Поиск на сайте: Расширенный поиск


Новые программы oszone.net Читать ленту новостей RSS
CheckBootSpeed - это диагностический пакет на основе скриптов PowerShell, создающий отчет о скорости загрузки Windows 7 ...
Вы когда-нибудь хотели создать установочный диск Windows, который бы автоматически установил систему, не задавая вопросо...
Если после установки Windows XP у вас перестала загружаться Windows Vista или Windows 7, вам необходимо восстановить заг...
Программа подготовки документов и ведения учетных и отчетных данных по командировкам. Используются формы, утвержденные п...
Red Button – это мощная утилита для оптимизации и очистки всех актуальных клиентских версий операционной системы Windows...
OSzone.net Microsoft ISA Server Руководство по обеспечению безопасности ISA Server 2006 RSS

Руководство по обеспечению безопасности ISA Server 2006

Текущий рейтинг: 4.56 (проголосовало 9)
 Посетителей: 6106 | Просмотров: 10448 (сегодня 0)  Шрифт: - +

Хотя многие специалисты по ИТ полагаются на ISA Server 2006 для защиты своих технологических активов, немногие специалисты также защищают и сам ISA Server. Если вы недавно установили ISA Server 2006, то можете помнить напоминание о немедленном выполнении после завершения установки. К сожалению, многие специалисты по ИТ нечасто уделяют (или имеют) время на выполнение этого важного этапа, и поэтому он оказывается в списке дел, которые не выполняются никогда.

В сегодняшних постоянно меняющихся условиях безопасности такое отсутствие защиты ISA Server более неприемлемо. К счастью, средства для обеспечения защиты ISA Server значительно улучшились. Больше вам не придется бороться с множеством трудностей в мастерах повышения безопасности, входивших в состав ISA Server до выпуска ISA Server 2004. Вместо этого можно полагаться на строго определенные этапы и средства, такие как мастер настройки безопасности (SCW), входящий в состав Windows Server® 2003.

В данной статье представлен краткий обзор общих рекомендаций по обеспечению защиты серверов. Затем будут подробно рассмотрены стратегии повышения безопасности самого сервера ISA Server, использующие мастер настройки безопасности с целью уменьшить число возможностей для атаки сервера ISA Server и административные роли для ограничения доступа к ISA Server.

Обеспечение защиты серверов

Существует множество элементов и практических рекомендаций, относящихся к обеспечению защиты серверов, находящихся в центре обработки данных или в серверном помещении рядом с вашим кабинетом. Вы как администратор несете ответственность за знание этих рекомендаций и выполнение всего возможного для соблюдения этих требований наиболее практичным для организации способом. С повышением внимания к безопасности в последние годы многие из нас довольно хорошо ознакомились с задачами, образующими основу эти требований, поэтому я не буду описывать очевидное, а лишь приведу краткий обзор.

Первое, что необходимо предпринять для защиты вашей среды, – это обеспечить физическую защиту серверов. На практике это означает необходимость ограничения физического доступа к серверам. В небольших средах это означает запирание двери серверной комнаты и определение ограниченного числа лиц, имеющих к ней доступ. В более крупных средах эти основные требования практически не изменяются, но способ их выполнения более сложен. Например, множество организаций используют электронное наблюдение. Это позволяет контролировать вход в помещение с серверами и даже ограничивать доступ к отдельным стойкам и отсекам в зависимости от должностных обязанностей.

При предотвращении возможности кражи или физической компрометации сервера ISA Server или сервера хранилища настроек ISA необходимо учитывать ряд уникальных факторов. Характер данных, которые могут быть получены с украденного сервера, потенциально подвергает риску все серверы ISA Server и трафик (включая зашифрованный) в вашей среде.

