Руководство по безопасности ОС Windows Server 2003

Обзор

Обновлено 27 декабря 2005 г.

Обновленное Руководство по безопасности ОС Windows Server 2003 предоставляет конкретные рекомендации по увеличению безопасности компьютеров, которые работают под управлением ОС Microsoft® Windows Server™ 2003 с пакетом обновлений 1 (SP1), в трех различных корпоративных средах: в среде с поддержкой устаревших операционных систем, таких как Windows NT® 4.0 и Windows® 98, в среде с ОС Windows 2000 и операционными системами Windows более новых версий, а также в среде с высочайшими требованиями к безопасности, в которой для обеспечения максимальной безопасности допускается даже значительное сокращение доступных для клиентов функций и управляемости. В руководстве эти три среды соответственно обозначаются средой унаследованных клиентов (LC), средой уровня ПК на предприятии (EC) и средой с повышенной безопасностью и ограниченными возможностями (SSLF).

Инструкции по повышению безопасности компьютеров в этих трех средах предназначены для группы серверов с различными ролями. Описанные в руководстве меры и прилагаемые средства предусматривают, что каждый сервер имеет одну роль. Если в среде некоторые серверы должны сочетать несколько ролей, вы можете настроить шаблоны безопасности, содержащиеся в загружаемой версии руководства, для создания подходящей комбинации служб и средств обеспечения безопасности. В этом руководстве рассматриваются следующие роли серверов:

Контроллеры доменов, которые также предоставляют службу DNS

Инфраструктурные серверы, которые предоставляют службы WINS и DHCP.

Веб-серверы, использующие службы Microsoft Internet Information Services (IIS).

Серверы для служб проверки подлинности в Интернете (IAS).

Серверы для служб сертификации.

Авторы постарались создать понятную структуру руководства и обеспечить удобный доступ к информации, чтобы можно было быстро найти нужные сведения и определить, какие параметры подходят для компьютеров в вашей организации. Несмотря на то что это руководство предназначено для крупных предприятий, большое количество содержащейся в нем информации относится к организациям любого размера.

Чтобы наиболее эффективно воспользоваться изложенным материалом, руководство необходимо прочитать полностью. Также для вас могут быть полезны сведения, приведенные в руководстве Угрозы и меры противодействия: параметры безопасности в Windows Server 2003 и Windows XP(EN).

На этой странице

Для кого предназначено это руководство

Данное руководство предназначено в первую очередь для консультантов, специалистов в сфере безопасности, системных разработчиков и специалистов по информационным технологиям, ответственных за планирование инфраструктуры, использование приложений и развертывание Windows Server 2003. Оно не предназначено для пользователей домашних компьютеров.

Специалистам в сфере безопасности и ИТ-разработчикам может потребоваться более подробная информация о параметрах безопасности, которые рассмотрены в этом руководстве. Дополнительная информация приведена в сопроводительном руководстве Угрозы и меры противодействия: параметры безопасности в Windows Server 2003 и Windows XP(EN).

Обзор руководства

Глава 1. Введение в руководство по безопасности ОС Windows Server 2003

Эта глава содержит общий обзор Руководства по безопасности ОС Windows Server 2003, а также краткий обзор каждой главы. В ней также описаны среда унаследованных клиентов (LC), среда уровня ПК на предприятии (EC) и среда с повышенной безопасностью и ограниченными возможностями (SSLF), а также используемые в них компьютеры.

Глава 2. Механизмы повышения безопасности ОС Windows Server 2003

Эта глава содержит обзор основных механизмов, используемых в этом руководстве для повышения безопасности ОС Windows Server 2003 с пакетом обновлений 1 (SP1) — мастер настройки безопасности (Security Configuration Wizard, SCW) и групповую политику Active Directory. В ней объясняется, как SCW предоставляет интерактивную среду для создания, управления и проверки политик безопасности для компьютеров под управлением Windows Server 2003, выполняющих различные серверные роли. В этой главе также оцениваются возможности SCW в контексте трех сред, описанных в главе 1.

Следующая часть этой главы содержит подробное описание модели Active Directory, модели организационных подразделений (OU), объектов групповой политики (GPO), модели административной группы и политики домена. Эти темы рассматриваются в контексте трех сред, описанных в главе 1, чтобы продемонстрировать идеальную безопасную законченную среду.

В конце этой главы приведено подробное объяснение того, как это руководство сочетает лучшие функции SCW и традиционные подходы на основе объектов GPO для повышения безопасности ОС Windows Server 2003 с пакетом обновлений 1 (SP1).

Глава 3. Политика домена

В этой главе описаны параметры шаблонов безопасности и дополнительные меры для политик уровня домена в трех средах, описанных в главе 1. В этой главе не концентрируется внимание на какой-либо конкретной серверной роли. В ней приведены сведения об определенных политиках и параметрах, используемых для политик домена верхнего уровня.

