Первая страница
Наша команда
Контакты
О нас

    Головна сторінка



Реферат звіт по проекту: 68 стор., 28 джерел, додатків

Реферат звіт по проекту: 68 стор., 28 джерел, додатків




Сторінка12/18
Дата конвертації10.03.2017
Розмір1.79 Mb.
ТипРеферат
1   ...   8   9   10   11   12   13   14   15   ...   18

2.1.9. Роль сервера служб сертифікації


У даному розділі приведені рекомендації по зміцненню безпеки серверів під управлінням Microsoft® Windows Server™ 2003 з пакетом оновлення 1 (SP1), на яких працюють служби сертифікації Майкрософт. Розділ містить всі необхідні відомості по забезпеченню безпеки серверів такого типу. Проте в ній не описані ні способи створення захищеної інфраструктури служб сертифікації, ні процес розгортання центрів сертифікації. Ці питання детально розглядаються в документації по Windows Server 2003. Відомості по даних питаннях можна знайти також в пакеті Windows Server 2003 Resource Kit і в документах на веб-вузлі Майкрософт.

Додаткові відомості див. в керівництві: Защита беспроводных сетей с помощью служб сертификации за адресою http://go.microsoft.com/fwlink/?LinkId=14843 (англійською мовою).

Параметри, описані в даному розділі, настроюються і застосовуються за допомогою групової політики. Об'єкт групової політики (GPO), доповнюючий базову політику рядових серверів (MSBP), можна пов'язати з підрозділами, що використовують сервери центрів сертифікації, для виконання необхідних змін параметрів безпеці для даної ролі сервера. У даному розділі розглядаються параметри політик, що відрізняються від параметрів базової політики рядових серверів.

Такі параметри зібрані в додатковому шаблоні групової політики, вживаному до підрозділів, що використовують сервери центрів сертифікації. Деякі з описуваних в цьому розділі параметрів не можна застосувати за допомогою групової політики. Для цих параметрів приведені докладні відомості по їх настройці уручну.

Ім'я файлу шаблону безпеки для сервера центру сертифікації в середовищі ЄС — EC-CA Server.inf. Це додатковий шаблон сервера центру сертифікації. Він застосовується при створенні об'єкту групової політики, пов'язаного з підрозділами, що використовують сервери центрів сертифікації в даному середовищі. Покрокові інструкції, що описують створення підрозділів і групових політик, приведені в розділі 1 «Способи зміцнення безпеки Windows Server 2003». В розділі також містяться інструкції по імпорту шаблонів безпеки в кожен об'єкт групової політики.

Можна встановити служби Microsoft IIS на деяких з серверів служб сертифікації з метою розповсюдження цими серверами сертифікатів і списків відгуку сертифікатів. Служби IIS використовуються також для розміщення веб-сторінок заявок на сертифікат, що дозволяє клієнтам, відмінним від Microsoft Windows®, подавати заявки на сертифікати.

. У спрощених середовищах сервер видаючого центру сертифікації може використовуватися для розміщення веб-сервера і видачі сертифікатів, а також служити центром завантаження списків відгуку сертифікатів. Проте для зміцнення безпеки центрів сертифікації рекомендується використовувати окремий веб-сервер у власному середовищі.

Служби IIS використовуються для розміщення сторінок заявок на сертифікат, а також для розповсюдження сертифікатів і завантаження списків відгуку сертифікатів для клієнтів, відмінних від Windows. Корпорація Майкрософт не рекомендує установку служб IIS на сервер кореневого центру сертифікації. По можливості не слід встановлювати служби IIS на сервери видаючих і проміжних центрів сертифікації. Безпечніше розмістити веб-центри завантаження сертифікатів і списки відгуку сертифікатів на окремому сервері, чим на сервері центру сертифікації. Не обов'язково вирішувати доступ до центру сертифікації користувачам, як внутрішнім, так і зовнішнім, одержуючим списки відгуку сертифікатів і зведення про ланцюжки сертифікатів. Проте не можна заборонити користувачам доступ до сервера центру сертифікації у випадку, якщо на нім розміщений центр завантаження.

