Локальные параметры безопасности. Проверка среды на предмет недостающих патчей. Агент восстановления данных

Из предыдущих статей по групповым политикам вы узнали о назначении и использовании оснастки «Редактор объектов групповой политики» , об административных шаблонах, ознакомились с некоторыми локальными политиками безопасности. В этой статье вы узнаете еще об одном механизме управления конфигурацией безопасности - о шаблонах безопасности и их применении в производственной среде. Разумеется, при помощи локальных политик безопасности вы можете централизовано разворачивать практически все возможные настройки для пользователей и компьютеров, но иметь представление о настройке шаблонов безопасности просто необходимо, так как не во всех случаях у вас получится развернуть на предприятии нужные для вас настройки групповых политик.

Сам по себе шаблон безопасности - это заранее сохраненный текстовый файл с расширением inf, который содержит набор параметров конфигурации безопасности. Одним из основных преимуществ шаблонов безопасности является гибкость развертывания. Вы можете развернуть шаблоны безопасности как в домене при помощи объектов групповой политики Active Directory, так и в небольших офисах или домашнем окружении (Small Office Home Office - SOHO) при помощи оснастки «Анализ и настройка безопасности» или средствами утилиты командной строки Secedit.exe, о которых будет рассказано в последующих статьях. Еще одной из достопримечательностей данных шаблонов является то, что шаблоны безопасности - это обычные текстовые файлы, редактировать которые вы можете даже при помощи стандартной программы «Блокнот» . Также нельзя не отметить тот факт, что именно при помощи шаблонов безопасности вы можете провести анализ соответствия текущей конфигурации компьютера и настроек, содержащихся в созданных шаблонах безопасности.

При помощи шаблонов безопасности вы можете настраивать параметры политики, которые отвечают за следующие компоненты безопасности:

  • Политики учетных записей . Вы можете настраивать уже известные вам по статье политики паролей, политики блокировки учетной записи, а также политики Kerberos;
  • Локальные политики . Доступны настройке политики аудита, назначения прав пользователей, а также параметры безопасности, аналогичные параметрам политики оснастки ;
  • Журналы событий . Вы можете изменять настройки журналов «Приложения» , «Система» и «Безопасность» , такие как политики создания файлов журналов, максимальный размер и прочее;
  • Группы с ограниченным доступом . Настройки ограничений доступа пользователей, которые являются членами различных групп;
  • Настройки системных служб> . Вы можете управлять типом запуска и разрешением доступа всех системных служб, которые можно найти в оснастке «Службы» ;
  • Настройки системного реестра . Можно добавлять разрешения на доступ к разделам реестра;
  • Настройки безопасности файловой системы . У вас есть возможность задавать разрешения доступа на файлы и папки.

Рекомендуется не вносить изменения в предустановленный шаблон Setup security.inf, так как при помощи этого шаблона у вас есть возможность восстановления параметров безопасности, используемых по умолчанию. Также, чтобы избежать многих проблем, желательно перед внедрением созданного шаблона в эксплуатацию, протестировать его на отдельном компьютере.

Использование оснастки «Шаблоны безопасности»

Откройте оснастку «Шаблоны безопасности» . Для этого выполните следующие действия:

  1. Откройте «Консоль управления MMC» . Для этого нажмите на кнопку «Пуск» , в поле поиска введите mmc , а затем нажмите на кнопку «Enter» ;
  2. Откроется пустая консоль MMC. В меню «Консоль» выберите команду «Добавить или удалить оснастку» или воспользуйтесь комбинацией клавиш Ctrl+M ;
  3. В диалоге «Добавление и удаление оснасток» выберите оснастку «Шаблоны безопасности» и нажмите на кнопку «Добавить» ;
  4. В диалоге «Добавление или удаление оснасток» нажмите на кнопку «ОК» .

При первом открытии данной оснастки, в папке Documents вашей учетной записи создается папка Security с вложенной папкой Templates. Именно в папке Templates и хранятся созданные вами шаблоны безопасности. На следующей иллюстрации отображена оснастка «Шаблоны безопасности», открытая впервые:

Рис. 1. Первое открытие оснастки «Шаблоны безопасности»

Создание нового шаблона безопасности

Для последующей работы с шаблонами безопасности создайте новый шаблон. Для этого вам предстоит выполнить действия, описанные в следующей процедуре:

  1. В дереве консоли щелкните правой кнопкой мыши на узле, предоставляющем путь поиска шаблона. По умолчанию путь %Userprofile%\Documents\Security\Templates;
  2. В появившемся контекстном меню выберите команду «Создать шаблон» ;
  3. Введите название нового шаблона в текстовое поле «Имя шаблона» появившегося диалогового окна. В том случае, если вы создаете несколько различных шаблонов безопасности, я вам рекомендую добавлять подробное описание назначения шаблона в поле «Описание» . Например, на следующей иллюстрации вы можете увидеть диалог создания шаблона с названием «Конфигурация системных служб» . В связи с тем, что на пользовательских компьютерах могут быть установлены разные ОС, в описании указана версия операционной системы, для которой создается текущий шаблон.

Рис. 2. Диалог создания нового шаблона безопасности

При желании вы можете изменить путь для поиска шаблонов, созданный по умолчанию. Для этого, в дереве консоли, нажмите правой кнопкой мыши на узле «Шаблоны безопасности» и выберите команду «Найти путь для поиска шаблонов…» . В диалоговом окне «Обзор папок» выберите папку, в которой будут сохраняться новые шаблоны безопасности и нажмите на кнопку «ОК» .

Рис. 3. Изменение пути для поиска шаблонов

Изменение настроек шаблона безопасности

После создания нового шаблона, в оснастке вы увидите набор групповых политик, подобный тем, которые отображаются в оснастке «Редактор объектов групповых политик» . Не стоит также забывать, что оснастка шаблонов безопасности представляет собой только редактор набора групповых политик и не влияет на изменение текущей конфигурации. То есть, после полного изменения политик, предоставленных в данной оснастке, вам не стоит волноваться о том, что настройки на вашем рабочем месте будут изменены. Далее мы рассмотрим набор политик системных служб, добавление параметров реестра, а также редактирование групп с ограниченным доступом.

На следующей иллюстрации отображен новый шаблон безопасности:

Рис. 4. Новый шаблон безопасности

Настройка системных служб

Узел «Системные службы» предназначен для последующего изменения конфигурации системных служб средствами групповых политик при развертывании. Содержимое этого узла сильно напоминает оснастку «Службы» , однако между ними есть одна существенная разница. При помощи оснастки «Службы» вы настраиваете тип запуска служб на локальном компьютере, а используя шаблоны безопасности, вы можете распространить указанные настройки системных служб одновременно на несколько компьютеров. Рассмотрим подробно применение содержимого данного узла на простом примере:

На компьютерах вашего малого офиса, в котором нет домена, никогда не будут использоваться планшетные ПК, устройства BlueTooth и смарт-карты. Допустим, вы опасаетесь вторжения на компьютеры недоброжелателей, поэтому хотите отключить возможность удаленного управления системного реестра, службы удаленных рабочих столов, а также вашим пользователям нельзя на рабочих местах использовать Windows Media Center. По этой же причине необходимо полностью отключить на компьютерах вашей сети все эти службы. Чтобы развернуть эти настройки служб на всех компьютерах, выполните следующие действия:


Настройка системного реестра

После подробного изучения параметров групповых политик, вы можете обнаружить, что, несмотря на использование групповых политик и шаблонов безопасности, пользователи умудряются изменять некоторые системные параметры при помощи реестра. Вы знаете раздел системного реестра, отвечающий за определенную настройку, но хотите дать возможность вносить изменения в этот раздел только указанной группе пользователей. Допустим, вам нужно дать полный доступ на изменение параметров раздела реестра, отвечающего за компонент «Дата и время» только для групп «Система» и «Администраторы» , причем пользователям, которые являются членами группы «Пользователи» нужно запретить даже просмотр данного раздела. Для этого выполните следующие действия:


Настройка групп с ограниченным доступом

При помощи групп с ограниченным доступом вы можете указывать пользователей, которые будут принадлежать к определенной группе. Политики, применяемые с шаблонами безопасности, будут распространяться на всех пользователей, которые входят в группы с ограниченным доступом. Для того чтобы указать членов группы с ограниченным доступом, выполните следующие действия:

По окончании изменения шаблона безопасности, вам нужно его сохранить для дальнейшего использования. Для сохранения шаблона безопасности нажмите правой кнопкой мыши на наименовании узла шаблона безопасности и выберите команду «Сохранить» или «Сохранить как» из контекстного меню. Шаблон будет сохранен с расширением *.inf .

Заключение

В этой статье был рассмотрен очередной механизме управления конфигурацией безопасности - шаблоны безопасности и их применении в производственной среде. Зачастую данный механизм применяют на небольших предприятиях без доменной сети. Вы узнали о том, как можно открыть данную оснастку, а также настроить новый шаблон безопасности, который является текстовым файлом, с расширением *.inf .

