Главная » Linux

Политики безопасности windows 2003

Содержание
  1. Руководство по безопасности Windows Server 2003
  2. Глава 3. Политика домена
  3. Обзор
  4. Политика домена
  5. Обзор политики домена
  6. Политики учетных записей
  7. Политика паролей
  8. Параметры политики паролей
  9. Безопасность
  10. Политики безопасности в Windows Server 2003
  11. Создание локальной политики безопасности
  12. Работа с локальными политиками безопасности
  13. Безопасность
  14. Политики безопасности в Windows Server 2003
  15. Создание локальной политики безопасности
  16. Работа с локальными политиками безопасности

Руководство по безопасности Windows Server 2003

Глава 3. Политика домена

Опубликовано 20 апреля 2007 г.

На этой странице

Обзор

В данной главе формирование среды домена используется для демонстрации способов обеспечения безопасности инфраструктуры Microsoft® Windows Server™ 2003 с пакетом обновления 1 (SP1).

В данной главе рассматриваются следующие темы:

параметры безопасности и меры противодействия на доменном уровне;

способы укрепления безопасности домена Windows Server 2003 для сред LC (среда устаревших клиентов), EC (среда корпоративных клиентов) и SSLF (специальная безопасная среда с ограниченной функциональностью), определенных в главе 1 «Введение в руководство по безопасности Windows Server 2003».

Данные сведения обеспечивают основные принципы и представление о процессе, которые можно использовать для развития среды, начиная от среды LC и заканчивая средой SSLF в пределах инфраструктуры домена.

Windows Server 2003 с пакетом обновления 1 (SP1) поставляется со стандартными значениями параметров, которые соответствуют известному состоянию системы с высоким уровнем безопасности. Чтобы обеспечить удобство работы с материалом, в главе рассматриваются только те параметры, значения которых будут отличаться от стандартных. Сведения обо всех параметрах по умолчанию см. в дополнительном руководстве Угрозы и меры противодействия: параметры безопасности в системах Windows Server 2003 и Windows XP, которое можно загрузить по адресу http://go.microsoft.com/fwlink/?LinkId=15159 (на английском языке).

Политика домена

Параметры безопасности групповой политики можно применять на различных уровнях организации. В базовой среде, которая рассматривается в главе 2 «Механизмы укрепления безопасности Windows Server 2003», групповые политики использовались для применения параметров на трех следующих уровнях инфраструктуры домена:

Уровень домена. Параметры на данном уровне служат для обеспечения общих требований безопасности, таких как политики учетных записей и паролей, которые должны быть реализованы для всех серверов домена.

Базовый уровень. Параметры на данном уровне соответствуют особым требованиям безопасности, общим для всех серверов в инфраструктуре домена.

Уровень, определяемый ролью сервера. Параметры на данном уровне соответствуют требованиям безопасности, определяемым ролью сервера. Например, требования безопасности для сервера инфраструктуры отличаются от требований для серверов со службами Microsoft IIS.

В следующих разделах данной главы подробно рассматривается только политика доменного уровня. Большинство рассматриваемых параметров безопасности связаны с учетными записями пользователей и паролями. При изучении данных параметров и рекомендаций следует учесть, что все параметры применяются ко всем пользователям в пределах домена.

Обзор политики домена

Групповая политика является очень эффективным средством, так как позволяет администратору создавать стандартную конфигурацию компьютера сети. Объекты групповой политики (GPO) представляют собой значительную часть решения для управления параметрами, подходящего для любой организации, так как позволяют администраторам вносить изменения в параметры безопасности одновременно на всех компьютерах в домене или подразделах домена.

Следующие разделы содержат подробные сведения о параметрах безопасности, которые можно использовать для укрепления безопасности операционной системы Windows Server 2003 с пакетом обновления 1 (SP1). Разделы также включают таблицы с описанием параметров и подробное описание способов достижения целей в сфере укрепления безопасности с помощью конкретных параметров. Параметры разделены на несколько категорий, соответствующих порядку их отображения в редакторе конфигураций безопасности Windows Server 2003.

