На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

Анализ и настройка безопасности

Если в базе данных или шаблоне значение параметра не определено, то рядом с названием параметра пиктограмма не ставится, а в базе данных делается отметка Not Defined (Не определен), в журнале такие параметры отмечены строкой "Not configured". В журнал сеанса анализа также заносятся записи о результате каждого сравнения, время и дата начала анализа и выполнения проверки каждого параметра, результат каждой проверки (записи о завершении анализа, о найденных несоответствиях или ошибках, возникших при запросе значения параметра) и т.д. К сожалению, в журнал не заносятся записи о параметрах, значения которых совпали с указанными в шаблоне. Чтобы получить доступ к журналу, нужно щелкнуть правой кнопкой мыши на ветви Security Configuralion and Analysis и выбрать пункт меню View Log (Просмотр журнала).
гФгочками отмечены совпадающие параметры, красными крестиками — от/шчающиесл)
Функция настройки (Configure) работает почти также, как и функция анализа, но выполняется не сравнение текущих значений параметров с указанными в шаблоне, а их изменение.
Вероятно, вы заметили, что мы описывали настройку и анализ безопасности для одной машины. Это один из наиболее серьезных недостатков этой возможности, который частично может быть преодолен с помощью утилиты командной строки secedit, позволяющей вы­полнять анализ или настройку с помощью сценария входа в систему, или какого-то другого механизма распределения (запустите команду secedit без параметров и будет выведен файл справки этой утилиты).
Конечно, анализ и настройка параметров будут значительно эффективнее, если их проводить по сети одновременно для нескольких систем. Это можно сделать двумя методами:
Т с помощью утилиты MBSA (Microsoft Baseline Security Analyzer — анализатор основных элементов защиты Microsoft);
* с помощью групповых политик (требуется создание домена). Рассмотрим отдельно каждую из этих возможностей.
MBSA
MBSA (Microsoft Baseline Security Analyzer) — это программа от Microsoft, которая позволяет сканировать один и большее количество компьютеров, работающих под управлением операционной системы Windows, на предмет выявления основных уязвимых мест. По срав­нению с современными полнофункциональными коммерческими программами сканирования уязвимых мест, возможности MBSA довольно ограничены, но поскольку эта утилита бесплатна и создана непосредственно Microsoft, мы рассмотрим ее вкратце.
Утилита MBSA позволяет сканировать одну или несколько систем под управлением Windows. Она не работает при вводимых вручную имени пользователя/пароле, поэтому для ее запуска придется войти в систему с правами администратора для того компьютера, сканирова­ние которого планируется. Как правило, это учетная запись из группы Domain Admin, используя которую можно проскапировать все компьютеры домена.
Если необходимо просто проверить наличие установленных заплат на компьютере, используйте версию этой утилиты с интерфейсом командной строки (rnbsacli. ехе) и первым укажите параметр /hf.
MBSA выполняет проверки только незначительного количества ошибок в системе безопасности Windows-систем, сервера IIS, SQL, Internet Explorer и Microsoft Office. Эта программа также проверяет наличие установки последних заплат для этого программного обеспечения, ис­пользуя ту же технологию, что и HFNetChk. Пример отчета MBSA показан на 6.
Для управления установкой заплат на уровне предприятия мы рекомендуем использовать программу HFNetChk Tool LT (или Pro) от компании Shavlik Technologies или Systems Management Server (SMS) от Microsoft совместно с Software Update Services (SUS) Feature Pack (более подробная информация no зтой теме содержится в главе 17, "Будущее безопасности Windows").
Групповая политика
Одно из наиболее мощных средств администрирования в Windows 2000 — это групповая политика (Group Policy). Эту оснастку можно использовать для изменения настроек безопасности и не только, но в данной главе мы сконцентрируем внимание именно на таком приме­нении групповой политики.
Более подробную информацию о групповой политике можно получить, обратившись к справочной системе Windows Server 2003.