При возникновении подозрений на компрометацию сервера, его кражу и иные подобных угрозы необходимо немедленно убрать сервер (если он еще находится в месте эксплуатации) и выполнить стандартные процедуры фиксации улик. После выполнения этих необходимых действий следует приступить к изменению всей конфиденциальной информации — все установленные на сервере сертификаты должны быть отозваны, а все предварительные ключи и общие секреты должны быть изменены. Кроме того, при наличии реплики сервера хранилища настроек все данные, относящиеся к скомпрометированному серверу, должны быть удалены.

Следующим действием после обеспечения физической защиты серверов является внедрение структурированной методики установки исправлений для всего программного обеспечения, включая уровень виртуализации, операционную систему и приложения. Следует регулярно проверять и устанавливать доступные исправления и обновления. Но до установки в рабочих системах эти обновления должны проходить тестирование. Установка исправления не приведет ни к чему хорошему, если оно станет причиной проблемы, компрометирующей приложение или целостность данных.

При компрометации целостности данных следует полагаться на резервные копии. Это приводит к другому ключевому элементу защиты инфраструктуры. Если невозможно быстро и полностью восстановить данных в случае возникновения такой необходимости, простой может оказать значительное влияние на эксплуатацию, что в результате приведет к увеличению затрат, связанных со вторжением.

Два других элемента, которые необходимо принять во внимание, – это аудит и наблюдение. Наблюдение за приложениями и системами – исключительно важные части любого успешного плана безопасности. Если не уделять время изучению журналов, в частности, журналов, относящихся к безопасности, вряд ли можно вообще обнаружить попытки вторжения до фактического нанесения ущерба.

Не менее важным является аудит. Во многих организациях, особенно в больших, он часто формализован и даже может требоваться по закону. В любом случае, чтобы ваши действия были эффективными, необходимо регулярно проверять механизмы и методики, используемые для защиты активов организации, независимо от ее размера.

Наконец, поскольку ISA Server 2006 работает под управлением Windows Server® 2003, важно изучить руководство по безопасности Windows Server 2003 и выполнить необходимые рекомендации. Руководство по безопасности Windows Server 2003 доступно на веб-узле microsoft.com/technet/security/prodtech/windowsserver2003/w2003hg/sgch00.mspx.

В данный момент корпорация Майкрософт рекомендует применение шаблона Baseline Security Policy, но не следует реализовывать какие-либо фильтры IPsec.

Установка мастера настройки безопасности

Так как же сделать сервер ISA Server более безопасным? Основное средство обеспечения защиты ISA – мастер настройки безопасности (SCW). Это средство уменьшения возможностей для атаки. Мастер создает политики безопасности для служб, сетевой безопасности, реестра и политики аудита сервера, настраивая систему только для необходимых служб и функций. Необходимо заметить, что следует настраивать только те службы ISA Server, которые вы собираетесь использовать. Например, служба веб-прокси включена по умолчанию, но если ее использование не планируется, ее следует отключить. Таким образом, необходимо уделять особое внимание доступным вариантам настройки, представляемым мастером настройки безопасности.

Мастер SCW по умолчанию не входит в состав Windows Server 2003, поэтому первым действием является его самостоятельная установка с помощью апплета «Добавление и удаление компонентов Windows®» панели управления «Установка и удаление программ». (Обратите внимание, что мастер SCW в Windows Server 2008 установлен по умолчанию.) После появления окна «Компоненты Windows» установите флажок для мастера настройки безопасности.

По завершении установки приложение становится доступным в меню «Администрирование». До начала использования мастера необходимо обновить SCW, загрузив обновление для ISA Server 2006 (доступно по адресу go.microsoft.com/fwlink/?LinkId=122532). Это обновление служит для добавления ролей для ISA Server 2006 Standard Edition, ISA Server 2006 Enterprise Edition и сервера хранилища настроек ISA Server.

После загрузки обновления необходимо запустить пакет и извлечь из него файлы. После извлечения этих файлов скопируйте два файла XML (isa.xml и isaloc.xml) в папку kbs в SCW — в установке Windows Server по умолчанию это будет папка c:\windows\security\msscw\kbs.

