На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

Фильтрация политик с помощью членства в группах

Политики объектов применимы только для объектов "Пользователи и компьютеры (Users and Computers) службы Active Directory". Политики нельзя применять к группам, но группы можно применять для фильтрации политик. Для этого используется элемент управления доступом (АСЕ — Access Control Entry) Apply Group Policy (Применить групповую политику), для которого можно установить одно из трех значений: Not Configured (Не настроен), ANowed (Разрешить) и Denied (Запретить). Этот элемент настраивается через окно Properties (Свойства) объекта GPO, вкладка Security (Безопасность). Значение Denied (Запретить) имеет преимущество перед значением Allowed (Разрешить). Таким образом, членство в группах можно использовать для блокирования распространения политик.
НА ЗАМЕТКУ
При создании результирующей политики [effective policy) для конкретной организационной единицы остерегайтесь результатов наследования ограничений (политики учетных записей применимы только к доменам, а к узлам или организационным единицам они не применяются), блокировок, переопределений и фильтрации группами. Представьте только, что будет при распространении собственных параметров безопасности для всех пользователей сети.
Результирующий набор политик (RSoP)
Новый инструмент для Windows Server 2003, результирующий набор политик RSoP (Resultant Set of Policy), позволяет упростить задачу определения политики. С помощью RSoP объединяются объекты групповой политики, установленные на разных уровнях каталога (узел, домен или организационная единица). В результате этого действия определяется значение результирующего параметра политики. При этом учитываются блокировки и переопределения, а также переопределения, заданные с помощью фильтрации политик. RSoP также позволяет получить сведения и проверить, что шаблоны безопасности действительно импортируются и применяются с помощью групповых политик. Такие возможности упрощают действия администратора при устранении неполадок. Инструмент RSoP реализован с помошью утилиты gpresult с интерфейсом командной строки. На 10 показан вид оснастки в графическом пользовательском интерфейсе.
Для управления групповыми политиками с использованием RSoP в крупных инфраструктурах мы рекомендуем использовать консоль управления групповыми политиками GPMC (Group Policy Management Console). Эта консоль будет подробно рассмотрена в главе 17, 'Будущее безопасности Windows".
Политики ограниченного использования программ
Еще одной новой функцией в Windows ХР и Windows Server 2003 является возможность использования политик безопасности Software Restriction Policy (Политика ограниченного использования программ). Появление этой политики стало результатом усилий Microsoft по объединению нескольких разобщенных функций безопасности операционной системы в единый элемент управления, предназначенный для противодействия вредоносному коду, например вирусам электронной почты. По существу, политики ограниченного использования программ позволяют администраторам задать правила работы или создать замкнутую область с целью ограничить действия исполняемого кода на локальном компьютере, в организационной единице, домене или узле. Замкнутая область (sandbox) основана на использовании правил, каждое из которых может содержать четыре параметра:
Т цифровую подпись;
■ проверку целостности (хешированная контрольная сумма);
■ зону безопасности Internet (internet, Intranet, Trusted Sites, Restricted Sites, Local Computer); * путь, например \\server\share.
Среди других ключевых компонентов политики ограниченного использования программ можно назвать Designated file types (Назначенные типы файлов), Secure levels (Уровни безопасности) и Enforcement (Принудитепьный). К назначенным типам файлов относятся все
исполняемые файлы, однако этот список может быть изменен администратором. Для уровней безопасности могут быть установлены значения Disallowed (Не разрешено) или Unrestricted (Неограниченный), Последний параметр используется по умолчанию. Компонент Enforcement позволяет администраторам создать исключения для политик. Настройка политики ограниченного использования программ может быть проведена с помощью политики локальной безопасности или групповой политики посредством соответствующей оснастки, как показано на
При правильном использовании политика ограниченного использования программ позволяет эффективно снизить риски, связанные с появлением вредоносного кода. Однако, как и для любого механизма обеспечения безопасности, придется подождать какое-то время, пока не будут созданы детально продуманные шаблоны использования, а до этого момента пользователи, вероятно, будут с осторожностью относиться к применению новых возможностей. Перед ее применением мы рекомендуем прочесть разделы справочной системы и уделить особое внимание совету реализовывать политику ограниченного использования программ с помощью отдельных элементов GPO, провести проверки и подготовиться к'работе в безопасном режиме Windows, если применение политики приведет к неожиданным последствиям.
Фильтры IPSec
Операционная система Windows 2000 стала первой системой компании Microsoft, поддерживающей развивающийся стандарт IPSecurity, IPSec (документы RFC 2401, 2402 и 2406). Стандарт IPSec определяет механизм достижения безопасности маршрута передачи сообщений между конечными пунктами для IP-дейтаграмм, включая службы обеспечения аутентификации, конфиденциальности, целостности и зашиты от повторения. При этом не требуются промежуточные устройства, поддерживающие новый протокол.
Стандарт IPSec развивался как протокол защиты взаимодействия, поэтому у многих людей протокол IPSec ассоциируется с шифрованием сетевых пакетов в виртуальных частных сетях (Virtual Private Network, VPN) и тому подобным. Однако, как мы уже неоднократно замечали, реализация стандарта IPSec в Windows также обеспечивает достаточно простой механизм фильтрации одноадресных IP-пакетов, во многом подобно брандмауэру, предназначенному для работы на уровне узла. В этом разделе мы целиком сосредоточимся на возможно­стях фильтрации пакетов в реализации протокола IPSec для Windows. Читателям, которые хотят получить более полное представление о протоколе IPSec и особенностях его реализации в Windows, мы рекомендуем обратиться к ресурсам, перечисленным в конце главы.
Преимущества фильтров IPSec
Зачем использовать фильтры IPSec? Для этого есть много веских причин. Во-первых, возможность фильтрации с помощью протокола IPSec встроена в операционную систему, поэтому всегда доступна в Windows 2000 или следующих версиях этой операционной системы. Во-вторых, хорошо осведомленный администратор сетевой безопасности легко создаст и настроит такие фильтры, затем ИХ можно применить одним щелчком мыши или с помощью единого сценария (без перезагрузки). В-третьих, фильтры IPSec по эффективности превосходят устаревшие функции защиты протокола TCP/IP, поскольку не требуют перезагрузки и действительно блокируют трафик ICMP (малоизвестно, что защита протокола TCP/IP никогда не позволяет блокировать передачу ICMP-пакетов, даже если включить эту функцию в интерфейсе настройки). И последнее, в отличие от брандмауэра Internet Connection Firewall, фильтрами IPSec можно централизованно управлять в крупных инфраструктурах Windows с помощью групповых политик.
Как неоднократно подчеркивалось в этой книге, фильтры IPSec можно использовать для всесторонней защиты на уровне узла Windows совместно с сетевыми брандмауэрам и отключением ненужных служб. Мы кратко рассмотрим работу фильтра на простом примере, но сначала необходимо рассказать об ограничениях возможностей фильтров IPSec в Windows.

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика