Поиск на сайте: Расширенный поиск


Новые программы oszone.net Читать ленту новостей RSS
CheckBootSpeed - это диагностический пакет на основе скриптов PowerShell, создающий отчет о скорости загрузки Windows 7 ...
Вы когда-нибудь хотели создать установочный диск Windows, который бы автоматически установил систему, не задавая вопросо...
Если после установки Windows XP у вас перестала загружаться Windows Vista или Windows 7, вам необходимо восстановить заг...
Программа подготовки документов и ведения учетных и отчетных данных по командировкам. Используются формы, утвержденные п...
Red Button – это мощная утилита для оптимизации и очистки всех актуальных клиентских версий операционной системы Windows...
OSzone.net Microsoft Windows Server 2003 Администрирование Защита серверов с помощью шаблонов безопасности RSS

Защита серверов с помощью шаблонов безопасности

Текущий рейтинг: 3.5 (проголосовало 10)
 Посетителей: 5433 | Просмотров: 7920 (сегодня 0)  Шрифт: - +

В данной статье я расскажу, зачем нужно защищать серверы такими средствами, как шаблоны безопасности Windows (Windows Security Templates).

Зачем нужно защищать серверы

Безопасность стала необходимым требованием для каждой компании. Сетевые границы, брандмауэры, VPN, мобильные и настольные компьютеры, серверы, контроллеры домена и т.д. – все следует учесть при разработке безопасного окружения. Важно знать все, чем вы обладаете, а также понимать все, чем вы располагаете для защиты всех этих компонентов. Когда вы думаете о новой установке серверов Windows 2000 или 2003, вы можете не понять настройки, и безопасность обеих операционных систем не будет соответствовать вашим ожиданиям или требованиям по безопасности вашей компании.

Существует множество причин того, что безопасность будет настроена ниже требуемого уровня. Во-первых, для многих других операционных систем, которые будут соединяться с вашими серверами, необходимо, для совместимости, устанавливать безопасность по «наименьшему общему знаменателю». Параметры безопасности, встроенные в сервер Windows 2003 не доступны, например, на компьютерах с Windows NT 4.0 Workstation. Во-вторых, на серверах могут быть запущены приложения или службы, которые не смогут работать при повышенном уровне безопасности. Например, на ваших серверах финансовых служб могут быть запущены приложения стороннего производителя, которые не могут обрабатывать шифрованные соединения. В-третьих, я считаю, что многие сетевые администраторы и компании привыкли использовать серверы в незащищенном состоянии и любое усиление безопасности при начальной установке может сделать сервер бесполезным. Я не раз видел, как добрая часть системных администраторов приходила в смятении, когда компьютеры с повышенным уровнем безопасности разрывали соединения со старыми операционными системами.

Что может делать шаблон безопасности

Шаблоны безопасности появились достаточно давно, во время выхода Windows NT 4.0 Service Pack 4. Они стали популярным методом защиты не только серверов, но и персональных компьютеров. Главная причина такого успеха в том, что они предоставляют широкий диапазон настроек безопасности, которые очень легко внедрить.

В одном шаблоне безопасности вы можете настроить большое количество параметров для нескольких серверов. Для просмотра шаблона лучше всего использовать оснастку Security Template (Шаблоны безопасности). Для этого наберите в меню Start|Run (Пуск-Запустить) MMC. После открытия консоли MMC вам необходимо добавить оснастку Security Template (Шаблоны безопасности). В различных операционных системах названия пунктов меню различаются, но в большинстве случаев вам необходимо зайти в меню File (Файл), где нужно выбрать пункт Add Snap-in (Добавить оснастку). С помощью появившегося окна вы можете добавить в консоль любое количество необходимых оснасток. Оснастка шаблонов безопасности изображена на Рисунке 1.



Рисунок 1:
Оснастка «Шаблоны безопасности» в консоли MMC

Каждый шаблон безопасности имеет набор параметров безопасности. Вот список областей безопасности, которые входят в шаблон:

  • Password Policies (Политики паролей) – Эти установки позволяют устанавливать длину, сложность и другие параметры паролей пользователей.
  • Account Lockout Policies (Политики блокировки учетных записей) – Эти установки позволяют настраивать действия на тот случай, если пользователь забыл свой пароль и его учетная запись была заблокирована.
  • Kerberos Policies (Политики Kerberos) – Эти установки контролируют поведение службы Kerberos.
  • Audit Policies (Политики аудита) – Эти установки показывают, как настроены различные области аудита, включая отслеживание удачно и неудачно завершенных событий.
  • User Rights (Права пользователей) – Эти установки показывают все права пользователей, а также какие из пользователей и/или групп приписаны к определенным правам. Права пользователей для каждого сервера различны, они отвечают за действия пользователей, которые они выполняют на данном сервере.
  • Security settings (Настройки безопасности) – Эти установки включают в себя несколько различных областей, таких как сетевая безопасность, аутентификация, устройства и т.д.
  • Event Log settings (Настройки журнала событий) – Эти установки позволяют настраивать различные параметры журнала событий, такие как размер журнала и начало перезаписи событий в журнал.
  • Group membership (Членство в группах) – Здесь вы можете настроить группы, которые вы хотите контролировать с помощью этой установки безопасности. Можно контролировать локальные группы и группы внутри Active Directory.
  • Services (Службы) – Используя эти настройки, вы можете контролировать все службы на сервере, устанавливать их режим загрузки и безопасность.
  • Registry permissions (Разрешения реестра) – С помощью этих установок вы можете контролировать Список контроля доступа (Access Control List - ACL) ключей реестра.
  • File and folder permissions (Разрешения файлов и папок) – С помощью этих установок вы можете контролировать ACL файлов и папок необходимого сервера.