При копировании файлов появится запрос на подтверждение перезаписи двух существующих файлов с такими же именами. Эти файлы для ISA Server 2004, поэтому до их перезаписи необходимо сделать их резервную копию. Заключительный этап – копирование файла isascwhlp.dll в папку bin, которая обычно расположена по адресу c:\windows\security\msscw\bin. После завершения добавления ролей ISA к мастеру SCW вы будете готовы к началу установки.

Как правило, корпорация Майкрософт рекомендует запускать мастер SCW только после завершения настройки ISA Server. При работе с Enterprise Edition это означает настройку всех массивов и всех членов массивов.

Запуск мастера SCW

Первым этапом является запуск мастера SCW из средств администрирования — необходимо помнить, что для успешного запуска мастера SCW необходимы права администратора.

На рис. 1 показан первый экран мастера. Если прочитать текст на экране, в частности, предупреждение «Этот мастер определяет входящие порты, прослушиваемые этим сервером», можно понять причину важности полной настройки сервера ISA Server и массивов до начала данного процесса.

*

Рис 1. Запуск мастера настройки безопасности

Без полной настройки вашей среды будет велика вероятность необходимости пересмотреть настройку SCW после завершения настройки ISA Server. На следующем экране, показанном на рис. 2, запрашивается действие для выполнения. Необходимо выбрать пункт «Создать новую политику безопасности».

*

Рис 2. Создание новой политики безопасности

После этого появится запрос на выбор сервера, который будет служить базовым для политики. Поскольку выполняется создание новой политики, по умолчанию выбрано использование компьютера, на котором запущен мастер SCW. Однако это поведение изменяется в зависимости от действия, выбранного для выполнения на предыдущем экране. В любом случае рекомендуется устанавливать мастер SCW на сервере, который будет использоваться в качестве базового. Если SCW не установлен на целевом сервере, будет отсутствовать информация, используемая для завершения создания политики. Поэтому, чтобы не усложнять жизнь, установите и запустите мастер SCW с сервера, который будет базовым.

При нажатии кнопки «Далее» мастер SCW начнет процесс анализа ISA Server. Этот анализ включает определение установленных на сервере ролей, ролей, которые, скорее всего, установлены на сервере, установленных служб и основных сетевых данных. После завершения процесса можно просмотреть базу данных, выбрав «Просмотр базы данных». В базе данных настройки содержится множество данных, в том числе все поддерживаемые роли серверов, функции клиента и порты.

После этого мастер SCW приступит к процессу настройки служб на основе ролей. После нажатия кнопки «Далее» появится следующий экран с запросом на выбор ролей сервера, как показано на рис. 3. Первоначальный выполняемый мастером SCW поиск является надежным, и вы увидите, что верные роли сервера уже определены. Однако очень важно еще раз проверить и удалить ненужные роли. Если сервер выполняет несколько ролей, убедитесь в том, что выбраны все соответствующие роли.

*

Рис. 3 Указание ролей сервера

При использовании ISA Server 2006 Enterprise Edition важно помнить, что необходимо учитывать сервер хранилища настроек. Если сервер хранилища настроек установлен на сервере, также выступающем в качестве сервера ISA Server (это, между прочим, противоречит рекомендациям, но, тем не менее, часто используется), необходимо убедиться в том, что выбрана роль сервера хранилища настроек. Не следует использовать проверку базовых показателей сервера, на котором размещены обе роли, но в действительности размещается только роль сервера ISA Server 2006.

Далее появится запрос на выбор клиентских функций сервера. Другими словами, необходимо указать требуемые сервером службы. Например, почти для всех серверов требуется клиент DNS, а если сервер является членом домена, для него будет требоваться функция члена домена.

После выполнения этих этапов появится экран «Параметры управления и другие параметры». На нем указываются параметры приложения, администрирования и операционной системы, используемые службами или полагающиеся на сетевое подключение. Все не выбранные к этому моменту службы будут отключены. Но после внесения изменений и нажатия кнопки «Далее» можно будет выбрать любые дополнительные службы, которые нужно разрешить.