1. "Хранителем" пула уникальных идентификаторов безопасности выступает

2. 1000 Гб образуют

3. 1000 Тб образуют

5. Active Directory можно запрашивать с помощью протокола

6. Active Directory поддерживается

7. C ростом длины цепочек производительность диска

8. CIFS является протоколом

9. FAT содержит записи

10. GPO Default Domain Policy содержит

11. Intellimirror реализуется в зонах, в которые входят

12. Intellimirror реализуется с помощью

13. Intellimirror реализуется с помощью

14. IP - это протокол

15. IPSec обеспечивает для VPN-соединения

16. IP-адреса в домене in-addr. arpa записываются

17. ISDN использует для передачи данных

18. LDAP указывает путь именования, определяющий

19. MFT является

20. NetBIOS - это уровень представления

21. NLB Manager позволяет изменять конфигурацию

22. NLB выполняет фильтрацию пакетов

23. NLB перехватывает пакеты

24. NT4 выполняет разрешение имен, если имя NetBIOS

25. OU организует определенные объекты домена в виде

26. RSS запускается только на томах, отформатированных с помощью

27. RSS поддерживает

28. Security Filtering может применяться

29. UDP-версия FTP носит название

30. Windows Components применяется для конфигурации

32. Windows Server 2003 может быть

33. Windows Server 2003 обеспечивает операции дистанционного управления через

34. WINS используется для имен

35. WINS отображает IP-адреса

36. Автономный корень имеет

37. Администраторы управляют кластером, используя

38. Активизировать и конфигурировать блокировки можно

39. Апплет RIS Wizard предназначен для включения

40. База данных на уровне леса, содержащая классы объектов и атрибуты для всех объектов, содержащихся в Active Directory, носит название

41. Без поддержки больших окон при передаче данных по протоколу TCP/IP максимальный размер окна обычно равен

42. Более детальные настройки безопасности NTFS можно задавать

43. Большинство настроек, относящихся к Intellimirror, обычно задаются в оснастке GPOE, в секции

44. Быстрое выполнение обратного поиска с помощью зоны обратного поиска осуществляется с помощью

45. В DOS 4.0 записи FAT имели размер

46. В RIS используется технология хранения элементов

47. В Windows Server 2003 включена служба времени

48. В Windows Server 2003 для IPSec используется метод шифрования

49. В Windows Server 2003 используется файловая система

50. В Windows Server 2003 оснастка IP Security Monitor обеспечивает

51. В Windows Server 2003 хранение и управление доменными учетными записями происходит

52. В автономной системе DFS корень хранится

53. В глобальные группы можно включатьы

54. В домене учетные записи представляют

55. В доменных именах старшинство

56. В информацию малого дампа включается

57. В какие версии Windows Server 2003 входит NLB?

58. В каких вариантах доступны устанавливаемые приложения?

59. В каком Help-файле описаны настройки политики беспроводной сети?

60. В каком Help-файле описаны настройки политики ограничения ПО?

61. В каком режиме универсальные группы не создаются?

62. В кластере серверов каждый компьютер называется

63. В минимальные требования сетевой инфраструктуры RIS входит использование

64. В нормальном режиме системный ключ сохраняется в реестре с помощью

65. В организационные единицы можно включать

66. В сертификат обычно включается информация

67. В среде DCE используется модель

68. В целях оптимизации производительности можно осуществлять мониторинг

69. В чем основное отличие файлов CSV от файлов TSV?

70. Вверху транспортного уровня модели OSI сетевая архитектура Windows Server 2003 имеет интерфейс

71. Вместо таблицы FAT NTFS использует специальный файл, который называется

72. Внутренний сетевой номер - это

73. Время на передачу и подтверждение приема называется

74. Все компьютеры в кластере можно указывать с помощью

75. Все стеки протоколов, действующие на компьютере Windows Server 2003, передают свои запросы сетевых услуг

76. Все счетчики, относящиеся к файлу подкачки, содержатся в объекте

77. Все текущие сетевые пользователи, включая гостей и пользователей из других доменов, входят в группу

78. Выберите возможные ключи для chkdsk:

79. Выберите из предложенных ниже записей команды Recovery Console:

80. Выберите из предложенных ниже записей типы запросов DNS:

81. Выберите из приведенных ниже записей Help-файлы, связанные с Group Policy Windows Server 2003:

82. Выберите из приведенных ниже записей команды Recovery Console:

83. Выберите из приведенных ниже записей типы настроек Security Settings в узле Computer Configuration, доступных с помощью Group Policy:

84. Выберите типы зон, поддерживаемых и реализуемых с помощью объекта GPO?

85. Выберите форматы файлов журналов их приведенных ниже записей:

86. Выделите вкладки диалогового окна RSOP:

87. Выделите возможные источники поступления эталонной информации:

88. Выделите из приведенных записей преимущества FAT32 перед FAT:

89. Выделите из приведенных ниже записей группы контейнера Builtin:

90. Выделите из приведенных ниже записей группы, имеющиеся на рядовом сервере, работающем под управлением Windows Server 2003:

91. Выделите из приведенных ниже записей действия, которые может выполнять обладатель соответствующих полномочий:

92. Выделите из приведенных ниже записей домены верхнего уровня:

93. Выделите из приведенных ниже записей команды Nlb. exe:

94. Выделите из приведенных ниже записей компоненты DFS:

95. Выделите из приведенных ниже записей компоненты SFNW5:

96. Выделите из приведенных ниже записей организации RIR:

97. Выделите из приведенных ниже записей средства Group Policy, используемые для управления:

98. Выделите из приведенных ниже записей средства сетевого доступа, не включенные в 64-битные версии Windows Server 2003:

99. Выделите из приведенных ниже записей типы доверительных отношений в Windows Server 2003:

100. Выделите из приведенных ниже записей узлы, содержащие информацию о службах, которые работают в сети:

101. Выделите из приведенных ниже записей улучшения DHCP, внесенные в Windows Server 2003:

102. Выделите из приведенных ниже записей утилиты TCP/IP:

103. Выделите события от системного провайдера:

104. Выделите составляющие части заголовка TCP:

105. Выделите существующие в Windows Server 2003 объекты GPO:

106. Выделите те объекты, которые содержатся в каждой системе:

107. Где могут находиться доменные группы?

108. Где осуществляется запись данных, когда возникает событие, вырабатываемое операционной системой или приложением?

109. Главным компонентом Kerberos является

110. Главным обозревателем является по умолчанию

111. Глобальные группы могут содержать

112. Глобальные группы, которые нельзя поместить в локальные группы доверяемых доменов, носят название

113. Группа компьютеров, которые совместно работают как единое целое, носит название

114. Группа может содержать

115. Группа настроек, которые определяют рабочее окружение пользователя, носит название

116. Группа отдельных серверов, совместно работающих как одна система, носит название

117. Групповые политики применяются

118. Группы, которые создаются для задания полномочий и прав пользователей, это всегда

119. Данные с наиболее высоким порядковым номером обновления реплицируются

120. Данные, сохраняемые приложениями, хранятся в папке

121. Двоичный файл журнала имеет расширение задать

122. Дисковые квоты - это

123. Для Windows Server 2003 наиболее распространена топология

124. Для добавления или удаления доменов в лесу используется роль

125. Для доступа к файловым ресурсам и ресурсам печати на серверах NetWare используется служба

126. Для каких из приведенных ниже объектов подходит NLB?

127. Для каких из приведенных ниже протоколов может использоваться NLB?

128. Для каких рабочих нагрузок можно определить характеристики?

129. Для контроллеров домена искомое время - это время

130. Для корректировки ПО применяют

131. Для малого дампа требуется файл подкачки не менее

132. Для определения компонента DNS-имени объекта Active Directory используется

133. Для отслеживания и управления съемными запоминающими устройствами используется служба

134. Для поддержки соответствующего продукта на уровне текущих изменений, а также исправления проблем, появившихся после выпуска этого продукта, используют

135. Для поиска серверов DHCP используется сообщение

136. Для сегментирования различных типов фреймов, которые могут существовать в данной сети, используют

137. Для создания и поддержки двухточечных соединений PPP использует

138. Для транзитивности доверительных отношений в домене и лесу соответствующее доверительное отношение должно

139. Для упрощения административного управления доменом создаются

140. Для чего Windows Server 2003 использует сертификаты?

141. Для чего используется KDC?

142. Для чего используется кластеризация?

143. Для чего используются утилиты планирования вычислительной мощности от сторонних поставщиков для Windows Server 2003?

144. Для чего предназначены открытые IP-адреса?

145. До согласования аренды потенциальный клиент DHCP работает

146. Доверительные отношения между корнями двух различных доменов одного леса имеют тип

148. Домен внутри другого домена называется

149. Доступ к доменным ресурсам санкционируется в зависимости

150. Единицей размещения файлов в NTFS являются

151. Если активизирована поддержка IGMP Multicast, то соответствующий групповой IP-адрес должен быть допустимым IP-адресом

152. Если время не удается синхронизировать три раза подряд, то период до удачной синхронизации будет равен

153. Если группа создается на компьютере, который не является контроллером домена, можно ли выбрать тип группы "local"?

