Методическое пособие 288
.pdfДля указанного объекта групповой политики должен быть применен параметр принудительного наследования «Не перекрывать: другие объекты групповой политики не могут перекрывать параметры этой политики», что не позволит ОГП, определяемых на более низких уровнях иерархии ОП, переопределять заданные данной групповой политикой параметры безопасности.
4.В командной строке выполнить команду gpudate.exe /force, позволяющую осуществить принудительную репликацию и обновление измененной политики безопасности контроллерами домена.
5.Проанализировать журнал регистрации событий «Приложение» на предмет наличия ошибок, которые могли возникнуть на этапе репликации или обновления политики безопасности. В случае успешного применения политики безопасности в объекте групповой политики в журнале «Приложение» должно быть зарегистрировано событие с кодом
ID:1704.
Применение единых параметров безопасности для рядовых серверов под управлением ОС Microsoft® Windows Server 2003 , реализующих конкретную роль, также необходимо осуществлять путем создания отдельных политик безопасности, учитывающих специфичные для конкретной роли рядового сервера параметры безопасности, последующего их преобразования с помощью утилиты командной строки Scwcmd.exe в объекты групповой политики и привязки полученных ОГП к соответствующим организационном подразделениям, содержащим учетные записи данных компьютеров [4].
Контрольные вопросы
1)Для чего используются шаблоны групповой безопасности?
2)Как осуществляется импорт шаблона безопасности?
9
Лабораторная работа №2 Порядок настройки компьютера, выступающего
в роли бастион-хоста
Цель лабораторной работы заключается в исследовании возможностей компьютера, выступающего в роли бастионхоста.
Задачи лабораторной работы:
рассмотреть определение бастион-хоста;
определить область применения данной роли;
реализовать настройку сервера, выступающего в роли бастион-хоста.
Теоретические сведения
Как правило, бастион-хостом является компьютер, расположенный в общедоступной внешней вычислительной сети организации (демилитаризованной зоне) и обеспечивающий поддержку и предоставление различных видов услуг (таких как DNS, Web, FTP, SMTP, NNTP). В идеальном случае, ба- стион-хост должен реализовать только одну из указных функций, т.е. выступать, например, либо в роли веб-сервера, либо FTP-сервера. При совмещении бастион-хостом различных ролей возникают определенные трудности, связанные с их интеграцией, администрированием, конфигурированием, и как следствие повышается вероятность наличия в системе защиты брешей, позволяющих злоумышленникам успешно реализовывать различные атаки [3].
Для обеспечения безопасного функционирования ба- стион-хоста администратором, помимо настройки соответствующих параметров безопасности, должен быть выполнен ряд мероприятий, предусматривающих запрет/удаление служб, протоколов, программ и отключение сетевых интерфейсов, в которых нет необходимости [4].
Представленные ниже рекомендации позволят настроить бастион-хост в соответствии с конфигурацией безопасно-
10
сти «Specialized Security – Limited Functionality», которая поз-
волит обеспечить требуемый уровень защищенности компьютеров, необходимый для обработки конфиденциальной информации, а также противостоять атакам нарушителей. Применяемые к компьютерам в роли бастион-хоста параметры безопасности определены в шаблоне безопасности Specialized Security – Limited Functionality – Bastion Host.inf [2].
Задание для лабораторной работы
Настройка компьютера, выступающего в роли бастионхоста, в конфигурации безопасности «Specialized Security – Limited Functionality» предусматривает импортирование шаблона безопасности WS03-SSLF-Bastion-Host.inf в локальный объект групповой политики. Для импортирования шаблона безопасности WS03-SSLF-Bastion-Host.inf необходимо выполнить следующие действия [3]:
1. Открыть оснастку консоли управления «Анализ и настройка безопасности». Для этого необходимо нажать кнопку «Пуск», выбрать пункт «Выполнить…», в поле «Открыть» диалогового окна «Запуск программы» набрать команду mmc и нажать «ОК». В окне консоли управления MMC (Microsoft Management Console) посредством пункта меню «Добавить или удалить оснастку…» добавить изолированную оснастку «Анализ и настройка безопасности» (рис. 7).
11
Рис. 7. Добавление изолированной оснастки
2.В дереве консоли посредством нажатия правой кнопкой мыши узла «Анализ и настройка безопасности» выбрать команду «Открыть базу данных».
3.В диалоговом окне «Открыть базу данных» выполнить одно из следующих действий:
-создать новую базу данных анализа. Для этого необходимо ввести новое имя в поле «Имя файла» и нажать «Открыть». При открытии новой базы данных в диалоговом окне «Импорт шаблона» выбрать импортируемый шаблон безопасности WS03-SSLF-Bastion-Host.inf и нажать кнопку «Открыть»;
-открыть существующую базу данных анализа. Для этого необходимо выделить имя базы данных и нажать «Открыть».
4.Импортировать шаблон безопасности WS03-SSLF- Bastion-Host.inf, определяющий требуемые параметры политики безопасности. Для этого в диалоговом окне консоли «Анализ и настройка безопасности» выбрать пункт меню «Действие» и далее «Импорт шаблона». При импортировании шаблона безопасности администратором должны быть учтены следующие аспекты:
12
- в случае использования новой базы данных при импортировании шаблона безопасности опция «Очистить эту базу данных перед импортом» может быть отключена.
5. Посредством нажатия правой кнопкой мыши узла «Анализ и настройка безопасности» выбрать команду «Настроить компьютер» (рис. 8).