Глава 4. Базовая политика для используемых серверов

В этой главе описывается разработка базовой политики для используемых серверов (MSBP) для серверных ролей, описанных далее в этом руководстве.

Глава 5. Базовая политика для контроллера домена

Серверная роль контроллера домена является одной из самых важных ролей для обеспечения безопасности любой среды Active Directory, в которой используются компьютеры под управлением Windows Server 2003 с пакетом обновлений 1 (SP1). Ошибка или компромиссное решение при настройке безопасности контроллера домена может нанести значительный ущерб клиентским компьютерам, серверам и приложениям, использующим контроллеры домена для проверки подлинности, групповой политики и центрального облегченного протокола службы каталогов (LDAP). В трех средах, рассматриваемых в данном руководстве, контроллеры домена также предоставляют службы DNS.

Глава 6. Роль инфраструктурного сервера

В этой главе ролью инфраструктурного сервера является роль, которая предоставляет службы DHCP или WINS. В данной главе приведены сведения о настройке параметров безопасности, не применяемых базовой политикой для используемых серверов (MSBP), для инфраструктурных серверов под управлением Windows Server 2003 с пакетом обновлений 1 (SP1).

Глава 7. Роль файлового сервера

Эта глава посвящена повышению безопасности компьютеров, используемых в качестве файловых серверов. В ней также объясняется, почему этот процесс является сложной задачей. Для самых базовых функций, предоставляемых файловыми серверами, требуются протоколы, связанные с Windows NetBIOS, а также Server Message Block (SMB) и Common Internet File System (CIFS). Протоколы SMB и CIFS обычно используются для предоставления доступа пользователям, прошедшим проверку подлинности, но при неправильной настройке параметров безопасности они могут предоставить ценную информацию несанкционированным пользователям или хакерам. Вследствие данной угрозы эти протоколы часто отключаются в средах с высоким уровнем безопасности. В этой главе описана настройка параметров безопасности, не применяемых политикой MSBP, для файловых серверов под управлением Windows Server 2003 с пакетом обновлений 1 (SP1).

Глава 8. Роль сервера печати

Эта глава посвящена серверам печати. Аналогично файловым серверам для самых базовых функций, предоставляемых серверами печати, требуются протоколы, связанные с Windows NetBIOS, а также SMB и CIFS. Как было указано ранее, протоколы SMB и CIFS часто отключаются в средах с высоким уровнем безопасности. В этой главе описано, как повысить безопасность сервера печати под управлением Windows Server 2003 с пакетом обновлений 1 (SP1) такими способами, которые не применяются политикой MSBP.

Глава 9. Роль веб-сервера

В этой главе описано, почему для обеспечения всесторонней безопасности веб-узлов и приложений требуется защитить весь сервер IIS (в том числе каждый веб-узел и приложение, которое находится на сервере IIS) от клиентских компьютеров в среде. Веб-узлы и приложения также должны быть защищены от других веб-узлов и приложений, расположенных с ними на сервере IIS. В этой главе описаны приемы по обеспечению этих мер для используемых в среде серверов IIS под управлением Windows Server 2003 с пакетом обновлений 1 (SP1).

Глава 10. Роль сервера IAS

Серверы проверки подлинности в Интернете (Internet Authentication Server, IAS) предоставляют протокол проверки подлинности Remote Authentication Dial-In User Services (RADIUS), который основан на стандартах и предназначен для проверки подлинности клиентов, осуществляющих удаленный доступ к сетям. В этой главе описана настройка параметров безопасности, не применяемых политикой MSBP, для серверов IAS под управлением Windows Server 2003 с пакетом обновлений 1 (SP1).

Глава 11. Роль сервера для служб сертификации

Службы сертификации предоставляют услуги по шифрованию и управлению сертификатами, которые требуются для создания инфраструктуры с открытым ключом (PKI) в серверной среде. В этой главе описана настройка параметров безопасности, не применяемых политикой MSBP, для серверов служб сертификации под управлением Windows Server 2003 с пакетом обновлений 1 (SP1).

Глава 12. Роль граничного сервера

Граничные серверы доступны для клиентских компьютеров через Интернет. В этой главе описано, как эти доступные для всех системы могут быть атакованы большим количеством пользователей, которые при желании могут быть абсолютно анонимными. Многие организации не связывают инфраструктуру домена с Интернетом, поэтому в этой главе рассматривается повышение безопасности отдельных компьютеров под управлением ОС Windows Server 2003 с пакетом обновлений 1 (SP1), которые не входят в состав домена на базе Active Directory.