Определение групповой политики
Механизм групповой политики (Group Policy) обеспечивает центр ал изо ванную архитектуру управления конфигурацией Windows 2000 и Windows Server 2003. Он реализован через объекты групповой политики (Group Policy Object, GPO), которые определяют параметры конфигурации, устанавливаемые для конкретного пользователя или компьютера. Существует два типа объектов GPO; локальные объекты GPO (LGPO) и объекты GPO службы Active Directory (ADGPO).
НА ЗАМЕТКУ
В сетях Windows 2000 и бопее новых версиях также можно обнаружить и политики Windows NT, поскольку клиенты низкого уровня не способны поддерживать объекты GPO. Файлы политик NT (с расширением .pol) кардинально отличаются от объектов GPO и не переносятся при обновпении системы. Однако в объекты GPO можно перенести файлы шаблонов администрирования NT (с расширением .adm).
Объекты LGPO (локальные объекты) хранятся в каталоге %systemroot%\system32\ GroupPolicy, для их хранения используется три файла; gpt.ini — административные шаблоны (. adm), файлы настройки безопасности (. pol) и сценарии входа в систему и запуска/
остановки системы. Объекты ADGPO хранятся в каталоге %systemroot%\system32\ sysvol\<домен>\ Policies, указатель на каждый объект этого типа хранится в контейнере System-*Policy. Как вы уже могли догадаться, объект LGPO применяется только к локальному компьютеру. Объекты ADGPO можно применять К узлам, доменам или организационным единицам (organizational unit. OU); к одному узлу, домену или организационной единице можно применять несколько объектов GPO.
Особый интерес для нас представляют параметры объекта GPO, связанные с безопасностью, которые собраны в ветви Computer Configuration\Windows Settings\Security Settings (Конфигурация компьютера/Конфигурация Windows/Параметры безопасности). Здесь собраны те параметры, которые можно изменить через аплет Local Security Settings, о нем мы много говорили на протяжении всей книги (фактически, аплет Local Security Settings является интерфейсом для изменения параметров ветви Computer Configuration\Windows Set-tings\Security Settings объекта GPO).
Как было сказано, ветвь Security Settings (Параметры безопасности) определяет политики учетных записей, политики аудита, настройки журнала событий, открытые ключи и политики фильтров IPSec. Задача администрирования в большом окружении значительно упрощается, если все эти параметры можно настраивать на уровне узла, домена или организационной единицы. Кроме того, шаблоны безопасности можно импортировать в объекты GPO. Таким образом, групповые политики — это прекрасный способ настройки правил безопасности в крупных доменах Windows-систем.
Использование групповых политик
Объекты GPO можно просматривать и редактировать в любом окне ММС (для этого требуются права администратора). Вместе с Windows 2000 (и следующими версиями Windows) поставляются следующие объекты GPO: политики локального компьютера (Local Computer), домена по умолчанию (Default Domain) и контроллера домена по умолчанию (Default Domain Controller). Объект GPO для локального компьютера можно вызвать с помощью команды Start (nycK)"*gpedit.msc. Локальный объект GPO, или LGPO, показан на 7.
Получить доступ к объекту GPO также можно, если щелкнуть правой кнопкой мыши на домене, организационной единице или узле при использовании оснасток Active Directory Us-
п:---■___
Sites and Services (Active Directory — сайты и спужбы), выбрать пункт меню Properties (Свойства) и перейти на вкладку Group Policy (Групповая политика). Можно также создать пустое окно ММС, добавить в него приложение Group Policy Editor (Редактор групповой
политики) и выбрать объект GPO, который нужно отредактировать. На 8 показаны объекты GPO, привязанные к организационной единице контроллеров домена в службе Ac-live Directory. В окне приложения видно, какие объекты GPO привязаны (применяются) к выбранному объекту (перечислены в порядке приоритета). Из информации, показанной в этом же окне, видно, заблокировано ли наследование, для каждого объекта GPO можно внести исправления или изменить его приоритет.
Импорт шаблонов безопасности в групповую политику
Чтобы импортировать шаблон безопасности в групповую политику, нужно щелкнуть правой кнопкой мыши на ветви Computer Configuration Windows SettingsVSecurity Settings (Конфигурация компьютера/Конфигурация Windows/Параметры безопасности) объекта GPO и выбрать пункт меню Import (Импорт). Затем необходимо перейти в каталог %systemroot%\security\templates и выбрать один из встроенных или созданных вами шаблонов безопасности.
