станцій до домену

Не визначений

Не визначений

«Адміністратори»

Локальний вхід в систему

«Адміністратори», «Оператори сервера», «Оператори архіву»

«Адміністратори», «Оператори сервера», «Оператори архіву»

«Адміністратори»

Дозволяти вхід в систему через службу терміналів

«Адміністратори»

«Адміністратори»

«Адміністратори»

Зміна системного часу

«Адміністратори», «ЛОКАЛЬНА СЛУЖБА»

«Адміністратори», «ЛОКАЛЬНА СЛУЖБА»

«Адміністратори», «ЛОКАЛЬНА СЛУЖБА»

Дозвіл довіри до облікових записів комп'ютерів і користувачів при делегуванні

Не визначений

Не визначений

«Адміністратори»

Завантаження і вивантаження драйверів пристроїв

«Адміністратори»

«Адміністратори»

«Адміністратори»

Відновлення файлів і каталогів

«Адміністратори»

«Адміністратори»

«Адміністратори»

Завершення роботи системи

«Адміністратори»

«Адміністратори»

«Адміністратори»

Таблиця 2.8. Рекомендації по настройці прав користувача


2.1.4.3. Параметри безпеки контролерів домену


Більшість параметрів безпеки контролерів домену не відрізняються від аналогічних параметрів в базовій політиці рядових серверів.
Аналог (від грец. analogos - відповідний): Об'єкт вивчення (явище, предмет, установка, схема чи пристрій), схожий (аналогічний) з певним об'єктом. Коли розв'язують техн. задачі, аналогія передбачає наявність певних однозначних співвідношень між характеристиками А.
Додаткові відомості див. в розділі 3 «Базова політика рядових серверів». Відмінності параметрів базової політики рядових серверів і базової політики контролерів домену описані в наступних розділах.

Параметри контролерів домену


Параметр

Середовище застарілих клієнтів

Середовище корпоративних клієнтів

Спеціальне безпечне середовище з обмеженою функціональністю

Дозволити операторам сервера задавати виконання завдань за розкладом

Відключений

Відключений

Відключений

Вимога цифрового підпису для LDAP-сервера

Не визначений

Не визначений

Потрібний цифровий підпис

Заборонити зміну пароля облікових записів комп'ютера

Відключений

Відключений

Відключений

Таблиця 2.9. Параметри безпеки: рекомендації по настройці параметрів контроллерів домену

Параметри мережевої безпеки


Параметр

Середовище застарілих клієнтів

Середовище корпоративних клієнтів

Спеціальне безпечне середовище з обмеженою функціональністю

Не зберігати хеш-значення LAN Manager при наступній зміні пароля

Включений

Включений

Включений

Таблиця 2.10. Параметри безпеки: рекомендації по настройці параметрів мережевої безпеки


2.1.4.4. Додаткові параметри безпеки


У цьому розділі описані зміни, які необхідно уручну внести до базової політики контролерів домену, а також додаткових параметрів і захисних заходів, які не можна реалізувати через групову політику.

Більшість прав користувача, контролерів домену, що призначаються за допомогою базової політики, настроєні в шаблонах безпеки, що додаються до даного керівництва. Проте деякі облікові записи і групи безпеки не можна включити в ці шаблони, оскільки їх ідентифікатори безпеки (SID) розрізняються для кожного домену Windows Server 2003. Права користувачів, яких слід налаштувати уручну, вказані в таблиці нижче.

Таблиця нижче містить значення для вбудованого облікового запису адміністратора. Не слід плутати цей обліковий запис з вбудованою групою безпеки Адміністратори. Якщо з якими-небудь з наступних прав заборони доступу, буде зіставлена група безпеки Адміністратори, для виправлення цієї помилки потрібно буде виконати локальний вхід в систему. Крім того, якщо вбудований обліковий запис адміністратора був перейменований відповідно до рекомендацій, приведених в розділі 3, при її зіставленні з наступними правами користувача потрібно переконатися в тому, що вибраний дійсно перейменований обліковий запис.