Глава 13. Заключение

Заключительная глава этого руководства содержит краткую информацию о материале, представленном в предыдущих главах.

Приложение А. Средства и форматы обеспечения безопасности

Несмотря на то что в Руководстве по безопасности ОС Windows Server 2003 рассматривается использование SCW для создания политик, которые затем преобразовываются в шаблоны безопасности и объекты групповой политики, существуют различные другие средства и форматы данных, которые могут использоваться для дополнения или замены этой методики. Это приложение содержит краткий список этих средств и форматов.

Приложение Б. Ключевые параметры, на которые следует обратить внимание

В Руководстве по безопасности ОС Windows Server 2003 описаны многие меры и параметры обеспечения безопасности, однако необходимо знать некоторые, наиболее важные из них. В этом приложении рассматриваются параметры, которые оказывают наибольшее влияние на безопасность компьютеров под управлением ОС Windows Server 2003 с пакетом обновлений 1 (SP1).

Приложение В. Краткая информация о настройке шаблонов безопасности

Это приложение содержит рабочий лист Microsoft Excel® «Параметры безопасности руководства по безопасности ОС Windows Server 2003»(EN), который прилагается к средствам и шаблонам в загружаемой версии(EN). Этот лист является всесторонним справочным документом в компактном, удобном формате и содержит информацию обо всех рекомендуемых параметрах для трех сред, рассматриваемых в данном руководстве.

Приложение Г. Тестирование руководства по безопасности ОС Windows Server 2003

Руководство по безопасности ОС Windows Server 2003 содержит большое количество информации о повышении безопасности серверов под управлением ОС Windows Server 2003 с пакетом обновлений 1 (SP1), но читателю рекомендуется регулярно проверять параметры и убеждаться в их действенности, прежде чем внедрять какие-либо из них в рабочую среду.

Это приложение содержит инструкции по созданию подходящей тестовой среды, которую можно использовать для обеспечения успешного внедрения рекомендуемых параметров в рабочую среду. Она помогает выполнять необходимую проверку и использовать для этого минимальное количество ресурсов.

Средства и шаблоны

Чтобы облегчить анализ, тестирование и проведение рекомендованных мероприятий, в состав загружаемой версии руководства включен набор шаблонов безопасности, сценариев и дополнительных инструментов. Шаблоны безопасности представляют собой текстовые файлы, которые можно импортировать в состав групповой политики домена или использовать на локальном компьютере с помощью оснастки «Анализ и настройка безопасности» консоли управления Microsoft Management Console (MMC). Соответствующие инструкции находятся в главе 2 «Механизмы повышения безопасности ОС Windows Server 2003». Прилагаемые к этому руководству сценарии включают в себя сценарии для создания и связывания объектов групповой политики, а также тестовые сценарии, используемые для проверки рекомендуемых мер.

Связанные ресурсы

Для получения дополнительных сведений о параметрах безопасности, описанных в этом руководстве, загрузите сопутствующее руководство Угрозы и меры противодействия: параметры безопасности в Windows Server 2003 и Windows XP(EN), а также Руководство по безопасности ОС Windows XP(EN). Информация о других решениях по обеспечению безопасности(EN), предоставленная группой Microsoft Solutions for Security and Compliance (MSSC).

Поделитесь своим мнением

Группа Microsoft Solutions for Security and Compliance (MSSC) будет рада узнать ваше мнение об этом и других решениях по обеспечению безопасности.

Либо отправьте нам свои комментарии по следующему адресу: SecWish@microsoft.com. Мы часто отвечаем на сообщения, которые приходят по этому адресу.

С нетерпением ожидаем ваших комментариев.

Консультации и услуги по поддержке

Доступны многие услуги для помощи организациям в обеспечении безопасности. Воспользуйтесь следующими ссылками, чтобы найти необходимые услуги.

Для получения информации о партнерах со статусом Microsoft Gold Certified Partner, технических образовательных центрах и партнерах, сертифицированных корпорацией Майкрософт, а также о продуктах независимых разработчиков программного обеспечения, использующих технологии Майкрософт, выполните поиск на веб-узле Microsoft Resource Directory(EN).

Чтобы найти консалтинговые услуги и услуги по поддержке, которые соответствуют потребностям вашей организации, посетите веб-узел Microsoft Services(EN).

Загрузка

Уведомления об обновлениях

Средства безопасности в Windows Server 2003

По материалам Microsoft

Современный бизнес все больше перемещается в виртуальную сферу, а информационные технологии, в свою очередь, играют все более заметную роль в обеспечении жизнедеятельности предприятий. Однако наряду с многочисленными преимуществами расширение сферы применения компьютерных систем означает и высокие риски, связанные с безопасностью. В частности, разнообразные возможности доступа, повышая производительность и качество работы сотрудников, в то же время облегчают злоумышленникам проведение широкомасштабных атак в сети, а также делают корпоративные сети более уязвимыми для несанкционированного доступа.