154. Если пользователь или приложение извлекает второй файл в течение десяти секунд после первого файла, это называется

155. Если пользователю нужно использовать файл, который не имеет кэшированных данных на томе, то применяется процесс, который называется

156. Если прошло 50% времени от текущего периода аренды, то клиент переходит в состояние

157. Если синхронизация времени успешно проходит три раза подряд с использованием периода 45 минут, то задается новый период, равный

158. Если создается группа, то это по умолчанию

159. Если состояние сервера внутри кластера изменяется, то активные серверы запускают процесс, который называется

160. Журналы трассировки отличаются от журналов счетчиков

161. Журналы трассировки следят за событиями

162. Задачи, которые разрешается выполнять пользователям при работе с объектами на диске NTFS, носят название

163. Задачи, которые разрешается выполнять пользователям при работе с настройками компьютера или домена, называются

164. Записи FAT, указывающие на каждый блок размещения для фрагментированного файла, носят название

165. Запись статистики работы или использования системы для локальных и удаленных систем производится

167. Значение приоритета может изменяться

168. Значения, которые используются для измерения производительности таких продуктов, как процессоры, видеокарты, накопители на жестких дисках, приложения и системы в целом, носят название

169. Идентичный разделяемый ресурс на другом сервере в DFS носит название

170. Из какого количества полей состоит заголовок IP?

171. Из перечисленных ниже записей выделите интерфейсы пользовательского режима:

172. Из приведенных ниже записей выделите возможности IPSec:

173. Из приведенных ниже записей выделите контейнеры, которые создаются в Windows Server 2003:

174. Из приведенных ниже записей выделите названия протоколов для маршрутизаторов:

175. Из приведенных ниже записей выделите объекты, информация о которых содержится в Active Directory:

176. Из приведенных ниже записей выделите объекты, которые находятся в каждой системе:

177. Из приведенных ниже записей выделите политики аудита, которые можно применять для повышения безопасности Windows Server 2003:

178. Из приведенных ниже записей выделите роли на уровне леса:

179. Из приведенных ниже записей выделите скрипты, которые могут запускаться с помощью WSH:

180. Из приведенных ниже записей выделите сообщение, используемое клиентами для запроса конкретного IP-адреса:

181. Из приведенных ниже записей выделите сообщение, используемое серверами для отклонения согласия клиента с IP-адресом:

182. Из приведенных ниже записей выделите специальные группы:

183. Из приведенных ниже записей выделите те объекты, которые могут входить в группы:

184. Из приведенных ниже записей выделите утилиты для работы с Active Directory:

185. Из приведенных ниже определений выделите типы записей DNS:

186. Из приведенных ниже элементов выделите записи реестра клиентской стороны:

187. Имеется двоичное представление IP-адреса: .... Какому IP-адресу оно соответствует?

188. Имя входа в UPN определяется

189. Имя, которое видят пользователи, в DFS носит название

190. Информация доменных учетных записей хранится

191. Информация по безопасности, которая присоединяется к восстанавливаемому файлу, содержит

192. Использование RSS

193. Используемый тип шифрования IPSec определяется

194. Используя GPOE можно

195. К атрибутам файла следует отнести

196. К важным ресурсам, мониторинг которых обязателен для каждого сервера, следует отнести

197. К вариантам журнала для операции резервного копирования следует отнести

198. К вариантам местоположения файлов при резервном копировании следует отнести

199. К встроенным пользовательским учетным записям следует отнести

200. К главным достоинствам NLB для приложений следует отнести

201. К группам контейнера Users следует отнести

202. К действиям, которые может выполнять обладатель соответствующих полномочий, следует относить

203. К доменам верхнего уровня следует отнести

204. К записям реестра клиентской стороны следует отнести

205. К информации, которую может защищать SYSKEY, следует отнести

206. К информации, которую содержит сертификат, следует отнести

207. К кластерным технологиям Microsoft Windows Server 2003 следует отнести

Developer Project предлагает поддержку при сдаче экзаменов учебных курсов Интернет-университета информационных технологий INTUIT (ИНТУИТ). Мы ответили на экзаменационные вопросы 380 курсов INTUIT (ИНТУИТ) , всего вопросов, ответов (некоторые вопросы курсов INTUIT имеют несколько правильных ответов). Текущий каталог ответов на экзаменационные вопросы курсов ИНТУИТ опубликован на сайте объединения Developer Project по адресу: http://www. dp5.su/

Подтверждения правильности ответов можно найти в разделе «ГАЛЕРЕЯ», верхнее меню, там опубликованы результаты сдачи экзаменов по 100 курсам (удостоверения, сертификаты и приложения с оценками).

Болеевопросов по 70 курсам и ответы на них, опубликованы на сайте http://www. dp5.su/, и доступны зарегистрированным пользователям. По остальным экзаменационным вопросам курсов ИНТУИТ мы оказываем платные услуги (см. вкладку верхнего меню «ЗАКАЗАТЬ УСЛУГУ». Условия поддержки и помощи при сдаче экзаменов по учебным программам ИНТУИТ опубликованы по адресу: http://www. dp5.su/

Примечания:

- ошибки в текстах вопросов являются оригинальными (ошибки ИНТУИТ) и не исправляются нами по следующей причине - ответы легче подбирать на вопросы со специфическими ошибками в текстах;

- часть вопросов могла не войти в настоящий перечень, т. к. они представлены в графической форме. В перечне возможны неточности формулировок вопросов, что связано с дефектами распознавания графики, а так же коррекцией со стороны разработчиков курсов.

Как ни странно, опыт преподавания курсов по безопасности Windows 2000 и Windows Server 2003 в нашем учебном центре показывает, что даже теперь, в начале 2004 года, то есть через четыре года после появления Active Directory, у квалифицированных специалистов нет четкого представления о групповых политиках, основном инструменте настройки Active Directory. В частности, возможность тиражировать разрешения на файлы и параметры реестра с помощью групповых политик вызывает на наших курсах живой интерес. Этому вопросу и посвящена данная статья.

Политики и шаблоны

Всем читателям наверняка знакомы инструменты проверки параметров защиты компьютера на соответствие шаблону и редактирования шаблонов защиты компьютера - оснастки Security Templates и Security Configuration and Analysis. Обучение работе с этими средствами входит в программу официальных курсов Microsoft, их применение описано в литературе (см., например, «Безопасность сети на основе Windows 2000: учебный курс MCSE». М.: Русская Редакция, 2001), в том числе в журнальных статьях («Все и сразу» С. Гордейчика в № 1 Windows & .NET Magazine/RE за 2003 год; «Конструктор шаблонов безопасности» М. Минаси в № 5 Windows & .Net Magazine/RE за тот же год). Во всех этих материалах упоминается, что шаблоны безопасности можно импортировать в групповые политики, тиражируя тем самым записанные в них параметры. Во всех статьях говорится, что с помощью шаблонов безопасности можно настраивать разрешения на объекты файловой системы и параметры реестра. Но нигде не делается на этом акцент. Давайте же восполним пробел.

Экран 1. Оснастка Security Templates

Рассмотрим оснастку Security Templates (см. экран 1). Если открыть любой из имеющихся в системе шаблонов, увидим, что в его составе имеются ветви File System, Registry и System Services. В составе этих ветвей хранится информация о разрешениях на объекты файловой системы, параметры реестра и службы, соответственно. Достаточно щелкнуть два раза мышью по любому имеющемуся в этих ветвях объекту и нажать в открывшемся окне кнопку Edit Security - откроется стандартное окно редактирования списка разрешений для объекта. Немногие знают, что доступ к системным службам тоже можно разграничивать, устанавливая разрешения: кому-то позволено только просматривать состояние службы, кому-то - останавливать и запускать службу и т. д.

Если интересующий вас объект в списке отсутствует, следует в меню All Tasks выбрать пункт Add file or Folder, Add Key или Add System Service, после чего перейти к объекту на своем компьютере, если он есть, либо ввести полный путь к файлу/папке или параметру реестра с клавиатуры. Из служб можно выбирать только те, что имеются на компьютере, на котором запускается оснастка.

Настроить параметры системы в соответствии с тем, что указано в шаблоне, можно тремя способами: с помощью оснастки Security Configuration and Analysis, через командную строку с помощью команды Secedit и через групповые политики. Последний вариант предпочтительнее остальных, так как позволяет тиражировать эти настройки сразу на большое количество компьютеров. Инкрементальные шаблоны безопасности (см. упомянутую выше статью С. Гордейчика) также удобно применять, используя групповые политики и их механизм наследования параметров.

В любой объект групповой политики можно импортировать содержимое шаблона безопасности, как показано на экране 2, после чего изменять любые настройки по своему усмотрению.

В оснастке Group Policy Editor для нужного объекта групповой политики следует выбрать ветвь Computer Settings - Windows Settings - Security Settings. Вызвав для этой ветви меню All Tasks, необходимо выбрать пункт Import Policy и в открывшемся окне выбрать нужный файл с расширением INF, содержащий параметры искомого шаблона безопасности. Далее можно редактировать эти настройки. Соответствующий интерфейс полностью воспроизводит интерфейс редактирования шаблона безопасности в оснастке Security Templates.

