Безопасность Windows 2000/2003 Server


Windows 2000 является одной из наиболее передовых (если не самой передовой) операционной системой в отношении интернета. В Windows 2000 сохранены традиционные возможности, такие как серверы файлов, печати и баз данных для внутреннего пользования, а также веб-серверы и серверы приложений для работы с интернетом. Дополнительные возможности, такие как сервер telnet, позволяют выполнять в Windows 2000 те функции, которые зарезервированы для систем Unix. Windows 2003 специально разрабатывалась как сервер (у нее нет версии для рабочих станций).


Настройка системы

Windows 2000 не является защищенной системой сразу после установки (хотя уровень ее защиты по умолчанию выше, чем у Windows NT). Параметры конфигурации подразделяются на параметры локальной политики безопасности и параметры конфигурации системы.


Параметры локальной политики безопасности
В Windows 2000 появилось новое средство – графический пользовательский интерфейс редактирования локальной политики. Для запуска данной утилиты, необходимо открыть Control Panel/Administrative Tools/Local Security Policy (Панель управления/Администрирование/Локальная политика безопасности).

Graficheskii polzovatelskii interfeis
Рис. 1. Графический пользовательский интерфейс управления локальными политиками безопасности


Nastraivaemie elementi lokalnoi politiki besopasnosti
Рис. 2. Настраиваемые элементы локальной политики безопасности


Это средство позволяет настраивать политики учетных записей и локальные политики безопасности.
Windows 2000 содержит набор шаблонов для конфигурации системы, настройки локальной политики безопасности и параметров управления пользователями в системе.


Сообщение входа
Два параметра, настраивающие сообщение входа, отображаемое пользователям:

  • Message Text for Users Attempting to Log On (Текст сообщения для пользователей, пытающихся осуществить вход);
  • Message Title for Users Attempting to Log On (Название сообщения для пользователей, пытающихся осуществить вход);


Очистка файла виртуальной памяти при отключении системы

Для очистки системного страничного файла Windows 2000 при отключении системы, необходимо включить параметр Clear Virtual Memory Pagefile When System Shuts Down (Очистить файл подкачки при отключении системы). Т.к. данный файл содержит важную системную информацию во время работы системы, о ключах шифрования, паролях и т.д.


Разрешить отключение системы без осуществления входа
Пользователи не должны иметь возможность отключать системы, если они не могут осуществлять вход. Опция Allow System to Be Shut Down Without Having to Log On (Разрешить отключение системы без входа) должна быть отключена, чтоб пользователи не имели возможность отключать системы без осуществления входа.


Уровень аутентификации LAN Manager
Аутентификация LAN Manager – это система аутентификации, позволяющая серверам Windows 2000 работать с клиентами Windows 95 и Windows 98 (а также Windows для рабочих групп). Схемы аутентификации LAN Manager значительно более слабы, нежели система аутентификации NT или Windows 2000 (которая называется NTLM v2), что дает злоумышленнику произвести атаку грубой силой на зашифрованные пароли с использованием гораздо меньших вычислительных мощностей.

Для принудительного использования аутентификации NTLM v2, примените:

  1. Выберите параметр политики LAN Manager Authentication Level (Уровень аутентификации LAN Manager).
  2. Выберите соответствующий уровень в ниспадающем меню.


Устанавливаемое значение зависит от рассматриваемой среды. Существуют шесть уровней:

  • Send LM and NTLM Responses (Отправлять ответы LM и NTLM). Это уровень по умолчанию. Происходит отправка обоих ответов – LAN Manager и NTLM. В системе никогда не будет использоваться защита сеанса NTLM v2;
  • Send LM и NTLM, Use NTLM v2 If Negotiated (Отправка LM и NTLM, использование NTLM v2 при согласии);
  • Send NTLM Response Only (Отправлять только ответ NTLM);
  • Send NTLM v2 Response Only (Отправлять только ответ NTLM v2);
  • Send NTLM v2 Response Only, Refuse LM (Отправка только ответа NTLM v2, отклонение LM);
  • Send NTLM v2 Response Only, Refuse LM and NTLM (Отправка только ответа NTLM v2, отклонение LM и NTLM).


Дополнительные параметры локальной политики безопасности в Windows 2003

Единственным отличием локальных политик безопасности Windows 2003 Server и Windows 2000 являются политики ограничения программного обеспечения (Software Restriction Policies).

Politika ogranicheniya program_obespech_dlya lokal_sist
Рис. 3. Политика ограничения программного обеспечения для локальной системы


Они позволяют осуществлять контроль над тем, какие программы могут выполняться на данном локальном компьютере, т.е. устанавливается разрешение администратором на выполнение определенных программ, предотвращая выполнение программ, не пользующихся доверием.