Эти настройки вы найдете в стандартном шаблоне безопасности по умолчанию. Как практически все в компьютерах, вы можете изменять эти настройки. Настройками шаблонов безопасности можно изменять параметры реестра.

Варианты внедрения шаблонов безопасности

Теперь, после настройки шаблонов безопасности для ваших серверов, вы должны внедрить их на каждый сервер. Существует три варианта внедрения шаблона безопасности на сервер. Первый, не очень эффективный, способ – вручную. Второй – полуавтоматический, однако, он все равно требует ручного вмешательства. Третий, и последний, самый желательный, поскольку он дает возможность автоматического внедрения шаблонов безопасности.

В первом варианте вы можете использовать оснастку Security Configuration and Analysis (Настройка и анализ безопасности) консоли MMC на нужном сервере. Эта оснастка запускается подобно оснастке Security Templates (Шаблоны безопасности), о чем мы говорили выше. После открытия оснастки, выберите в меню пункт “Open Database” (Открыть базу данных), с помощью которого вы можете добавить шаблон безопасности в средство анализа и внедрения. После добавления шаблона вам станет доступна опция “Configure Computer Now” (Настроить компьютер сейчас), с помощью которой настройки шаблона безопасности установятся на сервере.

При втором варианте вы создаете сценарий (или запускаете команду из командной строки) и используете его вместе со средством Secedit.exe. Данное средство дает вам возможность гибкой настройки и анализа компьютера с учетом шаблонов безопасности. Команда обладает многими параметрами, но вам потребуется только параметр /configure со следующими данными:

secedit /configure /db ИмяФайла [/cfg ИмяФайлf ] [/overwrite][ /areas область1 область2...] [/log ИмяФайла] [/quiet]

Необходимые параметры - /configure и /db. Все остальное отвечает за детали вашего шаблона безопасности и необходимо в том случае, если ваши настройки безопасности достаточно сложны

Последний вариант внедрения – использование структуры Active Directory и Групповых политик. Групповая политика (Group Policy) по умолчанию обладает механизмом для импорта и внедрения шаблонов безопасности. Например, допустим, все ваши web-серверы в организационной единице (Organizational unit - OU) называются WebServers. Если вы создадите ссылку на объект групповой политики (Group Policy Object - GPO) для WebServers OU, вы можете импортировать шаблон безопасности в GPO. Сделать это можно с помощью консоли Group Policy Management Console (GPMC) (Консоль управления групповыми политиками). Для импорта шаблона безопасности в GPO, вначале отредактируйте GPO внутри GPMC. После запуска Редактора групповой политики, откройте в GPO узел Security Settings (Настройки безопасности) (Рисунок 2).



Рисунок 2:
Узел Security Settings в редакторе групповых политик

Щелкнув правой кнопкой по узлу, вы увидите пункт меню “Import Policy” (Импортировать политику). Данный пункт дает вам возможность импортировать шаблон безопасности в GPO. После того, как шаблон будет импортирован в GPO, он автоматически применится ко всем серверам в указанной OU с помощью групповой политики по умолчанию. Для серверов данный процесс происходит автоматически каждые 90 минут.

Резюме

Серверы Windows, установленные с настройками по умолчанию, не могут полностью соответствовать вашим требованиям безопасности. Поэтому вам нужно принять во внимание самые экономически выгодные и эффективные метода настройки серверов. Поскольку безопасность не является простым набором настроек, вам необходимо воспользоваться некоторыми механизмами, которые могут управлять широким диапазоном настроек. Шаблоны безопасности предоставляют возможность такой настройки для серверов. С помощью большого количества параметров, которые входят в стандартный шаблон безопасности, и умением изменять сами шаблоны, вы получите возможность управления настройками безопасности, используя только одно средство. И, наконец, используя один из трех предложенных методов внедрения шаблонов безопасности, из которых GPO – самый эффективный, вы сможете быстро настроить ваши серверы на работу в защищенном режиме.

Автор: Дерек Мелбер (Derek Melber)  •  Иcточник: WinSecurity.ru  •  Опубликована: 22.01.2007
Нашли ошибку в тексте? Сообщите о ней автору: выделите мышкой и нажмите CTRL + ENTER
Теги:  


Оценить статью:
Вверх
Комментарии посетителей
Комментарии отключены. С вопросами по статьям обращайтесь в форум.