После этого мастер приступит к настройке способа обработки неуказанных служб. Это позволяет определить действия при применении политики в случае обнаружения служб, не включенных в основную базу данных или установленных на базовом сервере. В соответствии с общей рекомендацией следует выбрать отключение неуказанных служб, поскольку это ограничит все непредвиденные направления атаки. К сожалению, это может иметь негативные последствия при сильной несхожести серверов; также необходимо помнить об этом параметре при добавлении каких-либо приложений или сетевых служб в будущем.

На следующем экране мастера, показанном на рис. 4, можно просмотреть службы, измененные мастером SCW. На этом экране подтверждения содержится сравнительное представление текущего состояния и измененного состояния после применения политики.

*

Рис. 4. Просмотр и подтверждение изменений служб

После подтверждения служб для изменения выполняется переход к разделу «Сетевая безопасность». Именно в нем мастер SCW обычно позволяет изменять параметры брандмауэра Windows и IPsec. Но, поскольку выполняется настройка сервера ISA Server 2006, остается лишь пропустить этот раздел, как показано на рис. 5.

*

Рис 5. Пропуск последних параметров сетевой безопасности

После этого мастер переходит к настройке параметров реестра, относящихся к безопасности и методам проверки подлинности сети. На первом экране в этом разделе указано подписывание SMB. Протокол SMB – это основной сетевой протокол Microsoft, а эти параметры обеспечивают возможность подписанной связи для снижения вероятности атак типа «злоумышленник в середине».

Параметры по умолчанию, как показано на рис. 6, обеспечивают высокую безопасность связи по SMB для ISA Server. Но необходимо учитывать влияние подписывания всей связи. При отсутствии свободной процессорной мощности следует снять второй флажок. Также не забудьте подумать обо всех серверах, для которых будет применена политика, — при наличии серверов с различными рабочими нагрузками для решения вопроса об установке этого флажка необходимо руководствоваться сервером с самым высоким потреблением ресурсов.

*

Рис. 6. Указание необходимости подписанной связи

Следующий набор экранов относится к уровню LMCompatibility, который должен использоваться сервером ISA Server. На первом из этих экранов представлено три варианта. Необходимо оставить выбранный по умолчанию вариант «Учетные записи в домене», если только не используются устаревшие операционные системы Windows (такие как Windows 95 или Windows 98) или если для управления доступом используются локальные учетные записи.

На втором экране, относящемся к уровню LMCompatibility, указываются сведения о контроллерах доменов. При отсутствии доменов Windows NT® 4.0 можно оставить выбранный вариант по умолчанию (Операционные системы Windows NT 4.0 с пакетом обновления 6a или более поздние версии ОС). В этом диалоговом окне также следует установить флажок синхронизации часов с часами выбранного сервера. После нажатия кнопки «Далее» можно будет установить ряд дополнительных параметров настройки для входящей связи LAN Manager (LM), как показано на рис. 7.

*

Рис. 7. Указание методов проверки подлинности для входящей связи

На третьем экране, относящемся к уровню LMCompatibility, определяется необходимость LAN Manager (NTLM) версии 2 Windows NT и сохранение хеш-кодов LM. Необходимо убедиться в том, что эти флажки не установлены, при условии, что ваша среда поддерживает такую настройку, поскольку снятие этих флажков ведет к значительному повышению безопасности. После этого появится окно «Сводка параметров реестра». Просмотрите все записи и подтвердите правильность параметров политики.

Далее мастер переходит к последнему разделу — аудиту. Важно отметить, что изменения параметров настройки, выполненные в данном разделе, не могут быть отменены. Но, поскольку аудит не влияет на функциональность системы, не следует пропускать этот раздел.

Вариант по умолчанию «Выполнять аудит успешных действий» не предоставляет записи журнала событий для ошибок входа в систему. Однако сведения об ошибках входа в систему могут предоставить ценные данные о попытках вторжения. Поэтому, как правило, рекомендуется выбрать «Выполнять аудит как успешных, так и неуспешных действий».