Где взять шаблоны

Шаблоны можно брать в разных местах. Прежде всего, существует стандартный набор шаблонов безопасности, поставляемых вместе с операционной системой. Полный обзор таких шаблонов содержится в упомянутых выше публикациях, замечу лишь, что разрешения на файлы и разделы реестра настраиваются только в следующих шаблонах:

  • Basicws.inf, Basicsv.inf и Basicdc.inf - это шаблоны безопасности со стандартными параметрами по умолчанию для Windows 2000 Professional, Windows 2000 Server и контроллеров домена Windows 2000, к компьютерам под Windows Server 2003 они неприменимы;
  • Setup Security.inf - это шаблон безопасности с параметрами, используемый сразу после установки для каждого конкретного компьютера под управлением Windows 2000, Windows XP или Windows Server 2003; его не следует импортировать через групповые политики, за исключением совсем уж однотипных настроек всех компьютеров в OU, вместо этого можно включить в групповые политики сценарий, содержащий вызовы Secedit для данного шаблона;
  • Compatws.inf - это шаблон, ослабляющий защиту ради совместимости со старыми программами; содержит, помимо прочего, менее жесткие ограничения на доступ к системным файлам;
  • Ocfilesw.inf и Ocfiles.inf - шаблоны, описывающие стандартные разрешения доступа к файлам дополнительных компонентов, входящих в состав Windows 2000: Internet Explorer 5.0, NetMeeting, IIS 5.0 и т. д.

Кроме того, Microsoft выпускает шаблоны безопасности, содержащие настройки для своих прикладных программ, а также системных компонентов, не описанных в стандартных шаблонах. Среди них:

  • Notssid.inf - шаблон, исключающий из списков доступа сервера Windows 2000 упоминание о группе Terminal Services; его можно применять как инкрементальный на тех компьютерах, где планируется использование старого программного обеспечения в режиме терминального сервера;
  • Certificate Services.inf - шаблон безопасности с параметрами для службы сертификатов Windows 2000;
  • File and print incremental.inf - шаблон с настройками для сервера Windows 2000 или Windows Server 2003 (следует загрузить с сайта Microsoft версию, соответствующую версии операционной системы), который играет роль сервера файлов и печати;
  • Infrastructure Incremental.inf - шаблон с настройками для сервера Windows 2000 или Windows Server 2003, обслуживающего сетевую инфраструктуру - содержащего службы DNS, WINS, DHCP и т. п.;
  • IIS Incremental.inf - шаблон с настройками для сервера Windows, на котором запущены службы IIS;
  • Exchange DC Incremental.inf, Exchange Back End Incremental.inf и OWA Front End Incremental.inf - шаблоны с настройками элементов Microsoft Exchange.

Приведенный список далеко не полный, новые шаблоны появляются регулярно.

Некоторые организации и ведомства также предлагают свои варианты шаблонов безопасности. Эти шаблоны затрагивают списки доступа к файлам и системным компонентам через реестр. В частности, для Windows 2000 свои шаблоны предлагают Агентство национальной безопасности США (www.nsa.gov ) и Национальный институт стандартов и технологий США (www.nist.gov ). Для Windows Server 2003 обе организации рекомендуют пользоваться шаблонами, поставляемыми вместе с «Руководством по защите систем на платформе Windows Server 2003» (Microsoft Windows Server 2003 Hardening Guide).

Шаблоны, предлагаемые NIST, могут быть интересны «любителям антиквариата» тем, что наряду с файлами, входящими в состав стандартной установки операционной системы Windows 2000 Professional, в них описаны списки доступа на файлы и разделы реестра, соответствующие установленному на компьютере Netscape Navigator 4.6.

Сделай сам

Представьте себе ситуацию: вы хотите распространить через шаблоны безопасности или групповые политики настройки доступа к объектам какой-либо программы, установленной на компьютере, а готового шаблона, описывающего эту программу, найти не удалось. В таком случае придется изготовить шаблон самостоятельно.

Если программа спроектирована со стандартным размещением компонентов, тогда все просто: в шаблон следует внести папку программы, по умолчанию C:Program Files и параметр реестра HKEY_LOCAL_MACHINESoftware . Для этих объектов имеет смысл задать разрешения: Administrators -Full Control, Users - Read&Execute; с наследованием разрешений дочерними объектами. Те программные файлы, которые программа установки приложения записывает в системную папку %Windir%System32 и папку общих программных компонентов C:Program FilesCommon Files, унаследуют аналогичные разрешения от указанных папок. В случае программы со стандартным размещением компонентов все настраиваемые индивидуальные параметры для пользователя сохраняются в его профиле, путь к которому программа запрашивает у системы, а также в ветви реестра HKEY_CURRENT_USER.

К сожалению, не все программы написаны со стандартным размещением компонентов. В таком случае требуется исследование программы как в процессе установки, так и в ходе дальнейшей работы. Здесь можно задействовать как стандартные средства регистрации событий и аудита Windows, так и дополнительные утилиты. Существуют две бесплатные утилиты, разработанные компанией Sysinternals (www.sysinternals.com), Filemon и Regmon. Они предназначены для отслеживания операций с файлами и реестром. В данном случае трудно применить аудит доступа к объектам для регистрации событий безопасности Windows, так как для его использования требуется настройка на уровне отдельных объектов - папок, файлов и разделов реестра, а их для вновь устанавливаемой программы еще нужно выявить. Регистрацию событий и аудит Windows придется тем не менее задействовать: следует включить регистрацию событий категории Process Tracking. Для чего - будет сказано ниже.

Экран 3. Программа Filemon

Рекомендуется запустить программы Filemon (см. экран 3) и Regmon непосредственно перед запуском утилиты установки программы и собрать сведения об операциях с файлами и реестром, выполняющихся в течение процесса развертывания. После этого самое главное - сохранить полученные протоколы перед тем, как перезагружать компьютер после установки программы.

Протоколы, получаемые в результате работы программ Filemon и Regmon, - это текстовые файлы в формате CSV, которые можно импортировать в Excel или Access для анализа. В этих протоколах фигурируют все операции в хронологическом порядке, которые выполнялись на компьютере как в ходе работы программы установки, так и в ходе работы системных служб или других программ, запущенных в это время. Поэтому обработка протоколов сводится к двум основным операциям: сначала следует отфильтровать все операции, кроме записи файлов и записи в реестр, а затем отбросить все операции, кроме тех, которые инициированы программой установки (либо службой Microsoft Installer, процесс MSIExec) и процессами, порожденными процессом установки. Для выявления этих процессов нужно проанализировать журнал аудита событий категории Process Tracking.

По оставшимся записям требуется составить отчет с перечислением задействованных объектов - файлов, папок и разделов реестра. Этот отчет необходимо экспортировать в текстовый файл, после чего минимальное дополнительное оформление превратит его в готовый шаблон защиты:

  • следует разбить его на две части, отдельно для файлов, отдельно для разделов реестра;
  • перед этими частями нужно подставить стандартные заголовки: перед перечнем разделов реестра и перед перечнем файлов.

Затем следует подставить общий стандартный заголовок в начале файла, каждую строку взять в кавычки и подставить в конец строки после кавычек: «,0,»D:AR(A;CI;KA;;;BA)(A;CI;KR;;;BU)»» (именно такой текст, только внешние кавычки следует убрать). Эту строку можно воспроизвести на своем компьютере, сделав некий тестовый шаблон с установленными разрешениями на один файл и один раздел реестра, а затем открыв соответствующий INF-файл в Notepad (см. листинг 1 ). Приведенные в листинге разрешения соответствуют стандартным разрешениям по умолчанию в среде Windows Server 2003.

Излишне говорить, что полученный шаблон настроек необходимо сначала протестировать, прежде чем распространять через групповые политики. В значительной части случаев сразу создать работоспособные настройки, скорее всего, не получится.

Дело в том, что многие программы сохраняют свои промежуточные рабочие данные непосредственно в папке программы, а не в папке, указанной в переменной окружения %TEMP%. Часто приходится использовать такие программы, написанные для Windows 95/98/ME, так как ждать новых версий, написанных с учетом требований многопользовательской операционной системы, обеспечивающей разграничение доступа к ресурсам, по тем или иным причинам не приходится. Если установить на файлы и папки разрешения, указанные выше (Administrators - Full Control, Users -Read & Execute, унаследовать разрешения от папки на дочерние объекты), тогда такую программу можно будет запускать и полноценно использовать лишь при наличии прав администратора на данном компьютере. В таком случае опять придется задействовать мониторинг событий, но уже не в процессе установки, а в ходе повседневной работы программы.

Вновь следует использовать утилиты Filemon и Regmon, включить регистрацию событий категории Process Tracking, чтобы выявить дочерние процессы, запускаемые данной программой, и отследить их активность тоже. Кроме того, необходимо включить регистрацию событий категории Use of User Rights: возможно, для обеспечения работоспособности программы придется наделить пользователей какими-то системными привилегиями, которые у администратора имеются изначально.