В уровне безопасности, посредством создания правил политики ограничения программного обеспечения для конкретных программ, можно указать исключения, которые могут быть указаны на основе программного обеспечения:

  • хеши;
  • сертификаты;
  • пути (включая путь реестра);
  • зоны интернета.


Посредством политик ограничения программ можно реализовать:

  • запрет на запуск определенных типов файлов в каталоге вложений электронной почты используемой почтовой программы;
  • ограничение того, какие программы могут запускаться пользователями на серверах терминала.


Конфигурация системы
Различия между Windows 2000 и Windows NT в плане конфигурации системы. В Windows 2000 включены новые функции безопасности. Рассмотрим:

  • файловые системы;
  • параметры сети;
  • параметры учетных записей;
  • сервис-пакеты и «горячие» обновления.


Политика безопасности организации в обязательном порядке должна предусматривать определенные параметры и требования к конфигурации системы.


Файловые системы
Все файловые системы в Windows 2000 должны быть преобразованы в NTFS, т.к. она лучше с точки зрения безопасности.

Windows 2000 поставляется с новой версией NTFS – NTFS-5, которая содержит новый набор индивидуальных разрешений:

  • проход по папке/выполнение файла;
  • просмотр папки/чтение данных;
  • чтение атрибутов;
  • чтение расширенных атрибутов;
  • создание файлов/запись данных;
  • создание папок/присоединение данных;
  • запись атрибутов;
  • запись расширенных атрибутов;
  • удаление подпапок и файлов;
  • удаление;
  • чтение разрешений;
  • изменение разрешений;
  • присвоение прав владения.


Шифрующая файловая система. Одним из недостатков файловой системы NTFS является то, что она защищает файлы только тогда, когда используется с Windows NT или Windows 2000. Для DOS систем, используется программа NTFSDOS, которая читает файлы и может обойти элементы управления доступом NTFS. Для защиты секретных файлов от атак данного типа, в Windows 2000 введена файловая система Encrypting File System (EFS).

EFS реализована таким образом, чтобы быть незаметной для пользователя. Чтобы активизировать EFS, выберите файл или каталог, который нужно защищать, щелкните правой кнопкой на этом элементе и выберите Properties (Свойства). Нажмите кнопку Advanced (Дополнительно) в окне General (Общие) и выберите Encrypt Contents to Secure Data (Шифровать содержимое для защиты данных).
При шифровании файла, система выбирает ключ для использования в алгоритме симметричного шифрования и шифрует данный файл. Далее ключ шифруется с использованием открытого ключа одного или нескольких пользователей, имеющих доступ к файлу. Еще одно, EFS имеет встроенный механизм, позволяющий осуществлять восстановление зашифрованной информации. По умолчанию из локальной учетной записи администратора всегда можно расшифровать любые файлы EFS.
В зависимости от способа взаимодействия EFS с пользователем и операционными системами некоторые команды будут приводить к расшифровыванию файлов, а другие – нет. Например, команда Ntbackup копирует зашифрованный файл в том виде, в каком он есть, а команда Copy – расшифровывает и перезаписывает на диск. Если файл копируется на другой компьютер, он будет шифроваться заново с использованием другого ключа симметричного алгоритма. Два файла будут выглядеть различным образом на двух компьютерах, даже если их содержимое идентично.

Общие местоположения. Windows 2000 создает административные общие местоположения при загрузке. Ими являются C$, D$, IPC$, ADMIN$ и NETLOGON (имеются только на контроллерах доменов). Полный список текущих общих местоположений можно просмотреть в утилите Computer Management (Управление компьютером), выбрав в панели управления значок Administrative Tools (Администрирование). Отключать какие либо из этих местоположений не рекомендуется.

Mestopolojeniya v osnastke Computer Management
Рис. 4. Имеющиеся общие местоположения, отображаемые в оснастке Computer Management (Управление компьютером)

Udalenie componentov dlya NetBIOS
Рис. 5. Удаление компонентов для NetBIOS


Сеть

В дополнение к стандартным портам Windows (135, 137 и 139) в Windows 2000 используется порт 88 для Kerberos, порт 445 для SMB через IP, порт 464 для Kerberos kpasswd и порт 500 (только UDP) для Internet Key Exchange (IKE). Это означает, для удаления NetBIOS из системы Windows 2000, необходимо отключить опцию File and Print Sharing for Microsoft Networks (Совместный доступ к файлам и принтерам в сетях Microsoft). Это делается в окне Network and Dial-up Connections (Сеть и удаленный доступ). Меню Advanced (Дополнительно) и затем Advanced Settings (Дополнительные параметры), чтобы открыть вкладку Adapters and Bindings (Адаптеры и компоненты) (рис. 5).
Домены Windows 2000 по-прежнему поддерживают централизованное управление пользовательской базой данных. Однако структура Aсtive Directory не позволяет использовать иерархическую концепцию. Т.е. группы могут создаваться над или под другими группами, и домен может быть поделен на организационные единицы с локальным управлением.
Нельзя просто перенести имеющуюся структуру доменов из Windows NT в Windows 2000, т. к. это может привести к возникновению проблем.