С помощью групповых политик можно одновременно применять следующие типы изменений параметров безопасности:

Читайте также:  Как поставит windows 10 mobile

изменение разрешений для файловой системы;

изменение разрешений для объектов реестра;

изменение параметров в реестре;

изменение назначений прав пользователя;

настройка системных служб;

настройка журналов аудита и событий;

установка политик паролей и учетных записей.

Авторы данного руководства рекомендуют создать новую групповую политику в корне домена для применения политик доменного уровня, которые рассматриваются в данной главе. Это позволит упростить проверку и устранение неполадок новой групповой политики, так как для отката изменений можно просто отключить ее. Однако некоторые приложения, созданные для работы с Active Directory, вносят изменения непосредственно во встроенную стандартную политику домена. При выполнении рекомендаций, содержащихся в данном руководстве, такие приложения не будут получать сведений о новой внедренной групповой политике. Прежде чем развертывать новые корпоративные приложения, их необходимо тщательно проверить. При появлении проблем убедитесь, что приложение не вносило изменений в политики учетных записей, не создавало новых учетных записей пользователей, не изменяло права пользователей и не вносило других изменений в стандартную политику домена или политики локальных компьютеров.

Политики учетных записей

Политики учетных записей, включающие политику паролей, политику блокировки учетной записи и параметры безопасности политики Kerberos, подходят только для политики домена во всех трех средах, рассматриваемых в настоящем руководстве. Политики паролей обеспечивают установку сложности и расписание изменений для систем с высоким уровнем безопасности. Политика блокировки учетной записи позволяет отслеживать неудачные попытки ввода пароля для входа в систему, чтобы в случае необходимости осуществить блокировку учетной записи. Политики Kerberos используются для учетных записей пользователя домена. Они определяют параметры, связанные с протоколом проверки подлинности Kerberos, такие как время жизни билета и принудительное применение.

Политика паролей

Сложные пароли при их регулярной смене снижают вероятность успешной атаки на пароль. Параметры политики паролей устанавливают сложность и время жизни паролей. В данном разделе рассматривается каждый параметр политики паролей и их значимость для каждой из трех сред, описываемых в данном руководстве: среды устаревших клиентов, среды корпоративных клиентов и специально безопасной среды с ограниченной функциональностью.

Применение строгих требований к длине и сложности пароля не обязательно означает, что пользователи и администраторы будут использовать надежные пароли. Хотя политика паролей может потребовать от пользователей, чтобы их пароли соответствовали требованиям технической сложности, дополнительная строгая политика безопасности необходима, для того чтобы пользователи создавали пароли, которые трудно взломать. Например, фраза «Доброе утро!» может соответствовать всем требованиям к сложности пароля, но такой пароль не так уж трудно разгадать.

Если злоумышленник знаком с человеком, который создал пароль, он может разгадать его, если в пароле используются слова, имеющие отношение к любимой еде, машине или фильму этого человека. Одним из методов обучения пользователей созданию сложных паролей, который можно использовать в рамках программы по укреплению безопасности организации, — вывешивание плакатов с описанием неудачных паролей в местах общего пользования — возле фонтанчика для питья или копировального аппарата. Необходимо также разработать рекомендации по созданию надежных паролей, которые должны включать следующие советы:

избегайте использования слов из словарей на любом языке, включая слова с типичными и намеренными орфографическими ошибками;

не создавайте новый пароль, просто добавив одну цифру к текущему паролю;

избегайте использования паролей, которые начинаются с цифры или заканчиваются на нее, их легче разгадать, чем пароли, имеющие цифру в середине;

избегайте паролей, которые можно разгадать, просто взглянув на ваш рабочий стол (имен домашних животных, названий спортивных команд и имен родственников);

Читайте также:  Change partition number linux

избегайте слов из лексикона массовой культуры;

старайтесь использовать пароли, которые нужно набирать обеими руками;

старайтесь использовать строчные и прописные буквы, цифры и символы во всех паролях;

старайтесь использовать символ пробела и символы, которые можно ввести только с помощью клавиши ALT.