При обработке протоколов, полученных при использовании программ Filemon и Regmon, следует:

  • оставить записи, относящиеся к активности основного процесса программы и его дочерних процессов, перечень которых даст анализ журналов регистрации Windows в части событий категории Process Tracking;
  • стандартными средствами той программы, в которую импортированы для обработки протоколы мониторинга в формате CSV, создать отчет для каждого ресурса, к которому обращались рассматриваемые процессы, и указать перечень запрошенных процессами типов доступа;
  • этот отчет следует проанализировать и добавить в созданный в результате мониторинга установки шаблон безопасности содержащиеся в данном отчете файлы и разделы реестра, предоставив соответствующие разрешения группе Users.

Кроме того, нужно проанализировать журнал регистрации событий безопасности Windows в части событий категории Use of User Rights, относящихся к исследуемым процессам. Если там упоминаются системные привилегии, не предоставленные по умолчанию группе Users, придется в шаблон безопасности для программы добавить настройки в раздел Local Policies - User Rights Assignment, предоставляющие соответствующие права и привилегии группе Users. Лучше бы этого не делать, поскольку расширение прав группы Users ослабляет защиту компьютера, но если иначе необходимая программа не работает, деваться некуда.

Еще один способ

Если на машине установлена Windows XP или Windows Server 2003, можно вместо манипуляций с Filemon и Regmon модифицировать ярлык программы, чтобы она запускалась в режиме эмуляции рабочей среды более ранней версии Windows. Но если при этом используется эмуляция не Windows NT/2000, запуск в таком режиме приводит к расширению прав данного процесса до уровня локального администратора или даже системы, что сводит на нет всю защиту, обеспечиваемую операционной системой. Поэтому в корпоративной среде указанной возможностью пользоваться вряд ли стоит - слишком велик риск. Впрочем, уровень риска оценивать вам, сопоставлять его с приобретенным удобством тоже вам, и, хотя в конечном счете принимать решение, возможно, придется вашему начальнику, за последствия отвечать опять же вам. К тому же такие параметры ярлыка программы, в отличие от разрешений на файлы и реестр, через шаблоны безопасности и групповые политики тиражировать невозможно.

Алексей Сотский - преподаватель учебного центра, имеет сертификаты MCSE, MCT. С ним можно связаться по адресу:

В КГ №40 за 2006 год была опубликована моя статья о средствах безопасности, встроенных в Windows XP. В ней я описал те компоненты и возможности, которые имеет XP для обеспечения приемлемого уровня защиты. Тогда я обошел вниманием такую немаловажную утилиту, как менеджер редактирования локальных политик безопасности. Сегодня я хочу исправить это упущение и рассказать именно про эту утилиту (рис. 1). Естественно, она имеется в стандартном наборе утилит, которые поставляются в любом дистрибутиве Windows, который не редактировался при помощи утилит сборки дистрибутивов и т.п. Ну-с, давайте приступим.

Для начала несколько слов о том, как можно добраться до этой самой утилиты. Наиболее простой способ - воспользоваться командой Выполнить, которая доступна в меню Пуск (сочетание клавиш Win+R). В строке необходимо ввести следующее сочетание: secpol.msc /s. Зная, что таким образом можно вызывать приложения из папки system32, мы находим ответ на следующий вопрос, который относился к месту дислокации утилиты. Для тех, что относит себя к фанатам панели управления, могу сказать следующее: ссылка на консоль находится в пункте меню под названием Администрирование. Рассказывая об утилите, я не буду лезть в дебри и пытаться впихнуть обычным пользователям информацию о настройке политики открытого ключа для Encoding File System (EFS - Файловой системы шифрования), о которой я писал в вышеупомянутой статье. В этом просто нет смысла, т.к. обычному пользователю это просто без надобности, а тому, кто хочет все-таки узнать об этом, можно воспользоваться описанием параметра, который имеется в окне редактирования каждой политики на соседней вкладке, носящей название "Объяснение параметра" (рис. 2). Я же остановлюсь подробнее на политиках учетных записей. Дам некоторые рекомендации, подробнее объясню задачу той или иной политики и выскажу свое мнение по поводу использования/неиспользования оной.

Политики учетных записей делятся на две группы: политика паролей и политика блокировки учетных записей. В каждой из групп находится список политик, которые, собственно, и поддаются редактированию. Первым параметром является максимальный срок действия пароля, который определяет время в днях, в течение которого пароль можно использовать, пока система не потребует от пользователя смены пароля. Это очень удобно, т.к. время для взлома ограничивается, соответственно и злоумышленнику придется попотеть, чтобы уложиться и успеть что-либо сделать с документами пользователя. По умолчанию значение равно 42, я бы советовал оставить значение по умолчанию, т.к. для локальной машины конечного пользователя политика не является критичной. Следующая на очереди политика носит название "минимальная длина пароля". Для локальной машины она будет актуальна в редких случаях. Задача политики сводится к ограничению минимального размера пароля. Если вы работаете на компьютере одни, то политика, как говорилось выше, не имеет смысла. Другой вопрос - если локальный компьютер используется разными пользователями. В таком случае стоит настроить политику, чтобы не использовались пароли, скажем, в два символа. Минимальный срок действия пароля - политика, которая определяет, через сколько пользователь сможет сменить пароль на другой. Как и в случае первой политики, время считается днями. Стандартное значение равно 0 и означает, что пользователь может поменять пароль в любое удобное ему время. Политика "пароль должен отвечать требованиям сложности" во включенном режиме требует от пользователя пароль, который будет отвечать следующим требованиям:

Пароль не должен содержать имя учетной записи пользователя или фрагменты имени пользователя длиной больше двух символов.
. Пароль должен состоять не менее чем из шести символов.
. Пароль должен содержать символы, относящиеся к трем из следующих четырех категорий:
. латинские заглавные буквы (A-Z);
. латинские строчные буквы (a-z);
. цифры (0-9);
. отличные от букв и цифр символы (например, !, $, #, %).
. Проверка соблюдения этих требований выполняется при изменении или создании паролей.

На локальных машинах по дефолту политика отключена, однако на контроллерах домена работает.

Следующая политика позволяет контролировать неповторяемость паролей, при этом она может запоминать прежние пароли от 1 до 24 включительно. На локальной машине она отключена (значение хранимых паролей равно 0) по умолчанию, но на контроллерах домена, опять же, включена, и значение равно 24-м. Она также позволяет хранить пароли, используя обратимое шифрование. Этот параметр безопасности определяет, используется ли в операционной системе обратимое шифрование для хранения паролей. Эта политика обеспечивает поддержку приложений, использующих протоколы, которым для проверки подлинности необходимо знать пароль пользователя. Хранение паролей, зашифрованных обратимыми методами, аналогично хранению их в текстовом виде. Поэтому данную политику следует использовать лишь в исключительных случаях, если потребности приложения оказываются важнее, чем защита пароля. Эта политика является обязательной при использовании протокола проверки подлинности CHAP (Challenge-Handshake Authentication Protocol) в средствах удаленного доступа или службах IAS (Internet Authentication Services). Она также необходима при использовании краткой проверки подлинности в службах IIS (Internet Information Services).

Название следующей политики, которая уже находится в группе политик блокировки учетных записей, говорит сама за себя: Блокировка учетной записи на. Естественно, политикой определяется время блокировки учетной записи при определенном количестве неверно введенных паролей. Значение можно выставлять от 0 (учетная запись не блокируется) и до 99 999 минут. Она имеет смысл только при работающей следующей политике, которая называется Пороговое значение блокировки. Это количество неудачных попыток входа в систему перед блокировкой учетной записи. Значение принимается в диапазоне от 0 (как обычно, значение, при котором политика пассивна) и до 999. После блокировки, если не активирована политика блокировки учетной записи, восстановить аккаунт может только администратор. Неудачные попытки ввода паролей на рабочих станциях или рядовых серверах, заблокированных с помощью сочетания клавиш Ctrl+Alt+Del или с помощью защищенных паролем заставок, считаются неудачными попытками входа в систему. Сброс счетчика блокировки через - параметр, который позволяет сбрасывать счетчик неудачных входов в систему через определенное время (1 - 99 999 минут), удобная вещь, чтобы не получилось, что за месяц вы таки наберете "черное" число, равное пороговому значению блокировки. Параметр напрямую зависит от Блокировки учетной записи на.

Вот, собственно, и все. Коротенький обзор политик учетных записей, изменение которых доступно из утилиты Локальные параметры безопасности, подошло к концу. В статье было рассмотрено всего одно из направлений политик безопасности. Тем, кто заинтересовался, скажу, что имеется возможность настройки локальных политик, среди которых - политика аудита, назначение прав пользователя, параметры безопасности. Я бы советовал просмотреть параметры безопасности, т.к. настройки там наиинтереснейшие и весьма полезные. Можно настроить политики ограниченного пользования программ и политики безопасности IP. Таким образом, покопавшись в локальных параметрах безопасности, можно довольно неплохо поднять уровень защиты на вашем компьютере, но будьте осторожны: читайте внимательно описания политик и не трогайте параметры, назначение которых вам непонятно.

Евгений Кучук, [email protected], SASecurity gr.