Создание интерактивных Web-узлов, предоставляющих каждому посетителю индивидуальную информацию, усложняет задачи, стоящие перед разработчиками систем безопасности. Необходимость защиты личных сведений потребовала разработки новых нормативных актов, а угроза терроризма заставляет еще серьезнее задуматься о безопасности.

Недостаточная надежность систем безопасности ведет к значительным финансовым потерям. В то же время «обременительные» решения в этой сфере могут приносить ущерб в виде снижения производительности систем, задержек в доступе к информационным ресурсам и т. п. Таким образом, актуальной становится задача оптимизации структуры и уровня надежности систем безопасности.

Построение безопасной платформы

В начале 2002 года Microsoft объявила об инициативе построения защищенной информационной системы (Trustworthy Computing), которая базируется на четырех основных принципах — обеспечении безопасности, защите личных сведений, надежности и целостности. Одновременно корпорация предложила концепцию безопасности SD3+C (Secure by Design, Secure by Default, Secure in Deployment and Communications — Безопасность в архитектуре, Безопасность по умолчанию, Безопасность при установке и Взаимодействие).

Безопасность в архитектуре подразумевает устранение всех недостатков продукта с точки зрения безопасности до отправки его потребителю, а также введение средств, повышающих безопасность продукта. Для сокращения числа уязвимых мест в новых и уже существующих программах требуется постоянное совершенствование внутренних процессов разработки продукции.

Основа идеи обеспечения безопасности по умолчанию состоит в том, чтобы отправлять потребителям продукцию с более высокой степенью безопасности, что достигается путем отключения служб, остающихся невостребованными в большинстве пользовательских сценариев, и снижения числа автоматически предоставляемых разрешений. Это позволяет свести к минимуму область, доступную для внешних атак. Принятое самим пользователем осознанное решение об использовании этих служб повышает вероятность того, что управление ими будет осуществляться подобающим образом.

Принцип безопасности при развертывании подразумевает, что при установке нового ПО работа компьютеров и сетевых систем не должна прерываться.

Принцип взаимодействия подразумевает сотрудничество между разработчиком и потребителями — последние получают оперативную информацию о проблемах безопасности в приобретенных продуктах и о появлении соответствующих доработок. Кроме того, потребителям предоставляются необходимые консультации и предупреждения о возможных атаках и новых способах борьбы с ними.

ОС Windows Server 2003 — первый продукт, выпускаемый в рамках инициативы создания защищенных информационных систем. Посмотрим, как сформулированные выше элементы концепции SD3+C реализованы в этой ОС.

Безопасность в архитектуре

Прежде всего, в рамках решения этой задачи информационные службы Интернета (IIS) в Windows Server 2003 были переработаны с целью усовершенствования средств безопасности Web-транзакций. IIS 6.0 позволяет изолировать отдельное Web-приложение в самостоятельный процесс, что предотвращает негативное влияние одного нестабильного приложения на все Web-службы или другие Web-приложения на сервере. IIS 6.0 позволяет также отслеживать работоспособность системы, обнаруживая и восстанавливая поврежденные Web-приложения, а также предотвращая их выход из строя. Код приложения сторонних разработчиков в IIS 6.0 выполняется в изолированных рабочих процессах, использующих по умолчанию новую учетную запись сетевой службы с меньшими полномочиями. Изоляция рабочего процесса позволяет с помощью таблиц управления доступом (Access Control Lists, ACL) ограничить Web-узел или приложение рамками его корневого каталога.

Усовершенствованные средства безопасности сетевого подключения в новой системе дополняют средства безопасности самого узла. В Windows Server 2003 реализована поддержка протоколов строгой проверки подлинности, таких, как 802.1x (Wi-Fi), а также протокола PEAP (Protected Extensible Authentication Protocol), что повышает безопасность беспроводного подключения. В усовершенствованной системе безопасности IPSec (Internet Protocol Security — наборе служб защиты и протоколов безопасности на основе средств криптографии) используется более надежный алгоритм шифрования данных, передаваемых по локальным сетям.

Кроме того, ключевым элементом Windows Server 2003 стал модуль многоязыковой библиотеки времени выполнения (CLR — Common Language Runtime), помогающий обеспечить более высокую степень безопасности и надежности компьютерной среды. CLR тестирует приложение на возможность исполнения без ошибок и проверяет разрешения безопасности, гарантирующие, что программный код выполняет только допустимые операции. CLR уменьшает число сбоев и брешей в системе безопасности, вызванных ошибками программирования, сокращая количество уязвимых для атак мест.

