Настройка параметров безопасности (Шаблоны безопасности, Анализ и настройка безопасности)

Управлению безопасностью в сетях Microsoft Windows посвящено немало учебных курсов и хороших книг. В предыдущих разделах мы уже касались политик безопасности, относящихся к учетным записям пользователей (параметры длины и сложности пароля, параметры блокировки учетных записей) и параметрам прав пользователей (в частности, локальный вход в систему на сервере для выполнения лабораторных работ в компьютерном классе).

Оставим подробное изучение безопасности сетей Microsoft за рамками данного курса, но при этом рассмотрим работу с очень полезными оснастками, которые могут помочь начинающему сетевому администратору ознакомиться с некоторыми стандартными шаблонами политик безопасности, которые имеются в самой системе Windows Server, и проводить анализ и текущих настроек сервера в сравнении со этими стандартными шаблонами.

1. Сначала откроем чистую консоль mmc.

Кнопка " Пуск " — " Выполнить " — mmc— кнопка " ОК ".

2. Добавим в новую консоль оснастки " Шаблоны безопасности " и " Анализ и настройка безопасности ".

Меню " Консоль " — " Добавить или удалить оснастку " — кнопка " Добавить " — выбрать оснастку " Анализ и настройка безопасности " — кнопка " Добавить " — выбрать оснастку " Шаблоны безопасности " — кнопка " Добавить " — кнопка " Закрыть " — кнопка " ОК " (рис. 6.57).

Рис. 6.57.

В полученной консоли (ее можно будет сохранить и использовать в дальнейшем неоднократно) можно делать следующее:

• изучить параметры стандартных шаблонов безопасности (оснастка "Шаблоны безопасности") и даже попробовать сконструировать собственные шаблоны на основе стандартных (можно сохранить какой-либо шаблон с другим именем и изменить какие-либо параметры шаблона);

• провести анализ (сравнение) текущих параметров безопасности сервера (оснастка " Анализ и настройка безопасности ").

Приведем краткие характеристики стандартных шаблонов безопасности:

• DC security— используемые по умолчанию параметры безопасности контроллера домена;

• securedc— защищенный контроллер домена (более высокие требования к безопасности по сравнению с шаблоном DC security, отключается использование метода аутентификации LanManager );

• hisecdc— контроллер домена с высоким уровнем защиты (более высокие требования к безопасности по сравнению с шаблоном securedc, отключается метод аутентификации NTLM, включается требование цифровой подписи пакетов SMB);

• compatws— совместимая рабочая станция или совместимый сервер (ослабляет используемые по умолчанию разрешения доступа группы "Пользователи" к реестру и к системным файлам для того, чтобы приложения, не сертифицированные для использования в данной системе, могли работать в ней);

• securews— защищенная рабочая станция или защищенный сервер (аналогичен шаблону securedc, но предназначен для применения к рабочим станциям и простым серверам);

• hisecws— рабочая станция или защищенный сервер с высоким уровнем защиты (аналогичен шаблону hisecdc, но предназначен для применения к рабочим станциям и простым серверам);

• setup security— первоначальные настройки по умолчанию (параметры, устанавливаемые во время инсталляции системы);

• rootsec— установка стандартных (назначаемых во время инсталляции системы) NTFS-разрешений для папки, в которую установлена операционная система;

Теперь на примере рассмотрим, как проводить анализ настроек безопасности.

1. Откроем базу данных, в которой будут сохраняться настройки проводимого нами анализа.

Щелкнем правой кнопкой мыши на значке оснастки " Анализ и настройка безопасности ", выберем " Открыть базу данных ", укажем путь и название БД (по умолчанию БД создается в папках профиля того администратора, который проводит анализ), нажмем кнопку " Открыть ", выберем нужный нам шаблон (например, hisecdc ) и нажмем " ОК " (рис. 6.58):

Рис. 6.58.

2. Выполним анализ настроек безопасности.

Щелкнем правой кнопкой мыши на значке оснастки " Анализ и настройка безопасности ", выберем " Анализ компьютера ", укажем путь и название файла с журналом ошибок (т.е. протоколом проведения анализа), нажмем "ОК", будет выполнено сравнение текущих настроек с параметрами шаблона (рис. 6.59):

Рис. 6.59.

3. Теперь можно провести уже настоящий анализ настроек безопасности.

Откроем любой раздел оснастки (например, " Политики паролей ", рис. 6.60):

На рисунке сразу видны расхождения между настройками нашего сервера (столбец " Параметр компьютера ") и настройками шаблона (столбец " Параметр базы данных ") — видно, как мы понизили настройке безопасности для проведения практических занятий.

Аналогично проводится анализ всех остальных разделов политик безопасности.

Этой же оснасткой можно одним действием привести настройки нашего компьютера в соответствии с параметрами шаблона (щелкнуть правой кнопкой мыши на значке оснастки " Анализ и настройка безопасности ", выбрать " Настроить компьютер "). Не рекомендуем это делать, не изучив в деталях, какие последствия это может повлечь для всей сети. Высокие требования к параметрам безопасности препятствуют работе в домене Active Directory компьютеров с системами Windows 95/98/ME/NT. Например, данные системы поддерживают уровень аутентификации NTLM версии 2 (который назначается шаблонами hisecdcи hisecws ) только при проведении определенных настроек на компьютерах со старыми системами. Поэтому, прежде чем принимать решение об установке более высоких параметров безопасности в сети, необходимо тщательно изучить состав сети, какие требования к серверам и рабочим станциям предъявляют те или иные шаблоны безопасности, предварительно установить нужные обновления и настроить нужные параметры на "старых" системах и только после этого применять к серверам и рабочим станциям Windows 2000/XP/2003 шаблоны с высокими уровнями сетевой безопасности.

Заметим дополнительно, что данные оснастки имеются не только на серверах, но и на рабочих станциях под управлением Windows 2000/XP Professional, и они позволяют производить аналогичный анализ и настройки на рабочих местах пользователей.

Рис. 6.60.

Резюме

Первая часть данного раздела описывает задачи служб каталогов корпоративной сети и основные понятия служб каталогов Active Directory:

• домен;

• дерево;

• лес;

• организационное подразделение.

Вторая часть дает углубленные знания по логической и физической структуре службы каталогов Active Directory.

Третья часть раздела посвящена практическим вопросам управления системой безопасности корпоративной сети — учетными записями пользователей, компьютеров, групп, организационными подразделениями. Описан также механизм групповых политик — мощное средство управлением настройками пользовательской среды и параметров компьютеров в большой корпоративной сети.

В четвертой части описаны технологии управления сетевой безопасностью — протокол аутентификации Kerberos и применение шаблонов безопасности для настройки параметров безопасности серверов и рабочих станций.

Задачи сетевого администратора при управлении инфраструктурой службы каталогов:

• планирование и реализация пространства доменных имен компании или организации для службы каталогов Active Directory;

• планирование и реализация IP-сетей и сайтов AD для управления процессами репликации контроллеров домена и аутентификации пользователей в сети;

• планирование и размещение в сети контроллеров домена, выполняющих функции хозяев операций;

• планирование и реализация правил создания и именования учетных записей пользователей, компьютеров и групп;

• планирование и реализация стратегии использования групп для управления доступом к сетевым ресурсам;

• планирование и реализация иерархии организационных подразделений для делегирования административных полномочий и применения групповых политик;

• планирование и разработка набора групповых политик для управления рабочей средой пользователей и параметров компьютеров;

• проведение анализа сетевой безопасности, настройка требуемого уровня сетевой безопасности на серверах и рабочих станциях.