Рис. 8. Настройка безопасности компьютера
6. Проанализировать содержимое журнала регистрации событий на предмет наличия ошибок, возникших на этапе применение шаблона безопасности к локальной политики безопасности (рис. 9).
13
Рис.9. Указание журнала ошибок
7. Закрыть оснастку «Анализ и настройка безопасно-
сти».
Контрольные вопросы
1)Что такое бастион-хост?
2)Какие аспекты необходимо учитывать при импорте шаблона безопасности?
14
Лабораторная работа №3 Порядок создания политики безопасности
Цель лабораторной работы заключается в изучении принципа создания новой политики безопасности сети.
Задачи лабораторной работы:
рассмотреть интерфейс «Мастер настройки безопасности»;
преобразовать созданную политику в объект групповой политики безопасности;
привязать созданные объекты групповой безопасности к подразделениям.
Теоретические сведения
Предпочтительным способом настройки компьютера в соответствии с сертифицированной конфигурацией безопасности, исходя из выполняемой им роли, является совместное использование рассмотренных выше средств, предусматривающее:
-создание и тестирование политики безопасности с использованием графического интерфейса «Мастера настройки безопасности»;
-преобразование с использованием утилиты командной строки Scwcmd.exe полученной политики безопасности в объект групповой политики (файлы политик в формате XML, созданные «Мастером настройки безопасности», преобразуются
вформаты, распознаваемые различными расширениями групповой политики);
-осуществление привязки созданных объектов групповой политики к конкретным организационным подразделениям в иерархии структурных объектов Active Directory, что позволит обеспечить применение единых параметров безопасности к компьютерам под управлением операционной системы
15
Microsoft® Windows Server 2003 в соответствии с требуемыми конфигурациями безопасности [4].
Применение политик, созданных «Мастером настройки безопасности», на компьютерах, функционирующих под управлением ОС более ранних версий, чем Microsoft Windows Server 2003 Service Pack 2/ Microsoft Windows Server 2003 R2 Service Pack 2, не поддерживается. Следует использовать возможности фильтров WMI групповой политики, чтобы политики, созданные «Мастером настройки безопасности», не применялись на компьютерах, функционирующих под управлением ОС более ранних версий [1].
Таким образом, для настройки компьютеров в предопределенной конфигурации безопасности в данном руководстве предлагается применить комбинированный подход, в рамках которого объединены преимущества использования «Мастера настройки безопасности» и механизма групповой политики. Это позволит администраторам эксплуатирующих организаций обеспечить простоту создания, тестирования и отладки конфигураций безопасности, а также гибкость и масштабируемость, которые требуются при управлении большими вычислительными сетями на базе Microsoft Windows [2, 3].
В общем случае процесс настройки компьютеров под управлением ОС Microsoft Windows Server 2003 в предопределенной конфигурации безопасности с учетом реализуемой ими роли предусматривает выполнение следующих действий [3]:
1.Создание иерархии организационных подразделений, содержащих учетные записи компьютеров с установленной операционной системой Microsoft Windows Server 2003 , выполняющих одинаковые роли.
2.Настройку групповой политики, определяемой на уровне домена Active Directory.
3.Создание и тестирование с использованием «Мастера настройки безопасности» базовой политики безопасности (baseline policy), определяющей общие для всех рядовых серверов в рамках домена параметры и настройки безопасности.
16
4.Преобразование полученной политики безопасности
вОГП и его привязка к соответствующему организационному подразделению, объединяющему учетные записи всех рядовых серверов, реализующих предопределенные роли.
5.Создание и тестирование с использованием «Мастера настройки безопасности» политик безопасности, учитывающих особенности, связанные с выполнением компьютером предопределенной серверной роли.
6.Преобразование полученных политик безопасности в ОГП и их привязка к соответствующим организационным подразделениям, содержащим учетные записи компьютеров, реализующих одну из предопределенных ролей.
Задание на лабораторн ую работ у
Создание политики безопасности с использованием инструментального средства «Мастер настройки безопасности» должно осуществляться на компьютере с вновь инсталлированной операционной системой Microsoft® Windows Server 2003 . Это позволит обеспечить отсутствие нелегитимного программного обеспечения и непротиворечивость выполняемых настроек безопасности. Данный компьютер должен входить в состав домена Active Directory и иметь набор всего необходимого для выполнения им своей роли программного обеспечения.
Для создания политики безопасности администратор эксплуатирующей организации должен выполнить следующие действия:
1. Установить «Мастер настройки безопасности». Для этого нажать кнопку «Пуск», выбрать «Панель управление» и далее «Установка и удаления программ». В диалоговом окне «Установка и удаления программ» выбрать пункт меню «Установка компонент Windows». В появившемся окне «Мастера компонентов Windows» выбрать компонент «Мастер
17
настройки безопасности» и нажать «Далее». В последующем следовать появляющимся на экране указаниям по установке инструментального средства «Мастер настройки безопасности».
2. По окончанию установки запустить «Мастер настройки безопасности» и в качестве выполняемого действия выбрать «Создать новую политику безопасности» (рис. 10). Нажать «Далее».
Рис. 10. Мастер настройки безопасности
3.Выбрать сервер (ввести DNS-имя, NetBIOS-имя или IP-адрес компьютера), который будет использоваться в качестве образца (reference computer) для создаваемой политики безопасности, и нажать «Далее».
4.По окончанию обработки базы данных настройки безопасности нажать «Далее».
18