Безопасность по умолчанию

Стараясь сузить область, доступную для атак в варианте Windows Server 2003 по умолчанию, разработчики отключили 19 служб и сократили набор полномочий в некоторых других службах. Так, службы IIS 6.0 не устанавливаются вместе с Windows Server 2003 по умолчанию, и администраторам необходимо явно выразить свое желание установить их — это снижает опасность атак на Web-инфраструктуру. Кроме того, по умолчанию службы IIS 6.0 во время установки переводятся в «блокированное» состояние. После установки служба IIS 6.0 принимает запросы только для статических файлов — до тех пор, пока она не будет настроена на обслуживание динамических элементов, а все таймауты и установки не будут переведены в состояние по умолчанию, обеспечивающее повышенную безопасность. Деактивировать IIS 6.0 можно также с помощью политик групп Windows Server 2003.

Далее, в таблицах управления доступом (ACL) по умолчанию установлены более строгие критерии, используемые операционной системой для защиты сетевых ресурсов. Например, создание новой таблицы ACL корневой папки системы и установка этой папки в качестве папки по умолчанию означает, что пользователи не могут больше записывать файлы в корневой каталог системного диска, — это предотвратит ложные атаки.

В Windows Server 2003 созданы две дополнительные учетные записи пользователей, позволяющие службам работать с меньшим набором полномочий, что помогает предотвратить возможность захвата системы через уязвимые места в службах. Новая учетная запись сетевой службы используется, например, для работы DNS-клиента и всех рабочих процессов IIS. Telnet работает теперь с использованием новой учетной записи локальной службы.

Безопасность при развертывании

Политика ограниченного использования программ (Software Restriction Policy, SRP) — реализованное в Windows Server 2003 и Windows XP средство, позволяющее администраторам проверять запущенное в их домене ПО и управлять возможностью его исполнения на основе заданных правил. Использование SRP позволяет администратору ограничить исполняемое ПО набором надежных приложений — тем самым предотвращается запуск нежелательных программ, скажем, вирусов или конфликтующих приложений. С помощью SRP можно также ограничить круг лиц, способных запустить определенные программы на общих компьютерах, оставив эти функции одному лишь администратору.

Редактор конфигурации безопасности (Security Configuration Editor, SCE) призван помочь организации обезопасить системы на основе Windows, выполняющие различные роли и сценарии установки, например, Web-сервер, подключенный как к Интернету, так и к безопасной внутренней сети. Службы, не требующиеся для работы файлового сервера (например, факс), могут быть отключены. Если необходимо построить политику безопасности для различных типов серверов или выполнить тестовую блокировку для проверки правильности функционирования системы, администраторы могут воспользоваться Мастером конфигурации безопасности в SCE.

Службы сбора аудита (Microsoft Audit Collection Services, MACS) — программное средство для отслеживания работы и аудита систем. Эти службы собирают информацию о событиях в сфере безопасности в сжатом и шифрованном виде и загружают эти события в базу данных для анализа. Данное средство будет работать на базе Windows XP и Windows 2000 Server, его выпуск намечен на конец 2003 г.

Взаимодействие

Перечислим несколько пособий и инструкций Microsoft, посвященных управлению системой безопасности в Windows Server 2003 и исправлениями.

Руководство Microsoft Solution for Securing Windows Server 2003 («Решения корпорации Майкрософт для обеспечения безопасности Windows Server 2003», в продаже с апреля 2003 г.) содержит сведения по всем вопросам оценки и анализа рисков, обеспечения безопасности жизненно важных функций серверов и безопасной работы среды Windows Server 2003 после завершения начальных фаз блокировки.

Ресурс Microsoft System Architecture (http://www.microsoft.com/solutions/msa) включает инструкции, помогающие потребителям сконструировать компьютерную инфраструктуру на основе технологий, поставляемых корпорацией Microsoft и ее партнерами.

Ресурс Patch Management Service Offering (http://www.microsoft.com/solutions/msm) предоставляет помощь в установке исправлений и обновлений.

Microsoft и ее сертифицированные центры технического обучения проводят также обучение ИТ-персонала по вопросам обнаружения угроз безопасности и снижения их воздействия (см. http://www.microsoft.com/traincenter).

Новые средства безопасности в Windows Server 2003

Проверка подлинности

В новой версии Windows появилось несколько средств проверки подлинности для виртуальной организации.

Доверие «лесов». Windows Server 2003 поддерживает доверительные отношения между различными «лесами», что упрощает деловые отношения с другими компаниями, использующими службу Active Directory. Эта функция позволяет явным образом оказывать доверие определенным (или всем) пользователям либо группам, не жертвуя удобством однократной регистрации.

Диспетчер учетных данных. Эта функция обеспечивает надежное хранение учетных данных (имен пользователей и паролей), а также ссылок на сертификаты и ключи. Благодаря ей пользователи, в том числе и мобильные, получают возможность согласованной однократной регистрации.

Принудительное делегирование. Механизм делегирования позволяет службе использовать учетную запись пользователя или компьютера для получения доступа к ресурсам всей сети. С помощью новой функции Windows Server 2003 можно ограничить набор делегируемых прав. Например, если службе первоначально были делегированы права доступа к базе данных от имени пользователя, затем ее полномочия могут быть сужены и ограничены лишь правом доступа к этой базе данных — без права доступа к другим компьютерам или службам.

Смена протокола. Подлинность пользователей интрасети обычно проверяется на основе протокола Kerberos, но аутентификация пользователей Интернета выполняется таким способом значительно реже. В Windows Server 2003 можно изменить протокол идентификации, не используя при этом пароль пользователя и не заставляя последнего проходить процедуру проверки подлинности с помощью Kerberos. Таким образом, подлинность пользователя, работающего в Интернете, можно проверить любым заданным методом, после чего он проходит идентификацию Windows.

Интеграция .NET Passport с Active Directory. Чтобы предоставить своим партнерам и потребителям возможность однократной регистрации для получения доступа к приложениям и ресурсам на основе Windows, можно воспользоваться проверкой подлинности при помощи службы Passport.

Управление доступом

В Windows Server 2003 представлены новые функции управления доступом на основе ролей, адреса URL, а также с привлечением политики ограниченного использования программ.

Управление доступом на основе ролей. Роль — это именованный набор участников с одинаковыми полномочиями в отношении безопасности (скажем, кассир или менеджер банка). Безопасность на основе ролей зачастую используется для ужесточения политики: например, можно ввести ограничение на размер обрабатываемой транзакции в зависимости от того, какой пользователь выполняет запрос — кассир или менеджер. Новый механизм позволяет системному администратору эффективно управлять доступом к информационным ресурсам, а разработчикам — внедрять в приложения существующие модели безопасности на основе роли.

Управление доступом на основе адреса URL. Это средство позволяет организации управлять доступом к Web-приложениям, ограничивая доступ пользователей к адресам URL. Например, для неизвестного пользователя доступ может быть ограничен несколькими приложениями, а известному можно предоставить право запускать и другие приложения.

Политика ограниченного использования программ. Если управление доступом позволяет ограничивать доступ к ресурсам, политика ограниченного использования программ, SRP, позволяет управлять запуском приложений в системе. Это дает системному администратору возможность регулировать запуск неизвестного или подозрительного ПО, указывая, какие программные продукты могут запускаться в системе, или устанавливая уровень безопасности по умолчанию с правилами для определенных исключений.

Аудит

С помощью усовершенствованных средств аудита в Windows Server 2003 организация может сконструировать эффективную систему обнаружения вторжений в режиме реального времени. Это поможет отслеживать использование системы и выявлять подозрительное поведение.

Аудит операций. Средства Windows Server 2003 позволяют детально отслеживать операции пользователей, записывая события определенных типов в журнал безопасности сервера или рабочей станции. Эта функция, в частности, позволяет не только определить, кто работал с файлом, но и какие операции над этим файлом были проведены.

Выборочный аудит пользователей. В дополнение к общей политике аудита системы в Windows Server 2003 можно задать отдельную политику аудита для конкретного пользователя.

Усовершенствованные процедуры аудита входа и выхода и управления учетными записями. События, связанные с входом в систему и выходом, теперь содержат IP-адрес и сведения о вызывающем объекте. Кроме того, теперь программа аудита управления учетными записями может предоставить точные сведения о характере изменения учетной записи и новом значении ее измененного параметра.

Система сбора аудита MACS. Это приложение типа клиент-сервер, включающее усовершенствованные функции аудита. MACS собирает сведения о событиях в сфере безопасности в режиме реального времени и хранит их в готовом к анализу виде в базе данных SQL. Разделяя роли администратора и аудитора, MACS позволяет пользователям централизованно собирать информацию, в которую администратор не может внести изменения.

Инфраструктура открытого ключа

Новые возможности Windows Server 2003 делают инфраструктуру открытого ключа и связанные с нею технологии более управляемыми и простыми в установке и работе.

Система перекрестной сертификации, называемая также квалифицированным подчинением, позволяет накладывать ограничения на подчиненные центры сертификации и издаваемые ими сертификаты. Можно также устанавливать доверительные отношения между центрами сертификации в различных иерархиях.