Параметры учетных записей
В Windows 2000 имеются две учетные записи по умолчанию: Administrator (Администратор) и Guest (Гость). Обе учетные записи можно переименовать с помощью утилиты Local Security Settings (Локальные параметры безопасности).

Ispolzovanie sredstv Local Security Settings dly nastroiki politiki parolei
Рис. 6. Использование средства Local Security Settings (Локальные параметры безопасности) для настройки политики паролей


Выберите элементы политики Rename Administrator Aсcount (Переименование учетной записи администратора) и Rename Guest Aсcount (Переименование гостевой учетной записи), чтобы внести изменения. Для защиты этих учетных записей необходимо разработать процедуру создания очень надежного пароля.
Если включить параметр Passwords Must Meet Complexity Requirements (Пароли должны отвечать требованиям сложности), то будет применен фильтр паролей, установленный по умолчанию (PASSFILT.DLL). Этот фильтр требует, чтобы длина всех паролей составляла не менее шести символов, чтобы пароли не содержали частей имени пользователя и содержали, по крайней мере, какие-либо из следующих элементов: цифры, символы, строчные или прописные буквы.
Политика блокировки учетных записей настраивается с использованием средства Local Security Settings (Локальные параметры безопасности).

Ispolzovanie sredstv Local Security Settings dlya nastroiki politik blokirovki
Рис. 7. Использование средства Local Security Settings (Локальные параметры безопасности) для настройки политики блокировки


Политика блокировки учетных записей предназначена для предотвращения атак «грубой силы», направленных на угадывание паролей. А также используется для создания условия отказа в обслуживании по отношению ко всему сообществу пользователей, но только не для администратора, которая всегда доступна для входа в систему из системной консоли.


Сервис-пакеты и «горячие» обновления
Сервис-пакеты и горячие обновления должны устанавливаться в сети организации после соответствующего тестирования.


Особенности конфигурации Windows 2003

  • Три задачи по настройке, после установки системы:
  • служба Terminal Services;
  • ограничения на программное обеспечение;
  • настройка Framework .NET


Службы терминала (Terminal Services)
По умолчанию система Windows 2003 Server содержит функцию Remote Desktop for Administration (Удаленный рабочий стол для администрирования) (Terminal Services в режиме Remote Administration [удаленное администрирование] в Windows 2000). Она позволяет создавать до двух удаленных сеансов плюс сеанс консоли. Максимальный уровень безопасности обеспечивается при помощи параметров, настраиваемых с помощью опции Properties (Свойства) для конкретного соединения в оснастке Terminal Services Configuration (Настройка службы терминала).

Nastroika slujbi Terminal Services
Рис. 8. Настройка службы Terminal Services
    1. В параметре Encryption Level (Уровень шифрования)приводится перечень доступных уровней, используемых для защиты данных, передаваемых между клиентом и сервером. Здесь имеются четыре опции:
      • Low (Низкий). Данные шифруются с использованием 56-битного ключа.
      • Client Compatible (Совместимый с клиентом). Данные шифруются с использованием ключа максимальной длины, поддерживаемого клиентом.
      • High (Высокий). Данные шифруются с использованием 128-битного шифрования. Клиенты, не поддерживающие этот уровень шифрования, не будут иметь возможность подключения.
      • FIPS Compliant (Соответствие FIPS). Данные шифруются в соответствии со стандартом Federal Information Processing Standard 140-1, определяющим соответствующие методы шифрования.

 

    1. Logon Settings (Параметры входа в систему). Указываются аутентификационные данные для использования по умолчанию при подключении клиентов к серверу терминала.
Vkladka Logon Settings
Рис. 9. Вкладка Logon Settings (Параметры входа в систему)

Другая опция позволяет использовать одну учетную запись пользователя для всех соединений. Последняя опция требует от пользователя ввода пароля, даже если предоставлены аутентификационные данные.

  1. Network Adapter settings (Параметры сетевого адаптера) помогают определить, какие сетевые адаптеры будет использовать служба. Это относится только к системам с несколькими сетевыми адаптерами.