Виктор Кулагин, Сергей Матвеев, Александр Осадчук

Проблема компьютерной безопасности не нова. Каждый, кто использует компьютерные сети, нуждается в средствах обеспечения безопасности. Статистика показывает, что в большинстве случаев несанкционированного проникновения в систему можно избежать, если системный администратор уделяет должное внимание средствам защиты. Эффективность обеспечения безопасности компьютерных систем всегда зависит от качества настройки программно-аппаратных средств. Операционная система Windows NT имеет богатый набор средств защиты. Однако установленные по умолчанию значения параметров защиты не всегда удовлетворяют предъявляемым требованиям. Рассмотрим основные средства и методы обеспечения безопасности, входящие в состав Windows NT 4.0 и 5.0.

Физическая защита

К физическим средствам защиты относится:

  • обеспечение безопасности помещений, где размещены серверы сети;
  • ограничение посторонним лицам физического доступа к серверам, концентраторам, коммутаторам, сетевым кабелям и другому оборудованию;
  • использование средств защиты от сбоев электросети.

Администрирование учетных записей

В функции Менеджера учетных записей входит поддержка механизма идентификации и проверки подлинности пользователей при входе в систему. Все необходимые настройки хранятся в базе данных Менеджера учетных записей. К ним относится:

  • учетные записи пользователей;
  • учетные записи групп;
  • учетные записи компьютеров домена;
  • учетные записи доменов.

База данных Менеджера учетных записей представляет собой куст системного реестра, находящегося в ветви HKEY_LOCAL_MACHINE, и называется SAM (рис. 1). Как и все остальные кусты, он хранится в отдельном файле в каталоге %Systemroot%\System32\Con fig, который также носит название SAM. В этом каталоге обычно находятся минимум два файла SAM: один без расширения - сама база учетных записей; второй имеет расширение.log - журнал транзакций базы.

Наиболее интересным является раздел учетных записей пользователей: в них хранится информация об именах и паролях. Следует заметить, что пароли не хранятся в текстовом виде. Они защищены процедурой хеширования. Это не значит, что, не зная пароля в текстовом виде, злоумышленник не проникнет в систему. При сетевом подключении не обязательно знать текст пароля, достаточно хешированного пароля. Поэтому достаточно получить копию базы данных SAM и извлечь из нее хешированный пароль.

При установке системы Windows NT доступ к файлу %Systemroot%\System32\Config\sam для обычных программ заблокирован. Однако, используя утилиту Ntbackup, любой пользователь с правом Back up files and directories может скопировать его. Кроме того, злоумышленник может попытаться переписать его копию (Sam.sav) из каталога %Systemroot%\System32\Config или архивную копию (Sam._) из каталога %Systemroot%\Repair.

Поэтому для защиты информации, хранящейся в базе данных SAM, необходимо следующее:

  • исключить загрузку серверов в DOS-режиме (все разделы установить под NTFS, отключить загрузку с флоппи- и компакт-дисков, желательно установить на BIOS пароль (хотя эта мера уже давно устарела, поскольку некоторые версии BIOS имеют «дырки» для запуска компьютера без пароля, все- таки злоумышленник потеряет на этом время для входа в систему);
  • ограничить количество пользователей с правами Backup Operators и Server Operators;
  • после установки или обновления удалить файл Sam.sav;
  • отменить кэширование информации о безопасности на компьютерах домена (имена и пароли последних десяти пользователей, регистрировавшихся ранее на данном компьютере, сохраняются в его локальном реестре). Используя утилиту Regedt32, добавить в реестр в раздел
  • HKEY_LOCAL_MACHINE\Microsoft|Windows NT\CurrentVersion\WinLogon:
  • Параметр CachedLogonsCount
  • Тип REG_SZ
  • Значение 0

Один из популярных методов проникновения в систему - подбор пароля. Для борьбы с этим обычно устанавливают блокировку учетной записи пользователя (Account Lockout) после определенного числа неудачных попыток входа, используя для этого утилиту User Manager в диалоговом окне Account Policy, доступном через меню Polcies/Accounts (рис. 2).

Приятным исключением является учетная запись администратора. И если он имеет право на вход через сеть, это открывает лазейку для спокойного угадывания пароля. Для защиты рекомендуется переименовать пользователя Administrator, установить блокировку учетных записей, запретить администратору вход в систему через сеть, запретить передачу SMB (рассмотрен далее) пакетов через TCP/IP (порты 137,138,139), установить протоколирование неудачных входов;

  • необходимо ввести фильтрацию вводимых пользователем паролей, установить Service Pack 2 или 3 (используется динамическая библиотека Passfilt.dll). Данная библиотека при создании нового пароля проверяет, что:
    • длина пароля не менее шести символов;
    • содержит три набора из четырех существующих:
  • прописные группы латинского алфавита A, B,C,…,Z;
  • строчные группы латинского алфавита a,b,c,…,z;
  • арабские цифры 0,1,2,…,9;
  • не арифметические (специальные) символы, такие, как знаки препинания.
    • пароль не состоит из имени пользователя или любой его части.

Для включения данной фильтрации необходимо в реестре в разделе

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

добавить

Защита файлов и каталогов (папок)

Операционная система Windows NT 4.0 поддерживает файловые системы FAT (File Allocation Table) и NTFS (New Technology File System). Напомним, что первая поддерживается такими известными операционными системами, как MS-DOS, Windows 3.X, Windows 95/98 и OS/2, вторая - только Windows NT. У FAT и NTFS различные характеристики производительности, разный спектр предоставляемых возможностей и т.д. Основное отличие файловой системы NTFS от других (FAT, VFAT (Virtual File Allocation Table), HPFS) состоит в том, что только она одна удовлетворяет стандарту безопасности C2, в частности, NTFS обеспечивает защиту файлов и каталогов при локальном доступе.

Защиту ресурсов с использованием FAT можно организовать с помощью прав доступа: Чтение, Запись, Полный.

Таким образом, можно рекомендовать создавать дисковые разделы NTFS вместо FAT. Если все же необходимо использовать раздел FAT, то его надо сделать отдельным разделом для приложений MS-DOS и не размещать в нем системные файлы Windows NT.

Поскольку файлы и каталоги в Windows NT являются объектами, контроль безопасности осуществляется на объектном уровне. Дескриптор безопасности любого объекта в разделе NTFS содержит два списка контроля доступа (ACL) - дискреционный (discretionary ACL (DACL)) и системный (system ACL (SACL)).

В операционной системе Windows NT управление доступом к файлам и каталогам NTFS возлагается не на администратора, а на владельца ресурса и контролируется системой безопасности с помощью маски доступа (access mask), содержащейся в записях списка контроля доступа ACL.

Маска доступа включает стандартные (Synchronize, Write_Owner, Write_Dac, Read_Control, Delete), специфические (Read (Write) _Data, Append_Data, Read(Write)_Attributes, Read(Write)_ExtendedAttributes, Execute) и родовые (Generic_Read(Write), Generic_Execute) права доступа. Все эти права входят в дискреционный список контроля доступа (DACL). Вдобавок маска доступа содержит бит, который соответствует праву Access_System_Security. Это право контролирует доступ к системному списку контроля доступа (SACL).

В списке DACL определяется, каким пользователям и группам разрешен или запрещен доступ к данному ресурсу. Именно этим списком может управлять владелец объекта.

Список SACL задает определенный владельцем тип доступа, что заставляет систему генерировать записи проверки в системном протоколе событий. Только системный администратор управляет этим списком.

На самом же деле для администрирования используются не отдельные права доступа, а разрешения (permissions) NTFS. Разрешения подразделяются на:

индивидуальные - набор прав, позволяющий предоставлять пользователю доступ того или иного типа (табл. 1.1);

стандартные - наборы индивидуальных разрешений для выполнения над файлами или каталогами действий определенного уровня (табл. 1.2);

специальные - комбинация индивидуальных разрешений, не совпадающие ни с одним стандартным набором (табл. 1.3).

По умолчанию при инсталляции Windows NT и файловой системы NTFS устанавливаются довольно «свободные» разрешения, позволяющие обычным пользователям получать доступ к ряду системных файлов и каталогам. Например:

Каталоги %systemroot% и %systemroot%\system32 имеют по умолчанию разрешение Change для группы Everyone. Если после установки Windows NT FAT впоследствии был преобразован в NTFS, то данное разрешение для этой группы устанавливается на все файлы и подкаталоги каталога %systemroot%. Защита данных каталогов заключается в грамотной установке разрешений. В табл. 2 приведены значения разрешений для каталогов. Вместо группы Everyone необходимо создать группу Users и использовать именно ее.

Существует несколько файлов операционной системы, расположенных в корневой директории системного раздела, которые также необходимо защитить, назначив следующие разрешения (табл. 3).

Имейте в виду, что такие разрешения затруднят пользователям установку программного обеспечения. Также будет невозможна запись в.ini файлы в системном каталоге.

Количество пользователей с правами администратора рекомендуется свести к минимуму. Учетную запись Guest лучше вообще удалить, хотя она при установке (по умолчанию) и так отключена, а вместо этой учетной записи создать для каждого пользователя свою временную учётную запись с соответствующими разрешениями и правами.

