ЛАБОРАТОРНА РОБОТА № 2. Засоби адміністрування і управління безпекою

Мета: Ознайомитися і навчитися використовувати засоби адміністрування і управління безпекою із застосуванням Microsoft Management Console (MMC) у MS Windows XP. Навчитися визначати локальні політики безпеки.

Зауваження. Для виконання лабораторної роботи потрібно зайти в систему з обліковим записом Администратор або як член групи Администраторы.

Забезпечення безпеки неможливе в системах Windows  XP Professional, встановлених на дисках з файловою системою FAT.

Теоретичні відомості

1. Основні поняття

Адміністратор – у Windows  XP Professional користувач, відповідальний за налагодження і управління контролерами домена і локальними комп’ютерами, ведення облікових записів користувачів і груп, надання паролів і дозволів, який також допомагає користувачам працювати в мережі. Адміністратори є членами однойменної групи і володіють повним доступом до домена або комп’ютера.

В Windows  XP Home Edition користувач, який має право вносити на комп’ютері зміни на рівні системи, встановлювати програмне забезпечення і має доступ до всіх файлів на комп’ютері. Користувач з обліковим записом адміністратора комп’ютера має повний доступ до інших облікових записів користувачів на комп’ютері.

Active Directory служба каталогів, яка зберігає відомості про об’єкти мережі і надає ці дані користувачам і адміністраторам. Active Directory дає можливість користувачам мережі здійснювати доступ до передбачених ресурсів в рамках одного процесу підключення. Крім того, ця служба забезпечує адміністраторів інтуїтивним ієрархічним представленням мережі і єдиним інструментом адміністрування всіх мережних об’єктів.

Консоль MMC – це основа для побудови засобів адміністрування, які називаються консолями. Консоль складається з інструментів, папок або інших контейнерів, веб-сторінок і інших компонентів управління. Ці об’єкти відображаються в лівій області консолі, званої деревом консолі. Консоль має одне або декілька вікон, що забезпечують представлення її дерева.

Головне вікно консолі MMC надає меню і кнопки для похідних консолей. Похідні елементи MMC і дерево консолі можна приховати в призначеному для користувача режимі.

Дерево консолі це ліва область консолі MMC, що відображає об’єкти консолі. За умовчанням ця область присутня у вікні консолі, але може бути і прихована. Об’єкти, що знаходяться в дереві консолі, і їх ієрархічна організація визначають можливості консолі.

Оснащення (оснастка) – це тип інструменту, який можна додати в консоль, похідну від MMC (Microsoft Management Console). Ізольоване оснащення може використовуватися незалежно від інших оснащень, тоді як оснащення розширення може бути використано тільки як доповнення іншого оснащення.

 

2. Політики облікових записів і локальні політики

2.1. Політики облікових записів

Усі політики безпеки є політиками безпеки для комп’ютера. Політики облікових записів визначаються на комп’ютерах і визначають взаємодію облікових записів з комп’ютером і доменом. Існує три політики облікових записів.

  1. Політика паролів – використовується для облікових записів доменів і локальних комп’ютерів. Визначає параметри паролів, такі як відповідність обов’язковим умовам і термін дії.
  2. Політика блокування облікового запису – використовується для облікових записів доменів і локальних комп’ютерів. Визначає умови і період часу блокування облікового запису.
  3. Політика Kerberos – використовується для облікових записів користувачів домена. Визначає параметри Kerberos, такі як термін життя квитка і відповідність обов’язковим умовам. Політики Kerberos не входять до складу політики локального комп’ютера.

Для облікових записів доменів допускається використання тільки однієї політики облікових записів. Політика облікових записів повинна бути визначена в політиці домена за умовчанням і реалізовуватися контролерами домена, що створюють цей домен. Контролер домена завжди отримує політику облікових записів від об’єкта групової політики Политика по умолчанию для домена, навіть якщо є інша політика облікових записів, застосована до організаційного підрозділу, який містить контролер домена. Приєднані до домена робочі станції і сервери (такі як комп’ютери-учасники) за умовчанням також отримують цю ж політику облікових записів для локальний облікових записів. Проте локальні політики облікових записів можуть відрізнятися від політики облікових записів домена, наприклад коли політика облікових записів визначається безпосередньо для локальних облікових записів.

У вікні Параметры безопасности доступні дві політики, що мають з політиками облікових записів схожу функціональність. Далі представлені ці політики.

  • Network Access: Allow anonymous SID/NAME translation.
  • Мережна безпека: Примусовий вихід з системи після закінчення допустимих годин роботи.

    2.2. Локальні політики

Ця група політик застосовується на комп’ютерах. До її складу входить три представлені далі політики.