Этими рекомендациями можно пользоваться для создания паролей всех учетных записей служб в организации.

Параметры политики паролей

В следующей таблице содержатся рекомендуемые параметры политики паролей для всех трех сред, рассматриваемых в данном руководстве. Параметры политики паролей можно настроить в следующем разделе редактора объектов групповой политики:

Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\ Политики учетных записей\Политика пароля

Дополнительные сведения о каждом параметре приведены в подразделах, следующих за таблицей.

Таблица 3.1. Рекомендуемые параметры политики паролей

Безопасность

Политики безопасности в Windows Server 2003

Политики безопасности представляют собой метод усиления стандартов безопасности на компьютере. С помощью шаблонов безопасности можно укрепить стандартные наборы политик. Политики безопасности используются и для повышения уровня надежности параметров реестра. Если вы являетесь членом домена Active Directory , можно использовать Group Policy Object ( GPO ) – и все серверы домена будут наследовать эти настройки. В противном случае примените локальную политику безопасности.

Создание локальной политики безопасности

Для изменения локальной политики безопасности выберите команду Start\Administrative Tools\Local Security Policy (Пуск\Администрирование\Локальная политика безопасности). В окне Local Security Settings (Настройка локальной политики безопасности) (см. рис. 6.3) непосредственно изменяются параметры локальных политик безопасности.

В окне Local Security Settings находятся основные категории политик.

  • Account Policies (Политики учетных записей). Настраивает политику блокировки паролей и учетных записей.
  • Local Policies (Локальные политики). Настраивает опции Audit Policy (Политика аудита), User Rights Assignment (Присвоение прав пользователей) и Security (Безопасность):
    • Audit Policy (Политика аудита). Настраивает аудит сервера, а также аудит успешных и/или ошибочных событий:
      • вход учетной записи;
      • управление учетной записью;
      • доступ к службе каталогов;
      • события входа;
      • доступ к объектам;
      • изменение политики;
      • использование привилегий;
      • отслеживание процессов;
      • системные события .

      Работа с локальными политиками безопасности

      После определения политики безопасности ее можно экспортировать с одного компьютера на другой, что позволяет создать единый шаблон и применить его к набору серверов.

      Импорт локальной политики безопасности

      Для настройки локальной политики безопасности используются файлы шаблонов посредством импортирования файла .inf , содержащего параметры. Несколько компьютеров настраиваются одновременно, без включения вручную опций на каждом из них. Отдельные демонстрационные шаблоны безопасности поставляются с WS03 и находятся в папке %systemroot%\security\templates . Используйте эти шаблоны или создайте свои собственные. Для импортирования файла шаблона нажмите на кнопку Security Settings (Параметры безопасности) и в строке меню выберите Action\Import Policy (Действие\Импортировать политику). Затем перейдите к файлу шаблона и нажмите на кнопку Open (Открыть). Политика безопасности будет импортирована, а ее параметры –установлены поверх существующих настроек системы.

      Экспорт локальной политики безопасности

      После настройки системы согласно определенным требованиям шаблон безопасности можно экспортировать в файл .inf для применения на других системах. Для этого нажмите на кнопку Security Settings (Параметры безопасности) и в строке меню выберите Action\Export Policy (Действие\Экспортировать политику). После этого перейдите в каталог, в котором следует сохранить политику, введите имя файла и нажмите на кнопку Save (Сохранить).

      Обновление политики безопасности

      При изменении параметра политика безопасности обновляется не сразу. Обновление происходит при загрузке системы либо каждые 5 мин (для контроллеров доменов) и каждые 90 мин (не для контроллеров доменов). Для немедленного вступления изменений в силу откройте командную строку и введите gpupdate.exe .