Защита реестра

Системный реестр (registry) Windows NT - это база данных, содержащая информацию о конфигурации и значениях параметров всех компонентов системы (устройствах, операционной системе и приложениях). Основные кусты реестра находятся в ветви HKEY_LOCAL_MACHINE и называются SAM, SECURITY, SOFTWARE и SYSTEM. Куст SAM, как мы уже знаем, - это база данных Менеджера учетных записей, SECURITY хранит информацию, используемую локальным Менеджером безопасности (LSA). В кусте SOFTWARE находятся параметры и настройки программного обеспечения, а в SYSTEM содержатся данные о конфигурации, необходимые для загрузки операционной системы (драйверы, устройства и службы).

Доступ пользователей к полям реестра следует разграничить. Это можно осуществить с помощью утилиты Regedt32.

Установленные в системе по умолчанию разрешения на доступ к разделам реестра нельзя модифицировать рядовым пользователям. Поскольку некоторые разделы реестра доступны членам группы Everyone, после установки Windows NT необходимо изменить разрешения в разделе (табл. 4).

Для доступа к разделу

HK EY_LOCAL_MACHINE\Software\Microsoft\Windows NT\ CurrentVersion\PerfLib можно вообще удалить группу Everyone, а вместо нее добавить группу INTERACTIVE с правом Read.

Для ограничения удаленного доступа к системному реестру Windows NT используется запись в разделе H KEY_LOCAL_MACHINE\System\CurrentcontrolSet\Control\SecurePipeServers\winreg. По умолчанию право удаленного доступа к реестру имеют члены группы Administrators. В Workstation этот раздел отсутствует, и его необходимо создать. Право удаленного доступа к реестру получают только пользователи и группы, указанные в списке прав доступа к указанному разделу. К некоторым разделам реестра необходимо предоставить доступ по сети другим пользователям или группам; для этого эти разделы можно указать в параметрах Machine и Users подраздела HKEY_LOCAL_MACHINE\System\CurrentControlSet\Contro\SecurePipeServers\winreg\AllowedPaths.

Безопасность сервера SMB

Доступ к файлам и принтерам по сети в операционной системе Windows NT обеспечивает сервер SMB (Server Message Block), называемый просто сервером или LAN Manager сервером. SMB осуществляет проверку подлинности клиента, пытающегося получить доступ к информации по сети. Существует два режима работы системы контроля: проверка на уровне ресурса (Share Level) и проверка на уровне пользователя (User Level). Windows NT не поддерживает доступ на уровне ресурса.

При проверке на уровне пользователя сервер выполняет идентификацию пользователя на основе базы учетных записей. Протокол SMB обеспечивает защиту в начальный момент сеанса, затем все данные пользователя передаются по сети в открытом виде. Если вы хотите обеспечить конфиденциальность информации, необходимо использовать программные или аппаратные средства шифрования транспортного канала (например, PPTP, входящего в Windows NT).

Сеансы протокола SMB можно подделать или перехватить. Шлюз может перехватить сеанс SMB и получить такой же доступ к файловой системе, как и легальный пользователь, инициирующий сеанс. Но шлюзы редко используются в локальных сетях. А если такую попытку предпримет компьютер в сети Ethernet или Token Ring, в которой находится клиент или сервер SMB, то это вряд ли удастся, поскольку перехватывать пакеты достаточно трудно.

Возможность передачи по сети пароля пользователя в открытом виде делает систему уязвимой. После установки Service Pack 3 в операционной системе автоматически отключает возможность передачи пароля в открытом виде, но существуют SMB-серверы, не принимающие шифрованный пароль (например, Lan Manager для UNIX). Чтобы включить передачу «открытого» пароля, необходимо установить в реестре в разделе

HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Services\LanManServer\Parametrs

Параметр EnablePlainTextPassword
Тип REG_DWORD
Значение 1

Следует отметить, что корпорация Microsoft модифицировала протокол SMB, который назван SMB Signing. При этом клиент и сервер проверяют подлинность каждого сообщения, поступающего по протоколу SMB. Для этого в каждое сообщение SMB помещается электронная подпись, удостоверяющая знание пароля пользователя клиентом или сервером, пославшим это сообщение. Таким образом, электронная подпись удостоверяет, что команда SMB, во-первых, создана стороной, владеющей паролем пользователя; во-вторых, создана в рамках именно этого сеанса; и, в-третьих, сообщение, передаваемое между сервером и клиентом, - подлинник.

Для включения проверки электронных подписей в сообщения SMB необходимо установить Service Pack 3 и произвести установку параметров в реестре сервера и клиента, для сервера - в разделе HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Services\LanManServer\Parametrs

Параметр EnableSecuritySignature
Тип REG_DWORD
Значение 1

Если значение равно 0 (по умолчанию), то поддержка SMB Signing на сервере выключена. В отличие от сервера у клиента значение EnableSecuritySignature по умолчанию уже равно 1.

При инициализации сервера образуются папки административного назначения (Administrative shares), которые обеспечивают доступ к корневому каталогу тома. Доступ к этим ресурсам по умолчанию разрешен только членам групп Administrators, Backup Operators, Server Operators и Power Users. Если вы хотите отменить доступ к ним, то необходимо в реестре в разделе HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parametrs

Безопасность сервера IIS

Microsoft Internet Information Server (IIS) был создан для унификации работы всех служб Internet . Он представляет собой высокоинтегрированный пакет серверных служб поддержки HTTP, FTP и Gopher.

Защита IIS основана на средствах обеспечения безопасности Windows NT. В их число входят:

  • учетные записи пользователей. Для предотвращения несанкционированного доступа к узлу IIS следует контролировать учетные записи пользователей. К основным методам защиты также относятся: применение формуляра «Гость из Internet», регистрация по имени и паролю пользователя (по схеме аутентификации Windows NT) и выбор сложных для угадывания паролей;
  • установка NTFS;
  • права доступа. Основным механизмом доступа через сервер IIS является анонимный доступ. Из механизмов проверки подлинности лишь Windows NT Challenge-Response, используемый сервером HTTP, можно считать относительно защищенным. Поэтому не применяйте для аутентификации базовую схему, так как имя пользователя и пароль при этом передаются по сети открытым способом;
  • уменьшение числа протоколов и отключение службы Server. Уменьшив число протоколов, которыми пользуются сетевые адаптеры, вы заметно усилите защиту. Чтобы пользователи не смогли просматривать разделяемые ресурсы IIS, отключите службу Server. Отключение этой службы затруднит злоумышленникам поиск слабых мест в вашей системе;
  • защита информации в FTP. FTP всегда использует защиту на уровне пользователя. Это значит, что для доступа к серверу FTP пользователь должен пройти процедуру регистрации. Сервис FTP сервера IIS для идентификации пользователей, желающих получить доступ, может использовать базу данных пользовательских бюджетов Windows NT Server. Однако при этой процедуре FTP передает всю информацию только открытым текстом, что создает опасность перехвата пользовательских имен и паролей.

Проблема раскрытия паролей устраняется при таких конфигурациях сервера FTP, когда он разрешает анонимный доступ. При анонимном входе пользователь должен ввести в качестве пользовательского имени anonymous и свой почтовый (e-mail) адрес - в качестве пароля. Анонимные пользователи получают доступ к тем же файлам, доступ к которым разрешен бюджету lVSR_computemame.

Кроме того, к сервису FTP сервера IIS Windows NT можно разрешить исключительно анонимный доступ. Такой вариант хорош тем, что при нем отсутствует возможность рассекречивания паролей в общей сети. Анонимный доступ к FTP разрешен по умолчанию;

  • контроль доступа по IP-адресу . Существует дополнительная возможность контроля доступа к серверу IIS - разрешение или запрещение доступа с конкретных IP-адресов (рис. 5). Например, можно запретить доступ к своему серверу с определенного IP-адреса; точно так же можно сделать сервер недоступным для целых сетей. С другой стороны, можно разрешить доступ к серверу только определенным узлам;
  • схемы шифрования. Чтобы обеспечить безопасность пакетов во время их пересылки по сети, приходится применять различные схемы шифрования. Необходимость в такой защите вызвана тем, что при пересылке пакетов по сети не исключен перехват кадров. Большинство схем шифрования работает внутри прикладного и транспортного уровня модели OSI. Некоторые схемы могут работать и на более низких уровнях. Используются такие протоколы, как: SSL, PCT, SET, PPTP, PGP.

Аудит

Аудит - одно из средств защиты сети Windows NT. С его помощью можно отслеживать действия пользователей и ряд системных событий в сети. Фиксируются следующие параметры, касающиеся действий, совершаемых пользователями:

  • выполненное действие;
  • имя пользователя, выполнившего действие;
  • дата и время выполнения.

Аудит, реализованный на одном контроллере домена, распространяется на все контроллеры домена. Настройка аудита позволяет выбрать типы событий, подлежащих регистрации, и определить, какие именно параметры будут регистрироваться.

В сетях с минимальным требованиям к безопасности подвергайте аудиту:

  • успешное использование ресурсов, только в том случае, если эта информация вам необходима для планирования;
  • В сетях со средними требованиями к безопасности подвергайте аудиту:
  • успешное использование важных ресурсов;
  • удачные и неудачные попытки изменения стратегии безопасности и административной политики;
  • успешное использование важной и конфиденциальной информации.
  • В сетях с высокими требованиями к безопасности подвергайте аудиту:
  • удачные и неудачные попытки регистрации пользователей;
  • удачное и неудачное использование любых ресурсов;
  • удачные и неудачные попытки изменения стратегии безопасности и административной политики.