  1. Політика аудиту – визначає, які події безпеки заносяться в журнал безпеки даного комп’ютера. Також визначає, чи заносити в журнал безпеки успішні спроби, невдалі спроби або і ті, та інші. (Журнал безпеки є частиною оснащення Просмотр событий.)
  2. Призначення прав користувача – визначає, які користувачі і групи володіють правами на вхід в систему і виконання різних завдань.
  3. Параметри безпеки – включення або відключення параметрів безпеки, таких як цифровий підпис даних, імена облікових записів адміністратора і гостя, доступ до дисководів гнучких і компакт-дисків, установка драйверів і запрошення на вхід в систему.

Оскільки можливе застосування до комп’ютера декілька політик, може виникнути конфлікт між параметрами безпеки. Тому використовується принцип пріоритетів. Пріоритет мають політики наступних об’єктів у вказаному порядку: підрозділ, домен, локальний комп’ютер.

Параметри безпеки можна настроювати для одного комп’ютера або відразу для декількох, використовуючи засоби диспетчера налагодження безпеки. До цих засобів належать:

  • шаблони безпеки;
  • аналіз і налагодження безпеки;
  • програма командного рядка Secedit.exe;
  • локальна політика безпеки;
  • розширення «Параметри безпеки» для групової політики.

Щоб встановити або змінити окремі параметри безпеки на окремих комп’ютерах, використовуйте засіб Локальная политика безопасности. Щоб визначити параметри безпеки для декількох комп’ютерів, використовуйте розширення Параметры безопасности для групової політики. Щоб застосувати декілька параметрів у складі пакета, визначте їх за допомогою шаблонів безпеки і потім застосуйте за допомогою засобу Анализ и настройка безопасности чи програми Secedit.exe або імпортуйте шаблон, що містить потрібні параметри, у відповідну локальну або групову політику.

3. Засоби управління налагодженням безпеки. Шаблони безпеки

Представлені у табл. 2.1 засоби можуть бути використані для управління політикою безпеки комп’ютера, підрозділу або домена.

Таблиця 2.1

Засоби управління налагодженням безпеки

Засіб управління налагодженням безпеки

Опис 

Шаблони безпеки 

Шаблон безпеки є файлом, що представляє конфігурацію безпеки або політику безпеки. Такі шаблони можуть застосовуватися до політики локального комп’ютера або імпортуватися в об’єкт групової політики 

Аналіз і налагодження безпеки

Даний засіб можна використовувати для аналізу і налагодження безпеки комп’ютера за допомогою шаблона безпеки

Розширення «Параметри безпеки» для групової політики 

Даний засіб може використовуватися для зміни окремих параметрів безпеки домена, вузла або підрозділу

Локальна політика безпеки 

Даний засіб можна використовувати для зміни окремих параметрів безпеки локального комп’ютера 

Засіб командного рядка Secedit.exe 

Даний засіб можна використовувати для автоматизації задач налагодження безпеки

3.1. Загальні відомості про оснащення «Шаблоны безопасности»

За допомогою оснащення Шаблоны безопасности можна створити політику безпеки для комп’ютера або мережі. Використовуючи це єдине оснащення, можна управляти всією безпекою системи. Оснащення Шаблоны безопасности не надає нових параметрів безпеці, а просто упорядковує і надає зручний доступ до всіх наявних атрибутів безпеки для спрощення адміністрування.

При імпорті шаблона безпеки в об’єкт групової політики полегшується адміністрування домена, оскільки безпека настроюється для домена або підрозділу лише один раз.

Щоб застосувати шаблон безпеки на локальному комп’ютері, можна використовувати засіб Анализ и настройка безопасности.

Шаблони безпеки можна використовувати, щоб визначити представлені далі елементи.

Усі шаблони зберігаються в текстових файлах з розширенням .inf. Це дає можливість копіювати, вставляти, імпортувати і експортувати будь-які атрибути шаблона. В шаблоні безпеки можуть зберігатися всі атрибути безпеки, за виключенням політик безпеки IP і політик відкритого ключа.

3.2. Нові й готові шаблони

Можна створювати відповідні вимогам користувача шаблони безпеки або використовувати готові шаблони. Перед зміною параметрів безпеки необхідно визначити параметри безпеки системи, що використовуються за умовчанням, а також їх призначення.

Існує декілька готових шаблонів, які рекомендується використовувати для захисту системи залежно від потреб конкретного користувача.