Управление пользователями

Добавление пользователей в систему
Новые пользователи добавляются в систему или домен через оснастку Computer Management (Управление компьютером). Для этого надо выбрать элемент Users (Пользователи) из Local Users and Groups (Локальные пользователи и группы). Затем выбрать New User (Новый пользователь) из меню Aсtion (Действие). Для пользователей с доступом одинакового уровня, требуется создание двух учетных записей и размещения их в одной группе. Нельзя присваивать нескольким пользователям один и тот же идентификатор.

Okno New User
Рис. 10. Окно New User (Новый пользователь)


Для идентификатора нового пользователя назначается начальный пароль. Опция User Must Change Password (Пользователь должен изменить пароль) должна быть включена, чтоб пользователь сменил пароль при первом входе в систему. Опцию Password Never Expires (Срок действия пароля не ограничен) – лучше не включать.


Настройка файловых разрешений
Для настройки разрешений файлов и общих местоположений следует использовать группы. Убедитесь, что членом группы Guests (Гости) является только учетная запись Guest (Гость), и что она отсутствует во всех остальных группах.


Удаление пользователей из системы
Учетная запись пользователя, когда он покидает организацию, должна немедленно отключаться с помощью утилиты Computer Management (Управление компьютером), выбрав нужного пользователя, и открыв Properties (Свойства).


Управление системой

Команда secedit
Утилита secedit.exe, используется для управления политикой безопасности при большом количестве систем. И предоставляет следующие возможности:

  • анализ. Политика рассматриваемой системы анализируется и сопоставляется с предоставленной политикой;
  • конфигурация. Политика рассматриваемой системы изменяется для соответствия предоставленной политике;
  • утверждение. Файл конфигурации безопасности может быть утвержден;
  • обновление. Политика заново применяется к системе;
  • экспорт. Сохраненный шаблон из базы данных безопасности системы экспортируется в виду файла шаблона безопасности.


Анализ
С помощью secedit можно сопоставлять имеющуюся политику в системе с Windows 2000 c политикой, соответствующей данной системе. Для этого нужно ввести в командной строке следующую команду:

Secedit /analyze [/DB имя файла базы данных] [/CFG имя файла конфигурации]
[/log имя файла журнала] [/verbose] [/quiet]


Команда потдерживает следующие параметры:

  • /DB имя файла базы данных. Указывает путь к файлу базы данных, который содержит сохраненную конфигурацию для анализа. Если имя файла указывает на новый файл, также необходимо использовать параметр /CFG.
  • /CFG имя файла конфигурации. Указывает путь к шаблону безопасности, который будет импортирован в базу данных. При отсутствии этого параметра будет использоваться конфигурация, сохраненная в базе данных.
  • /log имя файла журнала. Указывает путь к файлу журнала, который будет создан в результате выполнения команды. Файл журнала содержит всю информацию, полученную в ходе анализа.
  • /verbose. Этот параметр обеспечивает отображение детальной информации при выполнении команды.
  • /quiet. Отключает вывод данных на экран в процессе выполнения.


После выполнения команды файл журнала можно провести анализ, соответствует ли система политике организации.


Конфигурация
Secedit также позволяет конфигурировать систему.

В команде можно указывать следующие параметры:

  • /DB имя файла базы данных. Указывает путь к базе данных, содержащей необходимый для использования шаблон.
  • /CFG имя файла конфигурации. Указывает путь к шаблону безопасности, который можно импортировать в базу данных для последующей установки в систему.
  • /overwrite. Указывает необходимость перезаписи политики в шаблоне безопасности, определенном командой /CFG, поверх политики в базе данных.
  • /areas. Указывает области безопасности шаблона, которые следует применить к системе. Этими областями являются: Securitypolicy, Group_mgmt, User_rights, Regkeys, Filestore, Services.
  • /log имя файла журнала. Указывает путь к файлу журнала, который будет создан в результате выполнения команды.
  • /verbose. Сообщает команде secedit о том, что необходимо отображать детальные сведения во время выполнения.
  • /quiet. Отключает вывод данных на экран в процессе выполнения.


Данная команда может использоваться для принудительного применения конкретной конфигурации безопасности в системе.
Secedit может использоваться для утверждения файла конфигурации. При этом происходит проверка корректности синтаксиса файла. Для выполнения этой операции необходимо выполнить следующую команду:

Secedit /validate имя_файла


Обновление
Опция обновления команды secedit представляет собой механизм обновления политики безопасности организации. Эта команда заново применяет политику безопасности к локальному компьютеру. Синтаксис команды:

Secedit: /refreshpolicy [machine_policy или user_policy] [/enforce]

Могут использоваться параметры:

  • Machine_policy. Указывает, что необходимо обновить политику безопасности для локального компьютера.
  • User_policy. Указывает, что необходимо обновить параметры безопасности локального пользователя, который в данный момент находится в системе.
  • /enforce. Указывает, что политика должна быть обновлена, даже если в нее не внесено никаких изменений.


