Первая страница
Наша команда
Контакты
О нас

    Головна сторінка



Реферат звіт по проекту: 68 стор., 28 джерел, додатків

Реферат звіт по проекту: 68 стор., 28 джерел, додатків




Сторінка9/18
Дата конвертації10.03.2017
Розмір1.79 Mb.
ТипРеферат
1   ...   5   6   7   8   9   10   11   12   ...   18

2.1.6. Роль файлового сервера


Зміцнення безпеки файлових серверів з Microsoft® Windows Server™ 2003 з пакетом оновлення 1 (SP1) може стати важким завданням, оскільки найважливіші служби, що надаються цими серверами, вимагають використання протоколів SMB (Server Message Block) і CIFS (Common Internet File System). Ці протоколи можуть забезпечувати розкриття інформації користувачам, що не пройшли перевірку достовірності, тому їх зазвичай відключають в системах Windows з високим рівнем безпеки. Проте відключення цих протоколів може викликати труднощі з доступом користувачів і адміністраторів до файлових серверів.

Більшість параметрів політик в даному розділі настроюється і застосовується за допомогою групової політики. Об'єкт групової політики, що доповнює базову політику рядових серверів, може бути співвіднесений з відповідними підрозділами, що містять файлові сервери, для забезпечення необхідних параметрів безпеки для даної ролі сервера. У даному розділі розглядаються параметри політик, що відрізняються від параметрів базової політики рядових серверів.

Дані параметри політик по можливості об'єднуються і включаються в додатковий об'єкт групової політики, вживаний до підрозділу файлових серверів. Деякі з параметрів, що розглядаються в даному розділі, не можна застосувати за допомогою групової політики. У цьому розділі також містяться додаткові відомості про настройку таких параметрів політик уручну.

У наступній таблиці містяться назви шаблонів безпеки файлових серверів для трьох середовищ, визначених в цьому посібнику. Дані шаблони містять параметри для додаткового шаблону файлового сервера, який, у свою чергу, використовується для створення нового об'єкту групової політики, що співвідноситься з підрозділом файлових серверів у відповідному середовищі. Покрокові інструкції по створенню підрозділів і групових політик і подальшому імпорту відповідного шаблону безпеки в об'єкт групової політики містяться в розділі 1 «Механізми зміцнення безпеки Windows Server 2003».




Середовище застарілих клієнтів

Середовище корпоративних клієнтів

Спеціальне безпечне середовище з обмеженою функціональністю

LC-File Server.inf

EC-File Server.inf

SSLF-File Server.inf

Таблиця 2.13. Шаблони безпеки файлового сервера

Для настройки необхідних параметрів безпеки при створенні політики сервера слід використовувати як майстер настройки безпеки (SCW), так і шаблони безпеки.

При створенні власної політики слід пропустити розділи «Параметри реєстру» і «Політика аудиту». Відповідні параметри будуть узяті з шаблонів безпеки для вибраного середовища. Такий спосіб настройки гарантує, що елементи політики, що містяться в шаблонах, матимуть вищий пріоритет в порівнянні з елементами, заданими за допомогою майстра настройки безпеки.

Всі настройки слід виконувати на комп'ютері із знов встановленою операційною системою, щоб уникнути перенесення застарілих параметрів або програм з колишніх конфігурацій. При нагоді, слід встановити операційну систему на комп'ютер, устаткування якого відповідає тому, що використався для впровадження, щоб забезпечити максимальну сумісність. Комп'ютер з наново встановленою операційною системою називається контрольним комп'ютером.

Щоб створити політику файлового сервера, слід виконати наступні дії.



  1. Встановити систему Windows Server 2003 з пакетом оновлення 1 (SP1) на новий контрольний комп'ютер.

  2. Встановити на комп'ютер майстер настройки безпеки. Відкрити для цього панель управління, двічі клацнути значок «Установка і видалення програм» і вибрати варіант «Установка компонентів Windows».

  3. Підключити комп'ютер до домену, який виконає застосування всіх параметрів безпеки батьківських підрозділів.