Списки Delta CRL. Delta CRL — это список, включающий только сертификаты, статус которых изменился с момента последней компиляции полного (базового) списка CRL (Certificate Revocation List — список отозванных сертификатов). Он значительно меньше полного списка CRL, и его можно часто публиковать без какого бы то ни было воздействия (или с незначительным воздействием) на клиентские компьютеры или сетевую инфраструктуру. Сервер сертификатов, являющийся частью Windows Server 2003, поддерживает списки Delta CRL, что повышает эффективность публикации отозванных сертификатов x.509.

Архивация ключей. Часто перед восстановлением данных необходимо провести восстановление ключа. В Windows Server 2003 для архивации и восстановления закрытого ключа, связанного с отдельным запросом сертификата, может использоваться центр сертификации. Это обеспечивает организациям большую гибкость по сравнению с Windows 2000 Server. В предшествующей версии для расшифровки файлов, закодированных с помощью шифрованной файловой системы или безопасной почты с помощью протокола S/MIME, использовался агент восстановления данных.

Автоматическая регистрация. Автоматическая регистрация сертификатов и автоматическое обновление в Windows Server 2003 значительно снижают ресурсоемкость управления сертификатами шифрования x.509. Эти функции также упрощают и ускоряют установку смарт-карт и увеличивают безопасность беспроводных подключений (IEEE 802.1x), автоматически обновляя сертификаты, срок действия которых истек.

Сетевая безопасность

Для повышения безопасности беспроводных подключений в Windows Server 2003 предусмотрена поддержка протоколов 802.1x и PEAP, для совершенствования проводных подключений повышена безопасность протокола IP (IPSec).

Карантин. Управление карантином доступа к сети (Network Access Quarantine Control) — новая функция Windows Server 2003, которая задерживает предоставление удаленного доступа к локальной сети в обычном режиме на время проведения проверки настроек удаленного компьютера и утверждения ее сценарием администратора. Функция призвана оградить локальную сеть от подключения компьютеров с небезопасными настройками, но она не позволяет защитить сеть от злоумышленников с действующими учетными данными.

Протокол 802.1x. Встроенная поддержка протокола проверки подлинности IEEE 802.1x (Wi-Fi) позволяет идентифицировать компьютеры и пользователей, динамически создавать ключи и осуществлять централизованную проверку подлинности. Поддержка протокола расширенной проверки подлинности (Extended Authentication Protocol, EAP) в Wi-Fi упрощает развертывание безопасного мобильного доступа, в том числе при помощи смарт-карт.

Протокол PEAP. Хотя крупные организации часто используют в беспроводных подключениях протокол EAP-TLS (EAP-Transport Level Security), некоторые компании не имеют необходимой для него инфраструктуры открытого ключа. Для работы систем, основанных на схемах с паролями, можно использовать механизм проверки подлинности PEAP (Protected EAP) в рамках реализации протокола 802.1x.

Усовершенствование протокола IPSec (Internet Protocol security). В Windows Server 2003 предусмотрена поддержка более стойкого механизма криптозащиты — обмена 2048-разрядными ключами Диффи -Хелмана. В Windows XP и семействе Windows Server 2003 монитор IP-безопасности — это часть консоли управления Microsoft Management Console, он позволяет отслеживать информацию протокола IPSec как для локальных, так и удаленных компьютеров. Кроме того, теперь для управления режимом безопасности компьютера можно создавать и назначать постоянную политику IPSec, если локальная политика IPSec или политика IPSec на основе службы Active Directory неприменима.

Шифрование данных

Windows Server 2003 дает организации большую гибкость в развертывании решений безопасности на основе шифрования данных.

Поддержка нескольких пользователей. Новая ОС поддерживает работу нескольких пользователей с одним зашифрованным файлом. Такая работа может упростить сотрудничество, при этом пользователям не требуются общие закрытые ключи.

Поддержка стандарта WebDAV. Шифрованная файловая система (EFS, Encrypted File System) в сочетании с Web-папками стандарта WebDAV (Distributed Authoring and Versioning) обеспечивает простой и безопасный способ работы нескольких пользователей с конфиденциальными данными без развертывания сложной инфраструктуры и привлечения дорогостоящих технологий. WebDAV — протокол доступа к файлам, описанный в спецификации XML.

Зашифрованные автономные папки. Windows Server 2003 позволяет проводить шифрование автономных файлов и папок с помощью EFS. Благодаря этому мобильный пользователь может просматривать файлы, не будучи подключен к сети. Когда он позднее подключается к серверу, система выполняет согласование старых файлов с вариантами, хранящимися на сервере.

Более надежный алгоритм шифрования. По умолчанию в шифрованной файловой системе для всех файлов используется алгоритм AES-256 (Advanced Encryption Standard). Клиент также может воспользоваться алгоритмом, совместимым со стандартом FIPS 140-1 (Federal Information Processing Standards), таким, как алгоритм 3DES, включенный в Windows XP Professional.