Экспорт

Secedit применяется также для экспорта конфигурации из базы данных безопасности в шаблон безопасности, что позволяет использовать шаблон безопасности на других компьютерах. Команда имеет вид:

Secedit /export [/MergedPolicy] [/DB имя файла базы данных] [/CFG имя файла конфигурации]
[/areas area1 area2:] [/log имя файла журнала] [/verbose] [/quiet]
.

В данной команде могут использоваться следующие параметры:

  • MergedPolicy. Указывает, что secedit должна экспортировать как доменную, так и локальную политику.
  • /DB имя файла базы данных. Указывает путь к базе данных, содержащей конфигурацию, которую необходимо экспортировать.
  • /CFG имя файла конфигурации. Указывает путь сохранения шаблона безопасности.
  • /areas. Указывает области безопасности шаблона, которые должны быть применены к системе. Этими областями являются: Securitypolicy, Group_mgmt, User_rights, Regkeys, Filestore, Services. По умолчанию используются все области.
  • /log имя файла журнала. Указывает путь к файлу журнала, который будет создан в результате выполнения команды.
  • /verbose. Сообщает команде secedit о том, что необходимо отображать детальные сведения во время выполнения.
  • /quiet. Отключает вывод данных на экран в процессе выполнения.


Аудит системы
Политика аудита в системе настраивается в утилите Local Security Settings (Локальные параметры безопасности).

Nastroika politik audita v Windows 2000
Рис. 11. Настройка политики аудита в системе Windows 2000


Выберите событие, аудит которого следует производить, и дважды щелкните на нем, чтобы отобразить окно конфигурации.

Рекомендуется фиксировать следующие события:

  • аудит событий входа через учетные записи, успех или неудача;
  • аудит управления учетными записями, успех или неудача;
  • аудит событий входа, успех или неудача;
  • аудит доступа к объектам, неудача;
  • аудит изменения политики, успех или неудача;
  • аудит использования привилегий, неудача;
  • аудит системных событий, успех или неудача.


Файлы журнала
Записи журнала аудита создаются в журнале событий безопасности, расположенного в папке \%systemroot%\system32\ config. Так как записи файлов журналов являются самым лучшим средством выявления неполадок в системе или несанкционированных действий пользователей, то их необходимо постоянно просматривать администраторам.
Если регулярно производится резервное копирование системы, файлы журнала также должны резервироваться. Файлы можно сохранять в виде текстовых файлов или файлов с разделителями-запятыми посредством команды Save As (Сохранить как) в меню Aсtion (Действие) в программе Event Viewer (Просмотр событий).


Попытки атак с использованием «грубой силы»
Если кто-либо пытается угадать пароли учетных записей, в журнал событий будут занесены записи, отображающие неудачные попытки входа в систему, а система заблокирует данную учетную запись после определенного числа попыток входа. В журнале событий безопасности зафиксируется имя рабочей станции, с которой осуществлялась каждая попытка.


Ошибки доступа
Ошибки доступа могут означать, что доступ к секретным файлам пытается получить авторизованный пользователь.
Информация в журнале событий безопасности содержит перечень неудачных попыток входа. Однако, не следует считать, что записи в журнале являются достаточным доказательством для того, чтобы обвинить сотрудника в совершении противоправных действий.


Отсутствие файлов журналов или пробелы в них
В работающей системе Windows 2000 с включенным аудитом файлы журналов никогда не бывают пусты. Отсутствие в журнале записей говорит о том, что с системой что-то не в порядке, и следует немедленно начать выяснение причин отсутствия в журналах данных.
Когда система отключена, записи в журнале не создаются. Пробел в файле журнала, пропуски, больше, чем обычно, показывают, что в системе кто-то заметал свои следы.


Неизвестные процессы
Программа Task Manager (Диспетчер задач), показывает процессы, выполняющиеся в данный момент в системе, а также процент использования процессора и объем используемой процессами памяти. Поэтому необходимо периодически открывать Диспетчер задач и выяснять, не выполняются ли в системе какие-либо неизвестные процессы. Например, процессы CMD, которые злоумышленники используют для выполнения операций в системе.


Использование Aсtive Directory

Центральным элементом системы безопасности Windows 2000/2003 является Aсtive Directory (AD). AD – это служба каталогов, разработанная и внедренная в последние версии операционной системы Windows. Она является попыткой Microsoft создания масштабируемой структуры домена, взамен старой модели домена Windows NT. Основным различием Windows 2000 Server и Windows 2003 является гибкость и управляемость AD.