      Политики безопасности домена

      Шаблоны политики безопасности доменов аналогичны шаблонам локальной политики безопасности. Они отличаются тем, что политики безопасности доменов применяются ко всем серверам в домене, а не только к локальному серверу, на котором они устанавливаются. Эти политики настраиваются в консоли Start\Administrative Tools\Domain Security Policy MMC (Пуск\Администрирование\Политика безопасности домена) на контроллерах доменов.

      Безопасность

      Политики безопасности в Windows Server 2003

      Политики безопасности представляют собой метод усиления стандартов безопасности на компьютере. С помощью шаблонов безопасности можно укрепить стандартные наборы политик. Политики безопасности используются и для повышения уровня надежности параметров реестра. Если вы являетесь членом домена Active Directory , можно использовать Group Policy Object ( GPO ) – и все серверы домена будут наследовать эти настройки. В противном случае примените локальную политику безопасности.

      Создание локальной политики безопасности

      Для изменения локальной политики безопасности выберите команду Start\Administrative Tools\Local Security Policy (Пуск\Администрирование\Локальная политика безопасности). В окне Local Security Settings (Настройка локальной политики безопасности) (см. рис. 6.3) непосредственно изменяются параметры локальных политик безопасности.

      В окне Local Security Settings находятся основные категории политик.

      • Account Policies (Политики учетных записей). Настраивает политику блокировки паролей и учетных записей.
      • Local Policies (Локальные политики). Настраивает опции Audit Policy (Политика аудита), User Rights Assignment (Присвоение прав пользователей) и Security (Безопасность):
        • Audit Policy (Политика аудита). Настраивает аудит сервера, а также аудит успешных и/или ошибочных событий:
          • вход учетной записи;
          • управление учетной записью;
          • доступ к службе каталогов;
          • события входа;
          • доступ к объектам;
          • изменение политики;
          • использование привилегий;
          • отслеживание процессов;
          • системные события .

          Работа с локальными политиками безопасности

          После определения политики безопасности ее можно экспортировать с одного компьютера на другой, что позволяет создать единый шаблон и применить его к набору серверов.

          Импорт локальной политики безопасности

          Для настройки локальной политики безопасности используются файлы шаблонов посредством импортирования файла .inf , содержащего параметры. Несколько компьютеров настраиваются одновременно, без включения вручную опций на каждом из них. Отдельные демонстрационные шаблоны безопасности поставляются с WS03 и находятся в папке %systemroot%\security\templates . Используйте эти шаблоны или создайте свои собственные. Для импортирования файла шаблона нажмите на кнопку Security Settings (Параметры безопасности) и в строке меню выберите Action\Import Policy (Действие\Импортировать политику). Затем перейдите к файлу шаблона и нажмите на кнопку Open (Открыть). Политика безопасности будет импортирована, а ее параметры –установлены поверх существующих настроек системы.

          Экспорт локальной политики безопасности

          После настройки системы согласно определенным требованиям шаблон безопасности можно экспортировать в файл .inf для применения на других системах. Для этого нажмите на кнопку Security Settings (Параметры безопасности) и в строке меню выберите Action\Export Policy (Действие\Экспортировать политику). После этого перейдите в каталог, в котором следует сохранить политику, введите имя файла и нажмите на кнопку Save (Сохранить).

          Обновление политики безопасности

          При изменении параметра политика безопасности обновляется не сразу. Обновление происходит при загрузке системы либо каждые 5 мин (для контроллеров доменов) и каждые 90 мин (не для контроллеров доменов). Для немедленного вступления изменений в силу откройте командную строку и введите gpupdate.exe .

          Политики безопасности домена

          Шаблоны политики безопасности доменов аналогичны шаблонам локальной политики безопасности. Они отличаются тем, что политики безопасности доменов применяются ко всем серверам в домене, а не только к локальному серверу, на котором они устанавливаются. Эти политики настраиваются в консоли Start\Administrative Tools\Domain Security Policy MMC (Пуск\Администрирование\Политика безопасности домена) на контроллерах доменов.

          Читайте также:  Windows vray 3ds max
Оцените статью
© 2024 Советы по настройке компьютера