Управлению безопасностью в сетях Microsoft Windows посвящено немало учебных курсов и хороших книг. В предыдущих разделах мы уже касались политик безопасности, относящихся к учетным записям пользователей (параметры длины и сложности пароля, параметры блокировки учетных записей) и параметрам прав пользователей (в частности, локальный вход в систему на сервере для выполнения лабораторных работ в компьютерном классе).
Оставим подробное изучение безопасности сетей Microsoft за рамками данного курса, но при этом рассмотрим работу с очень полезными оснастками, которые могут помочь начинающему сетевому администратору ознакомиться с некоторыми стандартными шаблонами политик безопасности, которые имеются в самой системе Windows Server, и проводить анализ и текущих настроек сервера в сравнении со этими стандартными шаблонами.
- Сначала откроем чистую консоль mmc.
Кнопка " Пуск " — " Выполнить " — mmc — кнопка " ОК ".
- Добавим в новую консоль оснастки " Шаблоны безопасности " и " Анализ и настройка безопасности ".
Меню " Консоль " — " Добавить или удалить оснастку " — кнопка " Добавить " — выбрать оснастку " Анализ и настройка безопасности " — кнопка " Добавить " — выбрать оснастку " Шаблоны безопасности " — кнопка " Добавить " — кнопка " Закрыть " — кнопка " ОК " (рис. 6.57).
Рис. 6.57.
В полученной консоли (ее можно будет сохранить и использовать в дальнейшем неоднократно) можно делать следующее:
- изучить параметры стандартных шаблонов безопасности (оснастка "Шаблоны безопасности") и даже попробовать сконструировать собственные шаблоны на основе стандартных (можно сохранить какой-либо шаблон с другим именем и изменить какие-либо параметры шаблона);
- провести анализ (сравнение) текущих параметров безопасности сервера (оснастка " Анализ и настройка безопасности ").
Приведем краткие характеристики стандартных шаблонов безопасности:
- DC security — используемые по умолчанию параметры безопасности контроллера домена;
- securedc — защищенный контроллер домена (более высокие требования к безопасности по сравнению с шаблоном DC security, отключается использование метода аутентификации LanManager);
- hisecdc — контроллер домена с высоким уровнем защиты (более высокие требования к безопасности по сравнению с шаблоном securedc, отключается метод аутентификации NTLM, включается требование цифровой подписи пакетов SMB);
- compatws — совместимая рабочая станция или совместимый сервер (ослабляет используемые по умолчанию разрешения доступа группы "Пользователи" к реестру и к системным файлам для того, чтобы приложения, не сертифицированные для использования в данной системе, могли работать в ней);
- securews — защищенная рабочая станция или защищенный сервер (аналогичен шаблону securedc, но предназначен для применения к рабочим станциям и простым серверам);
- hisecws — рабочая станция или защищенный сервер с высоким уровнем защиты (аналогичен шаблону hisecdc, но предназначен для применения к рабочим станциям и простым серверам);
- setup security — первоначальные настройки по умолчанию (параметры, устанавливаемые во время инсталляции системы);
- rootsec — установка стандартных (назначаемых во время инсталляции системы) NTFS-разрешений для папки, в которую установлена операционная система;
Теперь на примере рассмотрим, как проводить анализ настроек безопасности.
- Откроем базу данных, в которой будут сохраняться настройки проводимого нами анализа.
Щелкнем правой кнопкой мыши на значке оснастки " Анализ и настройка безопасности ", выберем " Открыть базу данных ", укажем путь и название БД (по умолчанию БД создается в папках профиля того администратора, который проводит анализ), нажмем кнопку " Открыть ", выберем нужный нам шаблон (например, hisecdc) и нажмем " ОК " (рис. 6.58):
Рис. 6.58.
- Выполним анализ настроек безопасности.
Щелкнем правой кнопкой мыши на значке оснастки " Анализ и настройка безопасности ", выберем " Анализ компьютера ", укажем путь и название файла с журналом ошибок (т.е. протоколом проведения анализа), нажмем "ОК", будет выполнено сравнение текущих настроек с параметрами шаблона (рис. 6.59):
Рис. 6.59.
- Теперь можно провести уже настоящий анализ настроек безопасности.
Откроем любой раздел оснастки (например, " Политики паролей ", рис. 6.60):
На рисунке сразу видны расхождения между настройками нашего сервера (столбец " Параметр компьютера ") и настройками шаблона (столбец " Параметр базы данных ") — видно, как мы понизили настройке безопасности для проведения практических занятий.
Аналогично проводится анализ всех остальных разделов политик безопасности.
Этой же оснасткой можно одним действием привести настройки нашего компьютера в соответствии с параметрами шаблона (щелкнуть правой кнопкой мыши на значке оснастки " Анализ и настройка безопасности ", выбрать " Настроить компьютер "). Не рекомендуем это делать, не изучив в деталях, какие последствия это может повлечь для всей сети. Высокие требования к параметрам безопасности препятствуют работе в домене Active Directory компьютеров с системами Windows 95/98/ME/NT. Например, данные системы поддерживают уровень аутентификации NTLM версии 2 (который назначается шаблонами hisecdc и hisecws) только при проведении определенных настроек на компьютерах со старыми системами. Поэтому, прежде чем принимать решение об установке более высоких параметров безопасности в сети, необходимо тщательно изучить состав сети, какие требования к серверам и рабочим станциям предъявляют те или иные шаблоны безопасности, предварительно установить нужные обновления и настроить нужные параметры на "старых" системах и только после этого применять к серверам и рабочим станциям Windows 2000/XP/2003 шаблоны с высокими уровнями сетевой безопасности.
Заметим дополнительно, что данные оснастки имеются не только на серверах, но и на рабочих станциях под управлением Windows 2000/XP Professional, и они позволяют производить аналогичный анализ и настройки на рабочих местах пользователей.
Рис. 6.60.
Резюме
Первая часть данного раздела описывает задачи служб каталогов корпоративной сети и основные понятия служб каталогов Active Directory:
- домен;
- дерево;
- лес;
- организационное подразделение.
Вторая часть дает углубленные знания по логической и физической структуре службы каталогов Active Directory.
Третья часть раздела посвящена практическим вопросам управления системой безопасности корпоративной сети — учетными записями пользователей, компьютеров, групп, организационными подразделениями. Описан также механизм групповых политик — мощное средство управлением настройками пользовательской среды и параметров компьютеров в большой корпоративной сети.
В четвертой части описаны технологии управления сетевой безопасностью — протокол аутентификации Kerberos и применение шаблонов безопасности для настройки параметров безопасности серверов и рабочих станций.
Задачи сетевого администратора при управлении инфраструктурой службы каталогов:
- планирование и реализация пространства доменных имен компании или организации для службы каталогов Active Directory;
- планирование и реализация IP-сетей и сайтов AD для управления процессами репликации контроллеров домена и аутентификации пользователей в сети;
- планирование и размещение в сети контроллеров домена, выполняющих функции хозяев операций;
- планирование и реализация правил создания и именования учетных записей пользователей, компьютеров и групп;
- планирование и реализация стратегии использования групп для управления доступом к сетевым ресурсам;
- планирование и реализация иерархии организационных подразделений для делегирования административных полномочий и применения групповых политик;
- планирование и разработка набора групповых политик для управления рабочей средой пользователей и параметров компьютеров;
- проведение анализа сетевой безопасности, настройка требуемого уровня сетевой безопасности на серверах и рабочих станциях.