AD может состоять из одного или более доменов, причем каждый домен имеет свои политики безопасности и безопасные взаимоотношения с другими доменами. Пространство имен домена соответствует домену DNS, а домен Root – это первый домен, создаваемый в AD. Все домены в AD совместно используют одну и ту же конфигурацию, схему и глобальный каталог.

Ключевыми компонентами AD и их функциями являются следующие элементы:

  • Global Catalog (GC, Глобальный каталог). Серверы GC содержат частичные реплики всех доменов в AD, а также полную реплику схемы и именования конфигурации. Эти системы являются носителями секретной информации;
  • схема. Схема определяет, какие объекты и атрибуты могут храниться в AD. Она поддерживает все классы объектов и атрибуты, содержащиеся в AD. Для каждого класса объектов схема определяет место в AD для создания класса объекта, а также список атрибутов, которые должен содержать класс;
  • домен. Домен – это группа компьютеров, объединенных для формирования административной ограниченной области пользователей, групп, компьютеров и организационных единиц;
  • организационная единица (OU) – это тип объектов каталога, с которыми можно связать групповые политики и таким образом определять в них ограничения безопасности. Это наименьшие административные единицы в AD, формирующие границы защищаемой области;
  • групповые политики. Объект домена, обеспечивающий возможность группирования параметров безопасности и конфигурации в шаблоны, которые могут применяться к отдельным системам, доменам или организационным единицам;
  • доверительные взаимоотношения. Позволяют использовать информацию из одного домена, такую как идентификаторы безопасности пользователей, в другом домене.


Безопасная установка и настройка
При настройке AD необходимо выбрать опции Permissions Compatible with Pre-Windows 2000 Server, которая делает группу Everyone (Все) членом встроенной группы Pre-Windows 2000 Compatible Permissions. Это позволяет устанавливать анонимные соединения с AD (т. е. предоставляются анонимные полномочия на чтение всем важным пользовательским и групповым атрибутам домена). Если поддержка систем, предшествующих Windows 2000, не требуется, не следует включать эту опцию.
На данном этапе (если вы не упустили какие-либо разрешения) AD должна быть достаточно защищена. Осталось только убедиться, что пользователи используют надежные пароли, и что системы защищены от сетей без доверия (таких как интернет).


Администрирование
Основные средства, используемые для управления AD.

  • Aсtive Directory Domains and Trusts. Используется для запуска программы Domain Manager (Диспетчер домена), управления доверительными взаимоотношениями, установки режима функционирования и определения альтернативных суффиксов UPN (User Principal Name).
  • Aсtive Directory Sites and Services. Используется для администрирования топологии репликации, добавления и удаления сайтов, переноса компьютеров в сайт, добавления в сайт подсети, связывания сайта с подсетью и создания связи сайта.
  • Aсtive Directory Users and Computers. Используется для управления объектами в домене, И осуществляется добавление, перенос, удаление и изменение атрибутов таких объектов AD, как пользователи, группы, компьютеры и общие папки.
  • ADSIEdit. Позволяет выполнять LDAP-операции по отношению к любым разделам каталога (домен, конфигурация или схема). Осуществляет доступ к AD через ADSI и позволяет добавлять, удалять и перемещать объекты внутри AD. Также с ее помощью можно просматривать, изменять и удалять атрибуты.


Групповая политика и безопасность

Основной метод обеспечения централизованного управления конфигурацией безопасности в Windows 2000 и Windows 2003, и применяются на уровне сайта, домена и OU, к пользователям и компьютерам (Users and Computers) в Aсtive Directory.

GP используются для выполнения следующих действий:

  • блокировка рабочих столов пользователей;
  • применение параметров безопасности;
  • ограничение доступа к приложениям;
  • установка разрешения реестра и файловой системы;
  • настройка конфигурации беспроводной сети.


Параметры конфигурации
Утилита Group Policies разделена на две области:

  • область настройки пользователя User Configuration, которя содержит такие элементы, как параметры рабочего стола, параметры безопасности и сценарии входа и выхода их системы. Применяются при входе в систему или обновлении групповой политики.
  • область настройки компьютера Computer Configuration используется для настройки работающей системной среды, включая параметры служб, параметры безопасности и сценарии загрузки/отключения, и применяются при загрузке и обновлении Group Policy.


Групповые политики по умолчанию
Групповая политика по умолчанию, создаваемая при создании домена: Default Domain Policy (Политика домена по умолчанию) применяется к контейнеру домена, и может быть применена ко всем компьютерам в домене по умолчанию.
Default Domain Controller Policy (Политика контроллера домена по умолчанию), применяется к «специальному» контейнеру контроллера домена в домене, и применима только к контроллерам домена.