Параметр

Середовище застарілих клієнтів

Середовище корпоративних клієнтів

Спеціальне безпечне середовище з обмеженою функціональністю

Відмова в доступі до комп'ютера з мережі

Вбудований обліковий запис адміністратора, Support_388945a0

Обліковий запис гостя, всі облікові записи служб, що не відносяться до операційної системи



Вбудований обліковий запис адміністратора, Support_388945a0

Обліковий запис гостя, всі облікові записи служб, що не відносяться до операційної системи



Вбудований обліковий запис адміністратора, Support_388945a0

Обліковий запис гостя, всі облікові записи служб, що не відносяться до операційної системи



Відмова у вході в систему як пакетне завдання

Support_388945a0 і обліковий запис гостя

Support_388945a0 і обліковий запис гостя

Support_388945a0 і обліковий запис гостя

Заборонити вхід в систему через службу терміналів

Вбудований обліковий запис адміністратора; всі облікові записи служб, що не відносяться до операційної системи

Вбудований обліковий запис адміністратора; всі облікові записи служб, що не відносяться до операційної системи

Вбудований обліковий запис адміністратора; всі облікові записи служб, що не відносяться до операційної системи

Таблиця 2.11. Права користувача, що призначаються уручну


2.1.4.5. Створення політики за допомогою майстра настройки безпеки


Для розгортання необхідних параметрів безпеки потрібно створити базову політику контроллерів домену за допомогою майстра настройки безпеки і шаблонів безпеки, що додаються до версії даного керівництва, яку можна завантажити з Інтернету.

При створенні власної політики пропустіть розділи «Параметри реєстру» і «Політика аудиту».

Відповідні параметри політики будуть узяті з шаблонів безпеки для вибраного середовища. Такий спосіб настройки гарантує, що елементи політики, що містяться в шаблонах, матимуть вищий пріоритет в порівнянні з елементами, заданими за допомогою майстра настройки безпеки.

Всі настройки слід виконувати на комп'ютері із знов встановленою операційною системою, щоб уникнути перенесення застарілих параметрів або програм з колишніх конфігурацій. При нагоді, слід встановити операційну систему на комп'ютер, устаткування якого відповідає тому, що використався для впровадження, щоб забезпечити максимальну сумісність.

Перене́сення, або Енжамбема́н (фр. enjambement) - віршовий прийом, який полягає у перенесенні фрази або частини слова з попереднього рядка у наступний, зумовлений незбіжністю ритмічної паузи зі смисловою, хоч рядок при цьому втрачає свою інтонаційну викінченість.
Сумісність (в стандартизації) - властивість об'єкта (процесу, системи) вступати у взаємодію з іншими об'єктами (процесами, системами), при цьому об'єкти (процеси, системи) не повною мірою виключають прояв один одного.
Комп'ютер з наново встановленою операційною системою називається контрольним комп'ютером.

Для створення базової політики контролерів домену необхідно використовувати комп'ютер, настроєний як контролер домену. Можна використовувати існуючий контролер домену або створити комп'ютер-зразок і зробити його контролером домену за допомогою засобу Dcpromo. Проте більшість організацій вважають за краще не додавати контролер домену в робоче середовище, тому що це може порушити політику безпеки. Якщо ухвалено рішення використовувати існуючий контролер домену, не варто застосовувати до нього ніяких параметрів за допомогою майстра настройки безпеки і не змінювати його конфігурацію.

Після створення і збереження політики, настійно рекомендується розвернути її в тестовому середовищі. У ідеалі тестові сервери повинні мати таке ж устаткування і програмне забезпечення, як і робочі сервери. Це дозволить виявити і усунути можливі проблеми, наприклад присутність непередбачених служб, що зажадалися певними пристроями.

Для тестування політики використовуються два способи. Можна скористатися вбудованими функціями розгортання майстра настройки безпеки або розвернути політики за допомогою об'єкту групової політики.

Приступаючи до створення політик, слід розглянути можливість використання вбудованих засобів розгортання майстра настройки безпеки. Примусово відправити політику на окремий сервер можна за допомогою майстра настройки безпеки, для групи серверів можна використовувати засіб Scwcmd. Вбудований метод розгортання робить можливим відкат застосованих політик за допомогою майстра настройки безпеки. Дана функція може бути дуже корисна при внесенні множинних змін в політики в ході тестування.

Мета тестування політик — упевнитися, що застосування тієї або іншої політики до серверів не вплине негативно на їх основні функції. Після застосування настройок слід перевірити базові можливості комп'ютера. Наприклад, якщо сервер настроєний як центр сертифікації, слід упевнитися, що клієнти зможуть запрошувати і завантажувати сертифікати, списки відгуку сертифікатів і так далі

1   2   3   4   5   6   7   8   9   10   ...   18



  • 2.1.4.1. Параметри політики аудиту
  • 2.1.4.2. Параметри призначення прав користувача
  • 2.1.4.3. Параметри безпеки контролерів домену
  • 2.1.4.4. Додаткові параметри безпеки
  • 2.1.4.5. Створення політики за допомогою майстра настройки безпеки