После этого можно проверить настройку аудита и дважды нажать кнопку «Далее», чтобы сохранить политику безопасности. На этом экране, показанном на рис. 8, требуется только указать имя файла; однако также можно ввести краткое описание,. Это описание может быть полезным в больших средах, в которых обязанности по обеспечению безопасности разделяются между несколькими администраторами.

*

Рис 8. Указание имени и описания для политики безопасности

После сохранения файла можно применить политику немедленно или сделать это позднее. Если принято решение выбрать применение политики позже, процесс завершен. При обнаружении ошибок в настройке политики можно выполнить ее откат, за исключением параметров аудита.

Административные роли

Снижение количества возможных направлений для атаки сервера ISA Server – важный этап для уменьшения потенциальных нарушений из внешних источников. Однако также важно проверить назначение административных ролей в ISA Server для ограничения возможности компрометации из внутренних источников. Административные роли и неполный список типичных соответствующих задач показаны на рис. 9 и 10.

 Рис. 9. Роли и соответствующие задачи в выпуске Standard Edition

Задача Аудитор наблюдения Аудитор Полный администратор
Просмотр панели наблюдения, оповещений, подключений, сеансов и служб Разрешено Разрешено Разрешено
Подтверждение оповещений Разрешено Разрешено Разрешено
Просмотр информации журнала Разрешено Разрешено
Создание определений оповещений Разрешено
Создание отчетов Разрешено Разрешено
Остановка и запуск сеансов и служб Разрешено Разрешено
Просмотр политики брандмауэра Разрешено Разрешено
Настройка политики брандмауэра Разрешено
Настройка кэша Разрешено
Настройка виртуальной частной сети (VPN) Разрешено

Рис. 10. Роли и соответствующие задачи в выпуске Enterprise Edition

Действие Аудитор наблюдения за массивом Аудитор массива Администратор массива
Просмотр панели наблюдения, оповещений, подключений и сеансов Разрешено Разрешено Разрешено
Подтверждение и сброс оповещений Разрешено Разрешено Разрешено
Просмотр информации журнала Разрешено Разрешено
Создание определений оповещений - Разрешено
Создание отчетов Разрешено Разрешено
Остановка и запуск сеансов и служб Разрешено Разрешено
Просмотр политики брандмауэра Разрешено Разрешено
Настройка политики брандмауэра Разрешено
Настройка кэша Разрешено
Настройка виртуальной частной сети (VPN) Разрешено
Выполнение завершения/остановки балансировки сетевой нагрузки Разрешено Разрешено
Просмотр локальной настройки (в реестре члена массива) Разрешено Разрешено
Изменение локальной настройки (в реестре члена массива)

Как видите, административные задачи, связанные с ISA Server, значительно сегментированы. Это, в свою очередь, должно упростить назначение верных ролей пользователям в организации.

Кроме того, необходимо помнить, что наилучшим способом назначения ролей является использование концепции минимальных полномочий. Каждый определенный пользователь должен иметь только минимальный объем полномочий, необходимый для выполнения своей работы.

Также важно помнить, что члены локальной группы «Администраторы» в ISA Server 2006 Standard Edition имеют такие же права, как и полный администратор ISA Server. В Enterprise Edition члены локальной группы «Администраторы» на сервере с ролью сервера хранилища настроек имеют полный контроль над настройкой Enterprise. Это означает, что необходимо внимательно проверить членство в группе «Администратора домена», предполагая, что сервер ISA Server является членом домена, а также во всех остальных группах, являющихся членами локальной группы «Администраторы».

Автор: Алан Мэдисон  •  Иcточник: TechNet Magazine  •  Опубликована: 11.09.2008
Нашли ошибку в тексте? Сообщите о ней автору: выделите мышкой и нажмите CTRL + ENTER
Теги:  


Оценить статью:
Вверх
Комментарии посетителей
Комментарии отключены. С вопросами по статьям обращайтесь в форум.