Redaktor obiekta grupovoi politiki
Рис. 12. Редактор объекта групповой политики


Параметры конфигурации в групповой политике

Конфигурация компьютера:

  • Aсcount Policies: Password Policy (Политики учетных записей: политика паролей). Позволяет настраивать историю, требования к возрасту, длине и сложности паролей.
  • Aсcount Policies: Aсcount Lockout Policy (Политики учетных записей: политика блокировки учетных записей). Позволяет настраивать число попыток, длительность и сброс.
  • Local Policies: Audit Policies (Локальные политики: политики аудита). Позволяет включать аудит в системах.
  • Local Policies: User Rights Assignment (Локальные политики: присвоение прав пользователей). Позволяет присваивать пользовательские права пользователям и группам.
  • Local Policies: Security Options (Локальные политики: параметры безопасности). Позволяет настраивать политики, связанные с безопасностью, включая подписи SMB, ограничения безопасности каналов, автоматический выход, уровень аутентификации LAN Manager, текстовое сообщение входа и примечание, а также множество других элементов (40 по умолчанию).
  • Event Log: Settings for Event Logs (Журнал событий: параметры журналов событий). Позволяет настраивать объем журнала, ограничения доступа, параметры сохранения, а также необходимость отключения системы по заполнении журналов.
  • Restricted Groups: Members of Restricted Group (Ограниченные группы: члены ограниченной группы). Предписывает членство в группе. Если пользователь или группа входят в список членов ограниченной группы, но не находятся в группе, происходит добавление в группу этого пользователя или группы. Если пользователь или группа является членом группы, но отсутствует в списке членов ограниченной группы, то этот пользователь или группа удаляется.
  • Restricted Groups: Restricted Group Is Member Of (Ограниченные группы: ограниченная группа входит в). Если ограниченная группа не входит в группу, которой она должна принадлежать, она добавляется в нее. В отличие от предписания членства в группе, описанного выше, если ограниченная группа принадлежит группе, которая здесь отсутствует, то эта ограниченная группа не удаляется.
  • IP Security Policies (Политики безопасности IP). Позволяет настраивать списки и действия фильтров, правила политик, методы защиты и аутентификации, типы соединений и ключевые параметры и методы обмена.


Конфигурация пользователя:

  • Windows Settings: Internet Explorer Maintenance: Security (Настройки Windows: обслуживание Internet Explorer: безопасность). Позволяет настраивать особые зоны безопасности, оценку содержимого и параметры аутентификации.
  • Windows Settings: Scripts (Настройки Windows: сценарии). Позволяет указывать сценарии входа и выхода из системы.
  • Administrative Templates: Windows Components: Windows Explorer (Шаблоны администрирования: компоненты Windows: Проводник Windows). Позволяет настраивать пользовательские параметры для Проводника Windows. Среди этих параметров следует отметить удаление меню File (Файл), опций Map Network Drive (Подключить сетевой диск) и Disconnect Network Drive (Отключить сетевой диск), скрытие вкладки Hardware (Оборудование), запрос аутентификационных данных для сетевых инсталляций и многое другое.
  • Administrative Templates: Windows Components: Windows Installer (Шаблоны администрирования: компоненты Windows: программа установки Windows Installer). Позволяет запретить пользователям производить установку со съемных носителей, а также вносить другие изменения в конфигурацию.
  • Administrative Templates: Start Menu and Taskbar (Шаблоны администрирования: меню Пуск и панель задач). Позволяет удалять папки пользователя из меню Start (Пуск), отключать и удалять ссылки на Windows Update, отключать опцию Log Off (Выход из системы) в меню Start (Пуск), отключать и удалять команду Shut Down (Завершение работы), удалять отдельные меню и др.
  • Administrative Templates: Desktop (Шаблоны администрирования: Рабочий стол). Используется для скрытия всех значков Рабочего стола, запрета на изменение пользователями пути к папке My Documents (Мои документы), необходимости сохранения параметров при выходе и др. Также позволяет настраивать элементы, связанные с Aсtive Desktop, и взаимодействие пользователей с Aсtive Directory.
  • System: Group Policy (Система: групповая политика). Позволяет настраивать пользовательские параметры, такие как интервал обновления пользователей, выбор контроллера домена, автоматическое обновление файлов ADM и др.


Дополнения групповой политики в Windows 2003
В Windows 2003 в групповую политику добавлены два отдельных элемента, связанных с безопасностью систем в AD. Этими элементами являются Software Restriction Policies (Политики ограничения программного обеспечения) (о них уже говорилось выше) и Wireless Network (IEEE 802.11) Policies (Политики беспроводных сетей [IEEE 802.11]).

