Первая страница
Наша команда
Контакты
О нас

    Головна сторінка



Реферат звіт по проекту: 68 стор., 28 джерел, додатків

Реферат звіт по проекту: 68 стор., 28 джерел, додатків




Сторінка4/18
Дата конвертації10.03.2017
Розмір1.79 Mb.
ТипРеферат
1   2   3   4   5   6   7   8   9   ...   18

РОЗДІЛ 2. ЗАХИСТ СЕРВЕРІВ


2.1. Захист Windows Server 2003

2.1.1. Механізми зміцнення безпеки Windows Server 2003


Пакет оновлення 1 (SP1) операційної системи Windows Server 2003 містить майстер настройки безпеки — новий засіб, заснований на використанні ролей, дозволяє забезпечити додаткову безпеку серверів. При використанні спільно з об'єктами групової політики майстер настройки безпеки забезпечує додаткову гнучкість, керованість і узгодженість процесу зміцнення безпеки.

2.1.1.1. Зміцнення безпеки за допомогою майстра настройки безпеки


Майстер настройки безпеки призначений для забезпечення гнучкого покрокового зменшення кількості вразливих місць серверів з Windows Server 2003 з пакетом оновлення 1 (SP1). Майстер настройки безпеки фактично є набором засобів у поєднанні з базою даних правил у форматі XML. Він покликаний допомогти адміністраторам швидко і точно визначити мінімальний набір функцій, які потрібні для виконання серверами певних ролей.

За допомогою майстра настройки безпеки адміністратор може створювати, тестувати, відладжувати і розгортати політики безпеки, що відключають всі функції, в яких відсутня необхідність. Крім того, він забезпечує можливість відкат політик безпеки. Майстер настройки безпеки забезпечує вбудовану підтримку управління політиками безпеки як на окремих серверах, так і в групах серверів з взаємозв'язаними функціями.

Майстер настройки безпеки — це комплексний засіб, що дозволяє виконувати наступні завдання:


  • Визначати які сервери повинні бути активними, які — запускатися з потреби, а які можуть бути відключені;

  • Управляти фільтрацією по портах мережі разом з брандмауером Windows;

  • Контролювати доступність веб-розширень IIS для веб-серверів;

  • Знижувати уразливість протоколів SMB (Server Message Block), NETBIOS, CIFS (Common Internet File System) і LDAP (Lightweight Directory Access Protocol);

  • Створювати політики аудиту, що фіксують події, що представляють інтерес.

1.1.1.2. Зміцнення безпеки серверів за допомогою групових політик Active Directory


Служба Active Directory дозволяє застосуванням знаходити і використовувати ресурси каталогів, а також управляти ними в середовищі розподілених обчислень.
Доступність (англ. Availability) - властивість інформаційного ресурсу, яка полягає в тому, що користувач та/або процес, який володіє відповідними повноваженнями, може використовувати цей ресурс відповідно до правил, встановлених політикою безпеки не очікуючи довше заданого (прийнятного) інтервалу часу.
Розподі́лені обчи́слення (розподілена обробка даних) - спосіб розв'язання трудомістких обчислювальних завдань з використанням двох і більше комп'ютерів, об'єднаних в мережу.
Хоча докладний опис розробки інфраструктури Active Directory може зайняти цілу книгу, в справжньому розділі приводиться короткий опис основних понять, щоб створити контекст для решти частини керівництва. Дані відомості по розробці необхідні для створення уявлення про використання групової політики для забезпечення безпечного адміністрування доменів, контроллерів доменів і певних ролей серверів організації. Якщо в організації вже є проект Active Directory, даний розділ допоможе отримати уявлення про його переваги у сфері забезпечення безпеки і можливі проблеми.

При створенні інфраструктури служби каталогів Active Directory необхідно ретельно розрахувати межі зон безпеки середовища. При відповідному плануванні графіка делегування має право і реалізації мір по забезпеченню безпеки організації забезпечується створення надійнішої схеми Active Directory.

Делегування - означає, як правило, передачу функцій, повноважень на певний час із збереженням у делегуючого суб'єкта права повернути їх до власного виконання. Водночас делегуючий суб'єкт набуває право контролю за станом і наслідками виконання делегованих функцій, повноважень; він може також фінансувати із власних коштів їх здійснення, передавати у користування необхідні для цього майнові об'єкти.
Розді́л (рос. Роздол, уточнююча назва - Старий Розділ) - селище міського типу на південно-західному Опіллі (Миколаївський район Львівської області України).
Планування - це заздалегідь намічений порядок дій, необхідних для досягнення поставленої цілі. Планування - оптимальний розподіл ресурсів для досягнення поставленої мети.
При значних змінах в середовищі, наприклад, при поглинанні або реорганізації компанії, потрібно буде тільки змінити структуру схеми.

У службі Active Directory є декілька різних типів меж. Вони служать для розмежування лісу, домена, топології сайту і делегування дозволів.

Реорганізація - це повна або часткова заміна власників корпоративних прав підприємства, зміна організаційно-правової форми організації бізнесу, ліквідація окремих структурних підрозділів або створення на базі одного підприємства кількох, наслідком чого є передача або прийняття його майна, коштів, прав та обов'язків правонаступником.
Тополо́гія (грец. τόπος - місце, logos - наука) - розділ математики, який наближений до геометрії. У той час як алгебра починається з розглядання операцій, геометрія - фігур, а математичний аналіз - функцій; найфундаментальніше поняття топології - неперервність.
Межі встановлюються автоматично при установці Active Directory.
Автоматиза́ція - один з напрямів науково-технічного прогресу, спрямований на застосування саморегульованих технічних засобів, економіко-математичних методів і систем керування, що звільняють людину від участі в процесах отримання, перетворення, передачі і використання енергії, матеріалів чи інформації, істотно зменшують міру цієї участі чи трудомісткість виконуваних операцій.
Проте, слід переконатися, що межі дозволів враховують вимоги і політики організації. Значна гнучкість при делегуванні прав адміністратора дозволяє відповідати різним вимогам, що висуваються організацією. Наприклад, щоб забезпечити належну рівновагу між безпекою і функціональністю у сфері адміністрування, можна розділити межі делегування прав на межі зон безпеки і межі адміністрування.

Адміністратори даних служби Active Directory управляють даними, такими, що зберігаються в каталогах Active Directory або на комп'ютерах, підключених до Active Directory. Ці адміністратори не контролюють настройку або забезпечення роботи служб каталогів. Адміністратори даних входять до складу групи забезпечення безпеки, створюваною організацією. Іноді стандартні групи безпеки операційної системи Windows не відповідають потребам конкретної організації.

Станда́рт - нормативний документ, заснований на консенсусі, прийнятий визнаним органом, що встановлює для загального і неодноразового використання правила, настанови або характеристики щодо діяльності чи її результатів, та спрямований на досягнення оптимального ступеня впорядкованості в певній сфері.
У такому разі, організація може розробити власні стандарти іменування груп безпеки, відповідні конкретному середовищу. Нижче перераховані основні завдання, що виконуються адміністраторами даних:

Управління набором об'єктів в каталозі. За допомогою успадкованого контролю доступу на рівні атрибутів адміністратори даних можуть діставати доступ до управління певними розділами каталогу, не контролюючи власне конфігурацію служби;

Додавання - бінарна арифметична операція, суть якої полягає в об'єднанні математичних об'єктів.
Атрибу́т (attribute) - невід'ємна, необхідна для забезпечення цілісності об'єкта (предмета) або суб'єкта (людини) властивість, його частина, додаток.

Управління рядовими комп'ютерами в межах каталогу і даними, що зберігаються на цих комп'ютерах.

Хоча система підрозділів забезпечує зручний спосіб угрупування комп'ютерів, користувачів, груп і інших учасників безпеки, вона також є ефективним засобом для розділення меж адміністрування.

Підро́зділ - у військовій справі - військова одиниця постійної організації, головним чином однорідного складу в кожному роді військ та у спеціальних військах, що організаційно входить до складу більшого підрозділу або військової частини.
Крім того, підрозділи є основою структури для розгортання об'єктів групової політики, оскільки дозволяють розділяти ресурси з урахуванням вимог безпеки і забезпечувати різні рівні безпеки для різних підрозділів. Використання підрозділів для управління політиками безпеки і їх призначення з урахуванням ролі сервера є істотною частиною загальної архітектури безпеки організації.

Першим етапом створення підрозділу ролі сервера є розробка базової політики. Для створення даної політики на стандартному рядовому сервері можна використовувати майстер настройки безпеки, щоб створити файл базової політики рядового сервера у форматі XML (наприклад Member Servers Baseline.xml). При створенні XML-файла можна скористатися майстром настройки безпеки, щоб включити в нього одного з наявних шаблонів безпеки базової політики рядового сервера (LC-Member Server Baseline.inf, EC-Member Server Baseline.inf або SSLF-Member Server Baseline.inf).

Кожна окрема роль сервера вимагає додаткової політики майстра настройки безпеки, шаблону безпеки і підрозділу (на додаток до базового підрозділу). Це дозволяє створювати окремі політики для додаткових змін, необхідних для кожної ролі.

У таблиці нижче перераховані ролі серверів Windows Server 2003 і відповідні шаблони безпеки, приведені в цьому посібнику.

Таблиця - це перелік, зведення статистичних даних або інших відомостей, розташованих у певному порядку за рядками та стовпцями.
Файли шаблонів безпеки починаються із змінній <Середовище>, яке відповідно міняється на LC (для середовища із застарілими клієнтськими комп'ютерами), ЄС (для середовища корпоративних клієнтів) або SSLF (для спеціального безпечного середовища з обмеженою функціональністю).



Роль сервера

Опис

Ім'я файлу шаблону безпеки

Рядові сервери

Всі сервери, що входять до складу домену і розміщені в підрозділі рядових серверів або дочірніх підрозділах.

<Середовище>-member Server Baseline.inf

Контроллер домену

Всі контроллери домену Active Directory. Ці сервери також є серверами DNS.

<Середовище>-domain Controller.inf

Сервер інфраструктури

Всі захищені сервери WINS і DHCP.

<Середовище>-infrastructure Server.inf

Файловий сервер

Всі захищені файлові сервери.

< Середовище>-file Server.inf

Сервер друку

Всі захищені сервери друку.

< Середовище>-print Server.inf

Веб-сервер

Всі захищені веб-сервери IIS.

< Середовище>-web Server.inf

Сервер IAS

Всі захищені сервери IAS.

< Середовище>-ias Server.inf

Сервер служб сертифікації

Всі захищені сервери центру сертифікації.

< Середовище>-ca Server.inf

Вузол-бастіон

Всі сервери, що підключаються до Інтернету.

< Середовище>-bastion Host.inf

Таблиця 2.1. Ролі серверів операційної системи Windows Server 2003

Описаний в цьому розділі підхід суміщає методи, засновані на використанні переваг майстра настройки безпеки і групові політик. Такий підхід спрощує створення і перевірку настройок безпеки, забезпечуючи в той же час гнучкість і масштабованість, необхідні для крупних мереж Windows.

Процес, що використовується для створення, перевірки і розгортання політик, включає перераховані нижче етапи.



  1. Створення середовища Active Directory, що включає групи і підрозділи. Необхідно створити відповідні групи адміністраторів і делегувати дозволи підрозділу відповідним групам.

  2. Настройка синхронізації часу на контроллері домену, FSMO емулятора PDC, що містить.

  3. Настройка політик домену.

  4. Створення базових політик за допомогою майстра настройки безпеки.

  5. Перевірка базових політик за допомогою майстра настройки безпеки.

  6. Перетворення базових політик в об'єкти групової політики і співвідношення їх з відповідними підрозділами.

  7. Створення політик ролей (за допомогою майстра настройки безпеки) і вхідних в них шаблонів безпеки.

  8. Перевірка політик ролей за допомогою майстра настройки безпеки.

  9. Перетворення політик ролей в об'єкти групової політики і співвідношення їх з відповідними підрозділами.
1   2   3   4   5   6   7   8   9   ...   18



  • 2.1.1.1. Зміцнення безпеки за допомогою майстра настройки безпеки
  • 1.1.1.2. Зміцнення безпеки серверів за допомогою групових політик Active Directory