Решение проблем безопасности требует комплексных мер

Весной Москву с деловым визитом посетил директор по исследованиям и старший вице-президент IDC Джон Гантц (John Gantz). В его ведении, помимо прочего, находятся исследования в области безопасности ИТ-систем. Г-н Гантц ответил на несколько вопросов журнала «BYTE/Россия», который представлял заместитель главного редактора Андрей Колесов.

«BYTE/Россия»: Одна из наиболее злободневных тем современной ИТ-индустрии — безопасность информационных систем. Но у этой проблемы есть много различных аспектов. Например, физическая защита зданий, аппаратуры и коммуникаций от угроз террористов или природных катаклизмов, защита информации от конкурентов, защита систем от атак хакеров и т. п. Есть и проблема повышения надежности кода операционных систем и приложений — т. е. защиты от самих поставщиков ПО. Какие из этих проблем кажутся Вам наиболее актуальными?

Джон Гантц: Количество хакеров всегда будет расти, всегда будет угроза пожаров, наводнений, землетрясений. Вопросы защиты сводятся к необходимости достижения компромисса между инвестициями и вероятностью потери информации или утраты работоспособности систем. Есть средства, позволяющие снизить риски.

Но самый сложный вопрос — как заставить организацию понять комплексный характер ИТ-безопасности, подойти к ней как к части общего бизнеса предприятия, а не просто как к ИТ-проблеме. Тут может оказаться не столь важно, используете вы распределенную или централизованную схему ИТ-ресурсов. Гораздо критичнее может быть то, что вы не уделили должного внимания подготовке кадров или планам работы в нештатных обстоятельствах.

Мы советуем своим заказчикам начинать с формирования общей стратегии обеспечения безопасности предприятия. При этом затраты на поддержку собственно ИТ-систем, скорее всего, окажутся совсем не самыми большими. В то же время наши прогнозы таковы: темпы роста затрат на ИТ-безопасность будут расти вдвое быстрее, чем на ИТ в целом.

«BYTE/Россия»: Если говорить о безопасности с точки зрения надежности кода программных продуктов, в первую очередь операционных систем, какая из моделей — традиционная, основанная на закрытых кодах или набирающая популярность Open Source — обеспечивает более высокий уровень защиты (в частности, на примере Windows и Linux)?

Джон Гантц: Тут ситуация очень непростая. Так, возможность анализа кода огромным числом людей помогает оперативнее находить ошибки. Но вполне вероятно, что еще быстрее, чем предприятие исправит код, кто-то сможет воспользоваться найденной брешью.

Недавно я ознакомился с информацией о том, что группа противодействия киберпреступлениям одного известного университета публикует больше предупреждений о проблемах безопасности Linux, чем Windows. Короче говоря, ни одна из моделей не дает заметных преимуществ с точки зрения безопасности. Каждая из них имеет свои достоинства и недостатки.

Другие статьи из раздела

• Программная платформа IBM для повышения эффективности бизнеса
• ИБП для защиты серверов
• Интегрированное решение для защиты центров обработки данных
• На пути к построению единой платформы защиты данных
• Виртуализация без ограничений

Поместить в блог

Рекламные ссылки

Chloride
Демонстрация Chloride Trinergy
Впервые в России компания Chloride Rus провела демонстрацию системы бесперебойного электропитания Chloride Trinergy®, а также ИБП Chloride 80-NET™, NXC и NX для своих партнеров и заказчиков.

NEC Нева Коммуникационные Системы
Завершена реорганизация двух дочерних предприятий NEC Corporation в России
С 1 декабря 2010 года Генеральным директором ЗАО «NEC Нева Коммуникационные Системы» назначен Раймонд Армес, занимавший ранее пост Президента Shyam …

компания «Гротек»
С 17 по 19 ноября 2010 в Москве, в КВЦ «Сокольники», состоялась VII Международная выставка InfoSecurity Russia. StorageExpo. Documation’2010.
Новейшие решения защиты информации, хранения данных и документооборота и защиты персональных данных представили 104 организации. 4 019 руководителей …

МФУ Panasonic DP-MB545RU с возможностью печати в формате А3
Хотите повысить эффективность работы в офисе? Вам поможет новое МФУ #Panasonic DP-MB545RU. Устройство осуществляет

Adaptec by PMC
RAID-контроллеры Adaptec Series 5Z с безбатарейной защитой кэша
Опытные сетевые администраторы знают, что задействование в работе кэш-памяти RAID-контроллера дает серьезные преимущества в производительности …

Chloride
Трехфазный ИБП Chloride от 200 до 1200 кВт: Trinergy
Trinergy — новое решение на рынке ИБП, впервые с динамическим режимом работы, масштабируемостью до 9.6 МВт и КПД до 99%. Уникальное сочетание …