logo
Администрирование сетей на платформе windows se

Настройка параметров безопасности (Шаблоны безопасности, Анализ и настройка безопасности)

Управлению безопасностью в сетях Microsoft Windows посвящено немало учебных курсов и хороших книг. В предыдущих разделах мы уже касались политик безопасности, относящихся к учетным записям пользователей (параметры длины и сложности пароля, параметры блокировки учетных записей) и параметрам прав пользователей (в частности, локальный вход в систему на сервере для выполнения лабораторных работ в компьютерном классе).

Оставим подробное изучение безопасности сетей Microsoft за рамками данного курса, но при этом рассмотрим работу с очень полезными оснастками, которые могут помочь начинающему сетевому администратору ознакомиться с некоторыми стандартными шаблонами политик безопасности, которые имеются в самой системе Windows Server, и проводить анализ и текущих настроек сервера в сравнении со этими стандартными шаблонами.

  1. Сначала откроем чистую консоль mmc.

Кнопка "Пуск" — "Выполнить" — mmc — кнопка "ОК".

  1. Добавим в новую консоль оснастки "Шаблоны безопасности" и "Анализ и настройка безопасности".

М еню "Консоль" — "Добавить или удалить оснастку" — кнопка "Добавить" — выбрать оснастку "Анализ и настройка безопасности" — кнопка "Добавить" — выбрать оснастку "Шаблоны безопасности" — кнопка "Добавить" — кнопка "Закрыть" — кнопка "ОК" (рис. 6.57).

Рис. 6.57

В полученной консоли (ее можно будет сохранить и использовать в дальнейшем неоднократно) можно делать следующее:

Приведем краткие характеристики стандартных шаблонов безопасности:

Теперь на примере рассмотрим, как проводить анализ настроек безопасности.

  1. Откроем базу данных, в которой будут сохраняться настройки проводимого нами анализа.

Щ елкнем правой кнопкой мыши на значке оснастки "Анализ и настройка безопасности", выберем "Открыть базу данных", укажем путь и название БД (по умолчанию БД создается в папках профиля того администратора, который проводит анализ), нажмем кнопку "Открыть", выберем нужный нам шаблон (например, hisecdc) и нажмем "ОК" (рис. 6.58):

Рис. 6.58

  1. Выполним анализ настроек безопасности.

Щ елкнем правой кнопкой мыши на значке оснастки "Анализ и настройка безопасности", выберем "Анализ компьютера", укажем путь и название файла с журналом ошибок (т.е. протоколом проведения анализа), нажмем "ОК", будет выполнено сравнение текущих настроек с параметрами шаблона (рис. 6.59):

Рис. 6.59

  1. Теперь можно провести уже настоящий анализ настроек безопасности.

Откроем любой раздел оснастки (например, "Политики паролей", рис. 6.60):

На рисунке сразу видны расхождения между настройками нашего сервера (столбец "Параметр компьютера") и настройками шаблона (столбец "Параметр базы данных") — видно, как мы понизили настройке безопасности для проведения практических занятий.

Аналогично проводится анализ всех остальных разделов политик безопасности.

Этой же оснасткой можно одним действием привести настройки нашего компьютера в соответствии с параметрами шаблона (щелкнуть правой кнопкой мыши на значке оснастки "Анализ и настройка безопасности", выбрать "Настроить компьютер"). Не рекомендуем это делать, не изучив в деталях, какие последствия это может повлечь для всей сети. Высокие требования к параметрам безопасности препятствуют работе в домене Active Directory компьютеров с системами Windows 95/98/ME/NT. Например, данные системы поддерживают уровень аутентификации NTLM версии 2 (который назначается шаблонами hisecdc и hisecws) только при проведении определенных настроек на компьютерах со старыми системами. Поэтому, прежде чем принимать решение об установке более высоких параметров безопасности в сети, необходимо тщательно изучить состав сети, какие требования к серверам и рабочим станциям предъявляют те или иные шаблоны безопасности, предварительно установить нужные обновления и настроить нужные параметры на "старых" системах и только после этого применять к серверам и рабочим станциям Windows 2000/XP/2003 шаблоны с высокими уровнями сетевой безопасности.

З аметим дополнительно, что данные оснастки имеются не только на серверах, но и на рабочих станциях под управлением Windows 2000/XP Professional, и они позволяют производить аналогичный анализ и настройки на рабочих местах пользователей.

Рис. 6.60