Политики ограничения программного обеспечения. Функции оснастки Group Policy можно применить к домену или OU. Параметры, связанные с безопасностью, настраиваемые с помощью данной групповой политики:

  • тип беспроводной сети, к которой могут осуществлять доступ клиенты: Ad Hoc (Точка доступа), Infrastructure (Инфраструктура) или Аny (Любая);
  • возможность запрета на использование беспроводными клиентами Windows локальных параметров Windows для настройки их параметров беспроводных сетевых соединений;
  • возможность разрешить пользователям подключаться только к предпочитаемым сетям;
  • возможность требовать аутентификацию 802.1X при каждом подключении к беспроводным сетям 802.11;
Svoistva IEEE 802.1x
Рис. 13. Свойства IEEE 802.1x
  • указание типа EAP: Smart Card or other certificate (Смарт-карта или другой сертификат) или Protected EAP (PEAP) (Защищенный EAP);
  • выбор метода аутентификации для использования в PEAP: Secured password (EAP-MSCHAP v2) (Защищенный пароль EAP-MSCHAP v2) или Smart Card or other certificate (Смарт-карта или другой сертификат).


Замыкание на себя (loopback)
Используется для конфигурации пользователя групповых политик, а также конфигурации компьютера, в зависимости от расположения объекта «компьютер» (не пользователь) при входе пользователя в систему. При включении опции можно также указать функцию Merge (Слияние) (объединение конфигурации из всех групповых политик) или Replace (Замещение) (только применение конфигураций пользователей в зависимости от расположения объекта «компьютер»).


Средства управления групповой политикой
Следующие утилиты весьма полезны для управления групповыми политиками и просмотра результатов их работы.
Group Policy Management Console (Консоль управления групповой политикой), представляет собой оснастку MMC и набор сценариев, предоставляющих единый интерфейс управления групповой политикой на предприятии.

Konsol upravleniya grupovoi politiki
Рис. 14. Консоль управления групповой политикой


Group Policy Results. Консоль управления групповой политикой предоставляет средство для определения результирующей политики для данного пользователя и/или системы. Чтобы сгенерировать запрос Group Policy Results (Результаты групповой политики), нужно открыть лес, щелкнуть правой кнопкой мыши на пункте Group Policy Results (Результаты групповой политики) и затем выбрать Group Policy Results Wizard (Мастер результатов групповой политики). Выполнить предписания мастера и введите соответствующую информацию в окнах ввода данных.

Rezultati grupovoi politiki dly administratora v IHS
Рис. 15. Результаты групповой политики для администратора в IHS


Resultant Set of Policy (RSoP). Предназначена для облегчения процессов применения политик и устранения неполадок в них. Она предоставляет детальные сведения обо всех сконфигурированных параметрах политики, и определяет набор примененных политик и порядок, в котором они применяются.
Оснастка Aсtive Directory Users and Computers (Пользователи и компьютеры Aсtive Directory)
При создании учетных записей пользователей основной используемой утилитой администрирования является оснастка Aсtive Directory Users and Computers, предназначенная для администрирования учетных записей в рамках домена Aсtive Directory.

Utilita Aсtive Directory Users and Computers
Рис. 16. Утилита Aсtive Directory Users and Computers (Пользователи и компьютеры Aсtive Directory)


Оснастка Aсtive Directory Users and Computers (Пользователи и компьютеры Aсtive Directory) используется для управления пользователями, группами и другими элементами, такими как организационные единицы для доменов в лесу. По умолчанию оснастка запускается из меню Start/Programs/Administrative Tools (Пуск/Программы/Администрирование) на каждом контроллере домена. Эту оснастку также можно добавить в любую консоль MMC.


Secedit и управление параметрами безопасности в Windows 2000

Проект предназначен для того, чтобы продемонстрировать управление большим числом параметров безопасности системы.
Шаг за шагом

  1. Система Windows 2000, и доступ с правами администратора, на которой можно вносить изменения без влияния на рабочие приложения.
  2. Запустить графический пользовательский интерфейс Local Security Policy (Локальная политика безопасности) и внести нужные изменения в параметры безопасности системы.
  3. Внести изменения в политику паролей согласно нуждам организации.
  4. Проделать то же самое для конфигурации аудита.
  5. По окончании настройки конфигурации используя команду secedit, экспортировать политики безопасности в виде файла шаблона.
  6. Теперь используя этот шаблон, провести анализ политики безопасности, используемой на другой системе. Проверить результаты и выяснить, можно ли выявить какие-либо угрозы, обусловленные изменениями, внесенными в политику.
  7. Если существует возможность внести изменения во вторую систему без влияния на рабочие приложения, необходимо использовать команду secedit для конфигурации политики безопасности на этой системе.