Аудит приводит к дополнительной нагрузке на систему, поэтому регистрируйте лишь события, действительно представляющие интерес.

Windows NT записывает события в три журнала:

  • Системный журнал (system log) содержит сообщения об ошибках, предупреждения и другую информацию, исходящую от операционной системы и компонентов сторонних производителей. Список событий, регистрируемых в этом журнале, предопределен операционной системой и компонентами сторонних производителей и не может быть изменен пользователем. Журнал находится в файле Sysevent.evt.
  • Журнал безопасности (Security Log) содержит информацию об успешных и неудачных попытках выполнения действий, регистрируемых средствами аудита. События, регистрируемые в этом журнале, определяются заданной вами стратегией аудита. Журнал находится в файле Secevent.evt.
  • Журнал приложений (Application Log) содержит сообщения об ошибках, предупреждения и другую информацию, выдаваемую различными приложениями. Список событий, регистрируемых в этом журнале, определяется разработчиками приложений. Журнал находится в файле Appevent.evt.

Все журналы размещены в папке %Systemroot%\System32\Config.

При выборе событий для проведения аудита следует учитывать возможность переполнения журнала. Для настройки журнала используйте диалоговое окно Event Log Settings (рис. 6).

С помощью этого окна можно управлять:

  • размером архивируемых журналов (размер по умолчанию - 512 Кбайт, можно изменить размер от 64 до 4 194 240 Кбайт);
  • методикой замещения устаревших записей журнала;
    • Overwrite Events as Need - в случае заполнения журнала при записи новых событий операционная система удаляет самые старые события;
    • Overwrite Events Older then X Days - в случае заполнения журнала при записи новых событий удаляются самые события, но только если они старше Х дней, иначе новые события будут проигнорированы;
    • Do not Overwrite Events - в случае заполнения журнала новые события не фиксируются. Очистка журнала производится вручную.

Для просмотра информации об ошибках и предупреждениях, а также об успешных и неудачных запусках задач используется программа Event Viewer. Организация доступа к журналам описана в табл. 5 .

По умолчанию аудит выключен, и журнал безопасности не ведется.

Первый этап планирования стратегии аудита - выбор подлежащих аудиту событий в диалоговом окне Audit Policy утилиты User Manager for Domains (User Manager) (рис. 7).

Приведем типы событий, которые могут регистрироваться:

  • Logon and Logoff - регистрация пользователя в системе или выход из нее, а также установка и разрыв сетевого соединения;
  • File and Object Access - доступ к папкам, файлам и принтерам, подлежащим аудиту;
  • Use of User Rights - использование привилегий пользователей (кроме прав, связанных с входом и выходом из системы);
  • User and Group Management - создание, изменение и удаление учётных записей пользователей и групп, а также изменения в ограничениях учётной записи;
  • Security Policy Changes - изменения в привилегиях пользователей, стратегии аудита и политике доверительных отношений;
  • Restart, Shutdown and System - перезапуск или выключение компьютера пользователем; возникновение ситуации, влияющей на безопасность системы;
  • Process Tracking - события, которые вызывают запуск и завершение программ.

Настройка функций аудита описана в документации по Windows NT. Дополнительно рассмотрим следующие типы аудита:

Аудит базовых объектов. Кроме файлов и папок, принтеров и разделов системного реестра в Windows NT есть базовые объекты, которые рядовому пользователю не видны. Они доступны только разработчикам приложений или драйверов устройств. Для включения аудита этих объектов необходимо разрешить аудит событий типа File and Object Access в диспетчере пользователей и с помощью редактора реестра установить значение параметра:

Ветвь HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
Имя AuditBaseObjects
Тип REG_DWORDЗначение 1

Аудит привилегий. Среди возможных прав пользователя существуют некоторые привилегии, которые в системе не проверяются даже тогда, когда аудит на использовании привилегии включен. Эти привилегии приведены в табл. 6 .

Для включения аудита данных привилегий необходимо, используя редактор реестра, добавить следующий параметр:

Ветвь HKEY_LOCAL_MACHINE\System\ CurrentControlSet\Control\Lsa:
Имя FullPrivilegeAuditing
Тип REG_BINARY
Значение 1

Службы безопасности Windows NT 5.0

Система безопасности Windows NT 5.0 позволяет реализовать все новые подходы к проверке подлинности пользователя и защиты данных. В ее состав входит:

  • полное интегрирование с активным каталогом Windows NT 5.0 для обеспечения масштабируемого управления учетными записями в больших доменах с гибким контролем доступа и распределением административных полномочий;
  • протокол проверки подлинности Kerberos версии 5 - стандарт безопасности для Internet , реализуемый как основной протокол проверки подлинности входа в сеть;
  • проверка подлинности с применением сертификатов, основанных на открытых ключах;
  • безопасные сетевые каналы, базирующиеся на стандарте SSL;
  • файловая система с шифрованием.

Распределенные службы безопасности Windows NT 5.0 сохраняют сведения об учетных записях в активном каталоге. Достоинства активного каталога:

  • Учетные записи пользователей и групп можно распределить по контейнерам - подразделениям (Organization Unit, OU). Домен в рамках иерархического пространства имен может содержать любое количество подразделений. Это позволяет организациям добиться согласования между используемыми в сети именами и структурой предприятия.
  • Активный каталог поддерживает гораздо большее количество объектов и с более высокой производительностью, чем реестр. Дерево объединенных доменов Windows NT способно поддерживать существенно более сложные организационные структуры.
  • Администрирование учетных записей улучшено благодаря новым графическим средствам управления активным каталогом, а также обращающихся к СОМ- объектам активного каталога сценариям.
  • Службы тиражирования каталога поддерживают множественные копии учетных записей. Теперь обновление информации можно выполнить для любой копии учетной записи (не требуется разделения контроллеров домена на главный и резервные). Протокол Light-weight Directory Access Protocol (LDAP) и службы тиражирования обеспечивают механизмы для связи каталога Windows NT 5.0 с другими основанными на Х.500 и LDAP каталогами на предприятии.

Для того чтобы обеспечить совместимость с существующими клиентами, предоставить более эффективные механизмы безопасности и сделать возможным взаимодействие в гетерогенных сетях, в Windows NT поддерживается несколько протоколов безопасности. Архитектура Windows NT не устанавливает ограничений на применение тех или иных протоколов безопасности.

Windows NT 5.0 будет поддерживать:

  • протокол проверки подлинности Windows NT LAN Manager (NTLM), используемый в Windows NT 4.0 и в предыдущих версиях Windows NT;
  • протокол проверки подлинности Kerberos версии 5, заменяющий NTLM в роли основного протокола для сетевого доступа к ресурсам доменов Windows NT 5.0;
  • протокол распределенной проверки подлинности паролей (Distributed Password Authentication, DPA); благодаря DPA пользователь, получивший один пароль при регистрации, может подсоединяться к любому узлу Интернета, обслуживаемому данной организацией;
  • протоколы, основанные на открытых ключах и применяемые в основном для связи между программами просмотра и Web-серверами. Стандартом de facto здесь стал протокол Secure Sockets Layer (SSL).

Для единообразного обращения к различным протоколам разработан новый интерфейс прикладного программирования Win32 - интерфейс поставщиков поддержки безопасности (Security Support Provider Interface, SSPI). SSPI позволяет изолировать проверку подлинности пользователя, которая может осуществляться по разным протоколам, - от применяющих ее служб и приложений. Интерфейс SSPI представляет собой несколько наборов доступных прикладным программам процедур, выполняющих:

  • управление мандатами (Credential Management) работу с информацией о клиенте (пароль, билет и т. д.);
  • управление контекстом (Context Management) - создание контекста безопасности клиента;
  • поддержку передачи сообщений (Message Support) - проверку целостности переданной информации (работает в рамках контекста безопасности клиента);
  • управление пакетами (Package Management) - выбор протокола безопасности.

Протокол проверки подлинности Kerberos определяет взаимодействие между клиентами и службой проверки подлинности Центром распределения ключей (Key Distribution Center, KDC). Домен Windows NT 5.0 эквивалентен царству Kerberos (Kerberos realm), но будет в этой операционной системе по-прежнему называться доменом. Реализация Kerberos в Windows NT 5.0 основана на документе RFC1510. По сравнению с NTLM у протокола проверки подлинности Kerberos имеются следующие преимущества:

  • более быстрое подсоединение клиента к серверу; поскольку сервер для проверки подлинности пользователя не должен связываться с контроллером домена, улучшение масштабируемости компьютерной сети;
  • транзитивные доверительные отношения между доменами упрощают администрирование сложной сети.

В Windows NT 5.0 появится новое средство защиты информации файловая система с шифрованием (Encrypted File System, EFS), позволяющая хранить файлы и папки в зашифрованном виде. Благодаря этому корпоративные и индивидуальные пользователи решат проблему возможной утечки секретной информации при краже переносного компьютера или жесткого диска из сервера. Зашифрованная информация даже в случае физического доступа к жесткому диску останется недоступной.

КомпьютерПресс 2"1999