Для настройки необхідних параметрів безпеки при створенні політики сервера слід використовувати як майстер настройки безпеки (SCW), так і шаблони безпеки.

При створенні власної політики потрібно пропустити розділи «Параметри реєстру» і «Політика аудиту». Відповідні параметри будуть узяті з шаблонів безпеки для вибраного середовища. Такий спосіб настройки гарантує, що елементи політики, що містяться в шаблонах, матимуть вищий пріоритет в порівнянні з елементами, заданими за допомогою майстра настройки безпеки.

Всі настройки слід виконувати на комп'ютері із знов встановленою операційною системою, щоб уникнути перенесення застарілих параметрів або програм з колишніх конфігурацій. Для забезпечення максимальної сумісності бажано використовувати устаткування, аналогічне тому, яке застосовуватиметься при розгортанні. Комп'ютер з наново встановленою операційною системою називається контрольним комп'ютером.

Під час створення політики сервера із списку виявлених ролей можна видалити роль файлового сервера. Ця роль часто буває настроєна на серверах, де вона не потрібна, і може представляти загрозу безпеці. Якщо на сервері потрібна роль файлового сервера, її можна включити при настройці іншої політики, описаної нижче.



Для створення політики сервера служб сертифікації необхідно:

  1. Встановити систему Windows Server 2003 з пакетом оновлення 1 (SP1) на новий контрольний комп'ютер.

  2. Встановити на комп'ютер майстер настройки безпеки. Відкрити для цього панель управління, двічі клацнути значок «Установка і видалення програм» і вибрати варіант «Установка компонентів Windows».

  3. Підключити комп'ютер до домену, який виконає застосування всіх параметрів безпеки батьківських підрозділів.

  4. Встановити і налаштувати тільки обов'язкові програми, які будуть встановлені на всі сервери, що виконують дану роль. Прикладами можуть служити служби, визначувані роллю, агенти програмного забезпечення і управління, агенти зовнішніх сховищ, а також антивірусні і антишпигунські програми.

  5. Запустити графічний інтерфейс користувача майстра настройки безпеки, вибрати пункт Створити нову політику і вказати контрольний комп'ютер.

  6. Переконатися в тому, що виявлені ролі сервера (наприклад, роль сервера служб сертифікації) підходять для даного середовища.

  7. Переконатися в тому, що виявлені функції клієнта підходять для середовища.

  8. Переконатися в тому, що виявлені адміністративні можливості підходять для середовища.

  9. Переконатися в тому, що знайдені всі додаткові служби, необхідні для виконання базових функцій, наприклад агенти зовнішніх сховищ і антивірусні програми.

  10. Визначити порядок роботи із службами, які не були вказані при створенні політики. Для забезпечення додаткової безпеки можна встановити цей параметр політики в значення Відключений. Перш ніж розгортати конфігурацію в робочій мережі, її необхідно протестувати, оскільки можуть виникнути проблеми, якщо на робочих серверах запущені додаткові служби, не продубльовані на контрольному комп'ютері.

  11. Переконатися в тому, що в розділі «Безпека мережі» знятий прапорець Пропустити цей розділ, потім натиснути кнопку Далі. Відповідні порти і програми, визначені раніше, настроюються як виключення брандмауера Windows.

  12. У розділі «Параметри реєстру» встановити прапорець Пропустити цей розділ і натиснути кнопку Далі. Дані параметри політики імпортуються з файлу, що додається, з розширенням INF.

  13. У розділі «Політика аудиту» встановити прапорець Пропустити цей розділ і натиснути кнопку Далі. Дані параметри політики імпортуються з файлу, що додається, з розширенням INF.

  14. Вибрати відповідний шаблон безпеки (наприклад, EC-CA Server.inf).

  15. Зберегти політику у файлі з відповідним ім'ям (наприклад, Certificate Services.xml).
1   ...   8   9   10   11   12   13   14   15   ...   18



  • Створити нову політику
  • Пропустити цей розділ