Как применяется групповая политика
Настройки, определенные в объекте GPO, распространяются на учетные записи пользователей или компьютеры (которые называются членами объекта GPO), которые определены на данном узле, домене или в организационной единице, либо, в случае локального объекта (LGPO), на локальную машину. Контроллеры домена проверяют изменения политик каждые 5 мин. Пользователи и компьютеры выполняют проверку изменения политик при входе в систему и загрузке, соответственно, а затем — каждые 90 мин. Политику можно перезагрузить вручную, для этого нужно щелкнуть правой кнопкой мыши на ветви Computer Configura-tion\Windows Settings\Secrjrity Settings (Конфигурация компьютера/Конфигурация Windows/Параметры безопасности) и выбрать пункт меню Reload (Перезагрузить). Также для распространения политики и ее немедленного, обновления на объектах можно воспользоваться
утилитой secedit (в системах под управлением Windows 2000) или gpupdate (в системах под управлением Windows Server2003). Чтобы обновить политику с помощью secedit (для Windows 2000), необходимо открыть диалог Run (Выполнить) и ввести следующую команду.
secedit /refreehpolicy HACHIME_POLICY /enforce
Чтобы обновить политики в ветви User Configuration (Конфигурация пользователя), введите следующую команду.
secedit /rafreshpolicy US2R_POLICY /enforce
Hft ЗАМЕТКУ
В Windows Server 2003 программа gpupdate заменила команду secedit / refreshpolicy. Для обновления политики введите команду gpupdate /force.
Можно использовать несколько объектов GPO в порядке, определяемом администратором. Тогда они будут перезаписываться (наследоваться) с родительского узла, домена или организационной единицы. Наследование можно запретить на уровне узла, домена, организационной единицы, но блокировки отключаются, если сделать отметку No Override (Не переопределять) на уровне объекта групповой политики, как показано на 9. Таким образом, политики, для которых сделана отметка No Override (Не переопределять), не блокируются. На локальные политики Блокировки не распространяются.
Наследование и переопределение — это важные концепции, в которых следует разобраться перед распространением политик в сложном окружении. Политики применяются в следующем порядке.
1. Уникальный объект LGPO.
2. Объекты групповой политики узла (GPO), в заданном администратором порядке.
3. Объекты групповой политики домена, в заданном администратором порядке.
4. Объекты групповой политики организационной единицы, от большей к меньшей, в указанном администратором порядке на уровне каждой организационной единицы.
Если параметры двух политик противоречат друг другу, то по умолчанию заданные позже политики перезаписывают политики, которые были применены раньше. Однако если настройки совместимы, то заданные ранее И установленные позже политики совместно форми­руют общую эффективную политику'.
I рулпоные политики могут оыгь применены на уровнях: локально, на уровне узла, на уровне ломена и па уровне организационной единицы (OU). Таким образом кощролирустся, какие устанопки политики в конце концов буаут применены к пользователю или компьютеру. Помните, что все установки объединяются вместе по умолчанию и и случае конфликта к объекту будет применена последняя из них.
ЩЩЦщ Помните, что объекты GPO с установленным флагом No Override не блокируются в дочерних организационных единицах.
Некоторые элементы настроек безопасности для групповых попитик применяются только на уровне домена, и их нельзя использовать на уровне узла или организационной единицы. Настройки политик учетных записей (Account Policies) можно применять только для доменов.
] Установка флага No Override (Не перекрывать) обеспечивает предпочтение в сравнении с параметром Block (Блокировать наследование). Например, если вы создадите политику на уровне узла и установите в ней флажок No Override (Не перекрывать) и администратор пюбой организационной единицы установит Block (Блокировать наследование), установки, содержащиеся в попитике узла, будут применяться всегда. Заметьте, что другие политики, без установки No Override (Не перекрывать), будут продолжать блокироваться в данном сценарии.

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика