Безопасность Windows Server 2003

Локальные политики безопасности

Политики безопасности критически важны для реализации защищенных серверов Windows Server 2003 и защиты доменов. Администраторы могут управлять политикой безопасности на локальных и удаленных компьютерах, включая политики паролей, политики блокировки учетных записей, политики Kerberos, политики аудита, права пользователей и другие политики. Управлять политиками безопасности можно путем редактирования политик на локальном компьютере, в OU или в домене, а также путем применения файлов с шаблонами безопасности (файлы с расширением имени .inf). Настройки Local Security Policy можно задавать на автономных компьютерах или применять к членам домена. В домене Active Directory настройки Domain Security Policy имеют приоритет по сравнению настройками Local Security Policy .

Чтобы модифицировать Local Security Policy , сделайте следующее.

1. Выполните вход на данный компьютер с административными правами.
2. Выберите Start/Programs/Administrative Tools/Local Security Policy. Появится консоль Local Security Settings.

Локальные политики безопасности для учетных записей

Windows Server 2003 использует политики учетных записей для управления двумя важными составляющими аутентификации по учетной записи.

• Password policy (Политика паролей). Определяет настройки для реализации функций управления паролями пользователей.
• Account lockout policy (Политика блокировки учетных записей).Определяет, когда и насколько будет блокирована от системы учетная запись в случае отказа в аутентификации пользователя.
• Enforce Password History (Журнал паролей).Должно быть задано запоминание 12 паролей.
• Maximum Password Age (Максимальный срок действия паролей).Промежуток времени, после которого пользователям требуется изменить свой пароль. Должно быть задано значение от 45 до 90 дней.
• Minimum Password Age (Минимальный срок действия паролей).Минимальный промежуток времени, в течение которого пользователи не могут изменять пароль. Должно быть задано значение 1 день.
• Minimum Password Length (Минимальная длина паролей).Минимальное количество символов, которое должно быть в пользовательских паролях. Должно быть задано значение не менее 8 символов. Каждый дополнительный символ в пароле существенно повышает трудность взлома пароля.
• Password Must Meet Complexity Requirements (Пароль должен отвечать требованиям сложности).Требует использования сильных паролей и поэтому должна быть включена (Enabled). Это требует задания пароля, содержащего не менее трех символов из следующих четырех наборов символов: прописные буквы, строчные буквы, числа и неалфавитные символы.

Политики блокировки учетных записей

Существует несколько подходов к реализации политик блокировки учетных записей. В одной из рекомендаций говорится, что блокировку учетных записей реализовать не следует: если политики паролей сконфигурированы должным образом, то никакой злоумышленник не сможет разгадать пароль за приемлемый период времени. Кроме того, активизация политик блокировки учетных записей значительно повышает возможность отказа в обслуживании, если делаются попытки компрометации сервера с помощью автоматизированных атакующих программ. Эти программы часто осуществляют перебор небольшого числа типичных паролей, что может привести к блокировке некоторых или всех учетных записей на сервере (за исключением учетной записи Administrator, которая не может быть блокирована).

Ниже приводятся некоторые рекомендованные настройки на тот случай, если вы решили реализовать политику блокировки учетных записей.

• Account Lockout Duration (Длительность блокировки учетной записи).Должна быть задана равной 0, что требует помощи администратора для разблокирования учетной записи. Эта политика блокирует учетную запись на указанный период времени после неудачных попыток ввода пароля.
• Account Lockout Threshold (Предельное число попыток перед блокировкой учетной записи).Учетные записи следует блокировать после пяти неверных попыток входа.
• Reset Account Lockout Counter After (Сброс счетчика попыток через).Должно быть задано значение 30 минут. Эта политика задает, как долго должно оставаться в счетчике предельное число попыток, прежде чем выполнить его сброс.

Локальные политики

Локальные политики позволяют администраторам реализовать настройки безопасности, которые относятся к отдельным компьютерам или пользователям. Для конфигурирования можно использовать секцию Local Policies.

• User rights assignment (Назначение прав пользователей).Охватывает разнообразные политики, определяющие типы действий, которые могут выполнять отдельные пользователи или группы. Их конкретная реализация зависит от сайта и компьютера.
• Security options (Параметры безопасности).Управление различными настройками для компьютера. Их конкретная реализация зависит от окружения сайта и того, как используется сервер.
• Audit policy (Политика аудита). Определяет, какие события безопасности регистрируются в журнале событий безопасности на данном компьютере. Управление журналом безопасности Windows Security осуществляется из оснастки Event Viewer.

Существует целый ряд опций безопасности,которые вы можете реализовать в Windows Server 2003. Конфигурирование этих опций сильно зависит от окружения сервера и характера использования данного сервера. Например, контроллер домена может иметь опции, отличные от связанного с интернетом веб-сервера. Возможно, вы захотите просмотреть и реализовать некоторые из этих политик. Две из наиболее важных политик — это переименование учетной записи Administrator и учетной записи Guest.

Следующие политики безопасности можно задавать для повышения безопасности локальных компьютеров и компьютеров, являющихся членами домена.

• Set Additional Restrictions for Anonymous Connections (Задание дополнительных ограничений для анонимных соединений).Отключает для анонимных пользователей возможность доступа к спискам учетных записей SAM и разделяемых ресурсов. Это затрудняет определение учетных записей, которые могут быть компрометированы. Эта политика должна быть включена (Enabled).
• Disable Shutdown Without Logon (Запрет завершения работы компьютера до выполнения входа). Запрещает пользователям завершать работу компьютера, пока он не выполнил вход в систему. Эта политика должна быть отключена (Disabled).
• Clear Virtual Memory Page File When System Shuts Down (Удаление файла виртуальной памяти при завершении работы системы).Удаление файла подкачки при завершении работы системы. Это гарантирует, что любая информация, остающаяся в файле подкачки, будет недоступна следующему пользователю, выполняющему вход на эту машину. Эта политика должна быть включена (Enabled).
• Disable CTRL+ALT+DEL Required for Logon (Исключить требование CTRL+ALT+DEL для входа). Упрощает вход в сеанс пользователя. По умолчанию эта политика отключена (Disabled). Не активизируйте эту политику!
• Do Not Display Last User Name on Logon Screen (Не выводить имя последнего пользователя в окне входа).Удаление имени последнего пользователя из сеанса входа. В этом случае злоумышленнику придется угадывать идентификатор и пароль пользователя. Эта политика должна быть включена (Enabled).
• Implement an Authorized Usage Warning (Реализация предупреждения об авторизованном использовании). Реализация интерактивного окна входа, где выводится баннер входа с заголовком и предупреждением. Администраторы могут задавать заголовок и текст сообщения.
• Rename Administrator Account (Переименование учетной записи администратора).Снижает вероятность успешных атак за счет того, что потенциальному хакеру придется угадывать пароль и пользовательский идентификатор учетной записи

Administrator. Администраторы могут задавать новое имя для учетной записи Administrator.

Руководство по безопасности ОС Windows Server 2003

Обзор

Обновлено 27 декабря 2005 г.

Обновленное Руководство по безопасности ОС Windows Server 2003 предоставляет конкретные рекомендации по увеличению безопасности компьютеров, которые работают под управлением ОС Microsoft® Windows Server™ 2003 с пакетом обновлений 1 (SP1), в трех различных корпоративных средах: в среде с поддержкой устаревших операционных систем, таких как Windows NT® 4.0 и Windows® 98, в среде с ОС Windows 2000 и операционными системами Windows более новых версий, а также в среде с высочайшими требованиями к безопасности, в которой для обеспечения максимальной безопасности допускается даже значительное сокращение доступных для клиентов функций и управляемости. В руководстве эти три среды соответственно обозначаются средой унаследованных клиентов (LC), средой уровня ПК на предприятии (EC) и средой с повышенной безопасностью и ограниченными возможностями (SSLF).

Инструкции по повышению безопасности компьютеров в этих трех средах предназначены для группы серверов с различными ролями. Описанные в руководстве меры и прилагаемые средства предусматривают, что каждый сервер имеет одну роль. Если в среде некоторые серверы должны сочетать несколько ролей, вы можете настроить шаблоны безопасности, содержащиеся в загружаемой версии руководства, для создания подходящей комбинации служб и средств обеспечения безопасности. В этом руководстве рассматриваются следующие роли серверов:

Контроллеры доменов, которые также предоставляют службу DNS

Инфраструктурные серверы, которые предоставляют службы WINS и DHCP.

Веб-серверы, использующие службы Microsoft Internet Information Services (IIS).

Серверы для служб проверки подлинности в Интернете (IAS).

Серверы для служб сертификации.

Авторы постарались создать понятную структуру руководства и обеспечить удобный доступ к информации, чтобы можно было быстро найти нужные сведения и определить, какие параметры подходят для компьютеров в вашей организации. Несмотря на то что это руководство предназначено для крупных предприятий, большое количество содержащейся в нем информации относится к организациям любого размера.

Чтобы наиболее эффективно воспользоваться изложенным материалом, руководство необходимо прочитать полностью. Также для вас могут быть полезны сведения, приведенные в руководстве Угрозы и меры противодействия: параметры безопасности в Windows Server 2003 и Windows XP(EN).

На этой странице

Для кого предназначено это руководство

Данное руководство предназначено в первую очередь для консультантов, специалистов в сфере безопасности, системных разработчиков и специалистов по информационным технологиям, ответственных за планирование инфраструктуры, использование приложений и развертывание Windows Server 2003. Оно не предназначено для пользователей домашних компьютеров.

Специалистам в сфере безопасности и ИТ-разработчикам может потребоваться более подробная информация о параметрах безопасности, которые рассмотрены в этом руководстве. Дополнительная информация приведена в сопроводительном руководстве Угрозы и меры противодействия: параметры безопасности в Windows Server 2003 и Windows XP(EN).

Обзор руководства

Глава 1. Введение в руководство по безопасности ОС Windows Server 2003

Эта глава содержит общий обзор Руководства по безопасности ОС Windows Server 2003, а также краткий обзор каждой главы. В ней также описаны среда унаследованных клиентов (LC), среда уровня ПК на предприятии (EC) и среда с повышенной безопасностью и ограниченными возможностями (SSLF), а также используемые в них компьютеры.

Глава 2. Механизмы повышения безопасности ОС Windows Server 2003

Эта глава содержит обзор основных механизмов, используемых в этом руководстве для повышения безопасности ОС Windows Server 2003 с пакетом обновлений 1 (SP1) — мастер настройки безопасности (Security Configuration Wizard, SCW) и групповую политику Active Directory. В ней объясняется, как SCW предоставляет интерактивную среду для создания, управления и проверки политик безопасности для компьютеров под управлением Windows Server 2003, выполняющих различные серверные роли. В этой главе также оцениваются возможности SCW в контексте трех сред, описанных в главе 1.

Следующая часть этой главы содержит подробное описание модели Active Directory, модели организационных подразделений (OU), объектов групповой политики (GPO), модели административной группы и политики домена. Эти темы рассматриваются в контексте трех сред, описанных в главе 1, чтобы продемонстрировать идеальную безопасную законченную среду.

В конце этой главы приведено подробное объяснение того, как это руководство сочетает лучшие функции SCW и традиционные подходы на основе объектов GPO для повышения безопасности ОС Windows Server 2003 с пакетом обновлений 1 (SP1).

Глава 3. Политика домена

В этой главе описаны параметры шаблонов безопасности и дополнительные меры для политик уровня домена в трех средах, описанных в главе 1. В этой главе не концентрируется внимание на какой-либо конкретной серверной роли. В ней приведены сведения об определенных политиках и параметрах, используемых для политик домена верхнего уровня.

Глава 4. Базовая политика для используемых серверов

В этой главе описывается разработка базовой политики для используемых серверов (MSBP) для серверных ролей, описанных далее в этом руководстве.

Глава 5. Базовая политика для контроллера домена

Серверная роль контроллера домена является одной из самых важных ролей для обеспечения безопасности любой среды Active Directory, в которой используются компьютеры под управлением Windows Server 2003 с пакетом обновлений 1 (SP1). Ошибка или компромиссное решение при настройке безопасности контроллера домена может нанести значительный ущерб клиентским компьютерам, серверам и приложениям, использующим контроллеры домена для проверки подлинности, групповой политики и центрального облегченного протокола службы каталогов (LDAP). В трех средах, рассматриваемых в данном руководстве, контроллеры домена также предоставляют службы DNS.

Глава 6. Роль инфраструктурного сервера

В этой главе ролью инфраструктурного сервера является роль, которая предоставляет службы DHCP или WINS. В данной главе приведены сведения о настройке параметров безопасности, не применяемых базовой политикой для используемых серверов (MSBP), для инфраструктурных серверов под управлением Windows Server 2003 с пакетом обновлений 1 (SP1).

Глава 7. Роль файлового сервера

Эта глава посвящена повышению безопасности компьютеров, используемых в качестве файловых серверов. В ней также объясняется, почему этот процесс является сложной задачей. Для самых базовых функций, предоставляемых файловыми серверами, требуются протоколы, связанные с Windows NetBIOS, а также Server Message Block (SMB) и Common Internet File System (CIFS). Протоколы SMB и CIFS обычно используются для предоставления доступа пользователям, прошедшим проверку подлинности, но при неправильной настройке параметров безопасности они могут предоставить ценную информацию несанкционированным пользователям или хакерам. Вследствие данной угрозы эти протоколы часто отключаются в средах с высоким уровнем безопасности. В этой главе описана настройка параметров безопасности, не применяемых политикой MSBP, для файловых серверов под управлением Windows Server 2003 с пакетом обновлений 1 (SP1).

Глава 8. Роль сервера печати

Эта глава посвящена серверам печати. Аналогично файловым серверам для самых базовых функций, предоставляемых серверами печати, требуются протоколы, связанные с Windows NetBIOS, а также SMB и CIFS. Как было указано ранее, протоколы SMB и CIFS часто отключаются в средах с высоким уровнем безопасности. В этой главе описано, как повысить безопасность сервера печати под управлением Windows Server 2003 с пакетом обновлений 1 (SP1) такими способами, которые не применяются политикой MSBP.

Глава 9. Роль веб-сервера

В этой главе описано, почему для обеспечения всесторонней безопасности веб-узлов и приложений требуется защитить весь сервер IIS (в том числе каждый веб-узел и приложение, которое находится на сервере IIS) от клиентских компьютеров в среде. Веб-узлы и приложения также должны быть защищены от других веб-узлов и приложений, расположенных с ними на сервере IIS. В этой главе описаны приемы по обеспечению этих мер для используемых в среде серверов IIS под управлением Windows Server 2003 с пакетом обновлений 1 (SP1).

Глава 10. Роль сервера IAS

Серверы проверки подлинности в Интернете (Internet Authentication Server, IAS) предоставляют протокол проверки подлинности Remote Authentication Dial-In User Services (RADIUS), который основан на стандартах и предназначен для проверки подлинности клиентов, осуществляющих удаленный доступ к сетям. В этой главе описана настройка параметров безопасности, не применяемых политикой MSBP, для серверов IAS под управлением Windows Server 2003 с пакетом обновлений 1 (SP1).

Глава 11. Роль сервера для служб сертификации

Службы сертификации предоставляют услуги по шифрованию и управлению сертификатами, которые требуются для создания инфраструктуры с открытым ключом (PKI) в серверной среде. В этой главе описана настройка параметров безопасности, не применяемых политикой MSBP, для серверов служб сертификации под управлением Windows Server 2003 с пакетом обновлений 1 (SP1).

Глава 12. Роль граничного сервера

Граничные серверы доступны для клиентских компьютеров через Интернет. В этой главе описано, как эти доступные для всех системы могут быть атакованы большим количеством пользователей, которые при желании могут быть абсолютно анонимными. Многие организации не связывают инфраструктуру домена с Интернетом, поэтому в этой главе рассматривается повышение безопасности отдельных компьютеров под управлением ОС Windows Server 2003 с пакетом обновлений 1 (SP1), которые не входят в состав домена на базе Active Directory.

Глава 13. Заключение

Заключительная глава этого руководства содержит краткую информацию о материале, представленном в предыдущих главах.

Приложение А. Средства и форматы обеспечения безопасности

Несмотря на то что в Руководстве по безопасности ОС Windows Server 2003 рассматривается использование SCW для создания политик, которые затем преобразовываются в шаблоны безопасности и объекты групповой политики, существуют различные другие средства и форматы данных, которые могут использоваться для дополнения или замены этой методики. Это приложение содержит краткий список этих средств и форматов.

Приложение Б. Ключевые параметры, на которые следует обратить внимание

В Руководстве по безопасности ОС Windows Server 2003 описаны многие меры и параметры обеспечения безопасности, однако необходимо знать некоторые, наиболее важные из них. В этом приложении рассматриваются параметры, которые оказывают наибольшее влияние на безопасность компьютеров под управлением ОС Windows Server 2003 с пакетом обновлений 1 (SP1).

Приложение В. Краткая информация о настройке шаблонов безопасности

Это приложение содержит рабочий лист Microsoft Excel® «Параметры безопасности руководства по безопасности ОС Windows Server 2003»(EN), который прилагается к средствам и шаблонам в загружаемой версии(EN). Этот лист является всесторонним справочным документом в компактном, удобном формате и содержит информацию обо всех рекомендуемых параметрах для трех сред, рассматриваемых в данном руководстве.

Приложение Г. Тестирование руководства по безопасности ОС Windows Server 2003

Руководство по безопасности ОС Windows Server 2003 содержит большое количество информации о повышении безопасности серверов под управлением ОС Windows Server 2003 с пакетом обновлений 1 (SP1), но читателю рекомендуется регулярно проверять параметры и убеждаться в их действенности, прежде чем внедрять какие-либо из них в рабочую среду.

Это приложение содержит инструкции по созданию подходящей тестовой среды, которую можно использовать для обеспечения успешного внедрения рекомендуемых параметров в рабочую среду. Она помогает выполнять необходимую проверку и использовать для этого минимальное количество ресурсов.

Средства и шаблоны

Чтобы облегчить анализ, тестирование и проведение рекомендованных мероприятий, в состав загружаемой версии руководства включен набор шаблонов безопасности, сценариев и дополнительных инструментов. Шаблоны безопасности представляют собой текстовые файлы, которые можно импортировать в состав групповой политики домена или использовать на локальном компьютере с помощью оснастки «Анализ и настройка безопасности» консоли управления Microsoft Management Console (MMC). Соответствующие инструкции находятся в главе 2 «Механизмы повышения безопасности ОС Windows Server 2003». Прилагаемые к этому руководству сценарии включают в себя сценарии для создания и связывания объектов групповой политики, а также тестовые сценарии, используемые для проверки рекомендуемых мер.

Связанные ресурсы

Для получения дополнительных сведений о параметрах безопасности, описанных в этом руководстве, загрузите сопутствующее руководство Угрозы и меры противодействия: параметры безопасности в Windows Server 2003 и Windows XP(EN), а также Руководство по безопасности ОС Windows XP(EN). Информация о других решениях по обеспечению безопасности(EN), предоставленная группой Microsoft Solutions for Security and Compliance (MSSC).

Поделитесь своим мнением

Группа Microsoft Solutions for Security and Compliance (MSSC) будет рада узнать ваше мнение об этом и других решениях по обеспечению безопасности.

Либо отправьте нам свои комментарии по следующему адресу: SecWish@microsoft.com. Мы часто отвечаем на сообщения, которые приходят по этому адресу.

С нетерпением ожидаем ваших комментариев.

Консультации и услуги по поддержке

Доступны многие услуги для помощи организациям в обеспечении безопасности. Воспользуйтесь следующими ссылками, чтобы найти необходимые услуги.

Для получения информации о партнерах со статусом Microsoft Gold Certified Partner, технических образовательных центрах и партнерах, сертифицированных корпорацией Майкрософт, а также о продуктах независимых разработчиков программного обеспечения, использующих технологии Майкрософт, выполните поиск на веб-узле Microsoft Resource Directory(EN).

Чтобы найти консалтинговые услуги и услуги по поддержке, которые соответствуют потребностям вашей организации, посетите веб-узел Microsoft Services(EN).

Загрузка

Уведомления об обновлениях