Первая страница
Наша команда
Контакты
О нас

    Головна сторінка



Реферат звіт по проекту: 68 стор., 28 джерел, додатків

Реферат звіт по проекту: 68 стор., 28 джерел, додатків




Сторінка8/18
Дата конвертації10.03.2017
Розмір1.79 Mb.
ТипРеферат
1   ...   4   5   6   7   8   9   10   11   ...   18

2.1.5. Роль сервера інфраструктури


У даному керівництві під серверами інфраструктури розуміються сервери, що надають послуги DHCP або Microsoft WINS.

Більшість параметрів, описаних в цьому розділі, настроюються і застосовуються за допомогою групової політики. Для посилення захисту серверів об'єкт групової політики, що доповнює базову політику рядових серверів, можна пов'язати з відповідними підрозділами, що включають сервери інфраструктури. У даному розділі розглядаються параметри політик, що відрізняються від параметрів базової політики рядових серверів.

Дані параметри політик по можливості об'єднуються і включаються в додатковий об'єкт групової політики, вживаний до підрозділу серверів інфраструктури. Деякі з описуваних в цьому розділі параметрів не можна застосувати за допомогою групової політики. Для цих параметрів приведені докладні відомості по їх настройці уручну.

Таблиця нижче містить імена шаблонів безпеки серверів інфраструктури в трьох середовищах, описаних в цьому керівництві. Ці шаблони надають параметри політики для додаткового шаблону сервера інфраструктури, який, у свою чергу, використовується для створення нового об'єкту групової політики, пов'язаного з підрозділом серверів інфраструктури у відповідному середовищі. Покрокові інструкції по створенню підрозділів і групових політик і подальшому імпорту відповідного шаблону безпеки в об'єкт групової політики містяться в розділі 1 «Механізми зміцнення безпеки Windows Server 2003».

Інструкція - правовий акт, який створюється органами державного управління для встановлення правил, що регулюють організаційні, науково-технічні, технологічні, фінансові та інші спеціальні сторони діяльності та відносин установ, закладів, підприємств, службових осіб.




Середовище застарілих клієнтів

Середовище корпоративних клієнтів

Спеціальне безпечне середовище з обмеженою функціональністю

LC-Infrastructure Server.inf

EC-Infrastructure Server.inf

SSLF-Infrastructure Server.inf

Таблиця 2.12. Шаблони і політики безпеки для серверів інфраструктури

Параметри безпеки, вживані за допомогою базової політики рядових серверів, значно підвищують надійність захисту серверів інфраструктури.

Наді́йність - властивість технічних об'єктів зберігати у часі в установлених межах значення всіх параметрів, які характеризують здатність виконувати потрібні функції в заданих режимах та умовах застосування, технічного обслуговування, зберігання та транспортування.
У цьому розділі розглядається ряд додаткових параметрів безпеки, на які слід звернути увагу. Налаштувати ці параметри за допомогою групової політики не можна; це необхідно зробити уручну на всіх серверах інфраструктури.

Настройка ведення журналу DHCP

За умовчанням служба DHCP реєструє в журналі подій тільки події запуску і завершення роботи системи. Щоб включити запис докладніших відомостей в журнал на сервері DHCP, потрібно виконати наступні дії.



  1. Клацнути правою кнопкою миші сервер DHCP в засобі адміністрування DHCP.

  2. Вибрати пункт Властивості.

  3. На вкладці Загальні діалогового вікна Властивості задати параметр Вести журнал аудиту DHCP.

Після цього сервер DHCP створить файл журналу в наступній папці:

%systemroot%\system32\dhcp\

Відомості про клієнтів DHCP часто складно знайти у файлах журналів, тому що в більшості журналів зберігаються тільки імена комп'ютерів, але не їх IP-адреси.

IP-адреса, адреса Ай-Пі (від англ. Internet Protocol address) - це ідентифікатор (унікальний числовий номер) мережевого рівня, який використовується для адресації комп'ютерів чи пристроїв у мережах, які побудовані з використанням протоколу TCP/IP (н-д Інтернет).
Журнали аудиту DHCP надають додатковий засіб, що допомагає шукати джерела внутрішніх атак або помилок.



Захист серверів DHCP від атак типу «відмова в обслуговуванні»

Сервери DHCP є критично важливими системами, що забезпечують клієнтам доступ до мережі, тому вони можуть стати основними мішенями атаки типу «відмова в обслуговуванні». Якщо сервер DHCP не може обслуговувати запити DHCP, клієнти DHCP зрештою не зможуть отримувати в оренду IP-адреса. Коли у них завершиться термін оренди використовуваних IP-адрес, клієнти втратять доступ до мережевих ресурсів.

Досить легко написати атакуючий сценарій, що запрошує у сервера DHCP всі доступні адреси. Після вичерпання IP-адрес сервер більше не зможе обслуговувати справжні запити клієнтів DHCP. Зловмисник також може набудувати всі IP-адреса DHCP на мережевому адаптері свого комп'ютера, внаслідок чого сервер DHCP виявить конфлікти IP-адрес в своїй області дії і припинить надавати адреси в оренду.

Як і у випадку з іншими мережевими службами, атака типу «відмова в обслуговуванні» (направлена, наприклад, на захоплення ресурсів процесора або заповнення буфера запитів прослуховувателя DHCP), із-за якої сервер DHCP перестає відповідати на справжні запити, позбавляє клієнтські системи можливості отримувати адреси в оренду і оновлювати термін її дії. Цього можна уникнути, грамотно налаштувавши служби DHCP.

Сервери DHCP можна налаштувати парами відповідно до правила 80/20, згідно якому області дії серверів DHCP потрібно розділити між ними так, щоб 80 % адрес розподіляв один сервер DHCP, а 20 % — інший. Це допомагає зменшити збиток від описаних атак, дозволяючи клієнтам отримувати IP-адреса навіть при відмові сервера.

Для настройки необхідних параметрів безпеки при створенні політики сервера слід використовувати як майстер настройки безпеки (SCW), так і шаблони безпеки.

При створенні власної політики пропустіть розділи «Параметри реєстру» і «Політика аудиту». Відповідні параметри політики будуть узяті з шаблонів безпеки для вибраного середовища. Такий спосіб настройки гарантує, що елементи політики, що містяться в шаблонах, матимуть вищий пріоритет в порівнянні з елементами, заданими за допомогою майстра настройки безпеки.

Всі настройки слід виконувати на комп'ютері із знов встановленою операційною системою, щоб уникнути перенесення застарілих параметрів або застосувань з колишніх конфігурацій. При нагоді, слід встановити операційну систему на комп'ютер, устаткування якого відповідає тому, що використався для впровадження, щоб забезпечити максимальну сумісність. Комп'ютер з наново встановленою операційною системою називається контрольним комп'ютером.

Під час створення політики сервера із списку виявлених ролей можна видалити роль файлового сервера. Ця роль часто буває настроєна на серверах, де вона не потрібна, і може представляти загрозу безпеці. Якщо на сервері потрібна роль файлового сервера, її можна включити при настройці іншої політики, описаної нижче.

1   ...   4   5   6   7   8   9   10   11   ...   18



  • Середовище застарілих клієнтів Середовище корпоративних клієнтів
  • Настройка ведення журналу DHCP
  • Властивості . На вкладці Загальні
  • %systemroot%\system32\dhcp\
  • Захист серверів DHCP від атак типу «відмова в обслуговуванні»