  4. Встановити і налаштувати тільки обов'язкові програми, які будуть встановлені на всі сервери, що виконують дану роль. Прикладами можуть служити служби, визначувані роллю, агенти програмного забезпечення і управління, агенти зовнішніх сховищ, а також антивірусні і антишпигунські програми.

  5. Запустити графічний інтерфейс користувача майстра настройки безпеки, вибрати пункт Створити нову політику і вказати контрольний комп'ютер.
    Графі́чний інтерфе́йс кори́стувача́ (ГІК, англ. GUI, Graphical user interface) - тип інтерфейсу, який дозволяє користувачам взаємодіяти з електронними пристроями через графічні зображення та візуальні вказівки, на відміну від текстових інтерфейсів, заснованих на використанні тексту, текстовому наборі команд та текстовій навігації.


  6. Переконатися в тому, що виявлені ролі серверів (наприклад роль файлового сервера) підходять для середовища.

  7. Переконатися в тому, що виявлені функції клієнта підходять для середовища.

  8. Переконатися в тому, що виявлені адміністративні можливості підходять для середовища.

  9. Переконатися в тому, що знайдені всі додаткові служби, необхідні для виконання базових функцій, наприклад агенти зовнішніх сховищ і антивірусні програми.

  10. Визначити порядок роботи із службами, які не були вказані при створенні політики. Для забезпечення додаткової безпеки можна встановити цей параметр політики в значення Відключений. Перш ніж розгортати конфігурацію в робочій мережі, її необхідно протестувати, оскільки можуть виникнути проблеми, якщо на робочих серверах запущені додаткові служби, не продубльовані на контрольному комп'ютері.

  11. Переконатися в тому, що в розділі «Безпека мережі» знятий прапорець Пропустити цей розділ, потім натиснути кнопку Далі. Відповідні порти і програми, визначені раніше, настроюються як виключення брандмауера Windows.

  12. У розділі «Параметри реєстру» встановити прапорець Пропустити цей розділ і натиснути кнопку Далі. Дані параметри політики імпортуються з файлу, що додається, з розширенням INF.

  13. У розділі «Політика аудиту» встановити прапорець Пропустити цей розділ і натиснути кнопку Далі. Дані параметри політики імпортуються з файлу, що додається, з розширенням INF.

  14. Включити відповідні шаблони безпеки (наприклад, EC-File Server.inf).

  15. Зберегти політику, привласнивши їй відповідне ім'я (наприклад, File Server.xml).

Після створення і збереження політики корпорація Майкрософт настійно рекомендує розвернути її в тестовому середовищі. У ідеалі тестові сервери повинні мати таке ж устаткування і програмне забезпечення, як і робочі сервери. Це дозволить виявити і усунути можливі проблеми, наприклад присутність непередбачених служб, що зажадалися певними пристроями.

Для тестування політики використовуються два способи. Можна скористатися вбудованими функціями розгортання майстра настройки безпеки або розвернути політики за допомогою об'єкту групової політики.

Приступаючи до створення політик, слід розглянути можливість використання вбудованих засобів розгортання майстра настройки безпеки. Примусово відправити політику на окремий сервер можна за допомогою графічного інтерфейсу користувача майстра настройки безпеки, для групи серверів можна використовувати засіб Scwcmd.

Гра́фіка (нім. Graphik, грец. graphikos «написаний») - вид образотворчого мистецтва, для якого характерна перевага ліній і штрихів, використання контрастів білого і чорного та менше, ніж у живописі, використання кольору.
Вбудований метод розгортання дозволяє легко відкотити розгорнені політики за допомогою майстра настройки безпеки. Дана функція може бути дуже корисна при внесенні множинних змін в політики в ході тестування.

Мета тестування політик — упевнитися, що застосування тієї або іншої політики до серверів не вплине негативно на їх основні функції. Після застосування настройок слід перевірити базові можливості комп'ютера. Наприклад, якщо сервер настроєний як центр сертифікації, слід упевнитися, що клієнти зможуть запрошувати і завантажувати сертифікати, списки відгуку сертифікатів і так далі


1   ...   5   6   7   8   9   10   11   12   ...   18



  • Середовище застарілих клієнтів Середовище корпоративних клієнтів
  • Пропустити цей розділ