3.3. Готові шаблони безпеки

Готові шаблони безпеки є відправним пунктом у створенні політик безпеки, які настроюються, щоб задовольняти організаційним вимогам. Шаблони можна настроювати за допомогою оснащення Шаблоны безопасности. Після налагодження готових шаблонів безпеки ці шаблони можна використовувати для зміни конфігурації одного комп’ютера або багатьох комп’ютерів. Змінити конфігурацію комп’ютерів можна за допомогою оснащення Анализ и настройка безопасности, засобу Secedit.exe, що працює з командного рядка, а також за допомогою імпорту шаблона в оснащення Локальная политика безопасности. Можна змінювати конфігурацію декількох комп’ютерів, імпортувавши шаблон в компонент Параметри безпеки, є розширенням оснащення Групповая политика. На основі шаблонів безпеки можна також виконувати аналіз можливих слабких місць безпеки і порушень політики системи за допомогою оснащень Анализ и настройка безопасности. За умовчанням готові шаблони безпеки збережені в розташуванні:

системний_кореневий_каталог\Security\Templates

3.4. Безпека за умовчанням (Setup security.inf)

Шаблон Setup security.inf є шаблоном для конкретного комп’ютера і містить параметри безпеки, що використовуються за умовчанням, які застосовуються під час установки операційної системи, включаючи дозволи для файлів кореневого каталогу системного диска. Цей шаблон можна використовувати повністю або частково з метою аварійного відновлення. Шаблон Setup security.inf не можна застосовувати за допомогою оснащення Групповая политика.

3.5. Сумісний (Compatws.inf)

Дозволи за умовчанням для робочих станцій і серверів спочатку створюються для їх локальних груп: Администраторы, Опытные пользователи і Пользователи. Члени групи Администраторы володіють найбільшими правами, тоді як члени групи Пользователи – найменшими. З цієї причини можна значно підвищити безпеку, надійність і знизити загальну вартість володіння системою, якщо дотримуватися наступних правил:

  • переконатися, що кінцеві користувачі є членами групи Пользователи;
  • впровадити додатки, які можуть успішно запускатися і виконуватися членами групи Пользователи.

Особи, що володіють правами групи Пользователи можуть успішно працювати з додатками, сертифікованими для Windows. Проте такі користувачі швидше за все не зможуть запускати не сертифіковані для Windows додатку. Для забезпечення підтримки не сертифікованих додатків існує дві можливості.

  • Усі члени групи Пользователи повинні також бути членами групи Опытные пользователи.
  • Використовувати додаткові дозволи за умовчанням, створені для групи Пользователи.

Оскільки члени групи Опытные пользователи володіють успадкованими можливостями, такими як створення користувачів, груп, принтерів і загальних ресурсів, деякі адміністратори вважають за краще надати додаткові дозволи групі Пользователи замість зарахування кінцевих користувачів в групу Опытные пользователи. Для цієї мети слугує шаблон Совместимый. За допомогою його змінюються дозволи для файлів і реєстру, що використовуються за умовчанням, створені для групи Пользователи і відповідні вимогам більшості не сертифікованих додатків. Крім того, оскільки після застосування сумісного шаблона користувачі не повинні приєднуватися до групи Опытные пользователи, всі члени групи Опытные пользователи видаляються.

Додаткові відомості про програму сертифікації для Windows доступні на веб-вузлі Microsoft. (http://msdn.microsoft.com)

Сумісний шаблон не можна застосовувати до комп’ютерів, які є контролерами домена. Наприклад, не треба імпортувати сумісний шаблон в стандартний домен або в об’єкт групової політики стандартного контролера домена.

3.6. Захист (Secure*.inf)

У шаблоні Secure*.inf визначаються параметри підвищеної безпеки. Найменш ймовірно, що вони чинять вплив на сумісність. Наприклад, в шаблоні Secure*.inf визначаються параметри надійних паролів, блокування і аудиту.

Крім цього, шаблоном Secure*.inf обмежується використання LAN  Manager і протоколів перевірки автентичності NTLM шляхом налагодження клієнтів на відправку відповідей у форматі NTLMv2, а також налагодження серверів на відмову від відповідей в цьому форматі.

Зауваження

1. Щоб застосувати шаблон Securews.inf на комп’ютері, на всіх контролерах домена, що містить облікові записи всіх користувачів, що входять в систему клієнта, необхідно встановити Windows  NT  4.0 з пакетом оновлення Service Pacк  4 або пізнішої версії.

2. Якщо сервер налагоджений з використанням шаблона Securews.inf, клієнт з обліковим записом на цьому сервері не зможе підключитися до нього з комп’ютера клієнта, на якому встановлена операційна система LAN  Manager, що використовує локальний обліковий запис.

3. Якщо контролер домена налагоджений з використанням шаблона Securedc.inf, то користувач з обліковим записом на цьому домені не зможе підключитися до нього з комп’ютера клієнта, на якому встановлена операційна система LAN  Manager, що використовує обліковий запис домена.

4. Клієнти, на яких встановлена операційна система LAN  Manager, включають платформи Windows  для робочих груп, а також платформи Windows  9х, на яких не встановлений DS  Client Pacк. Якщо DS  Client Pacк встановлений у Windows  9х, клієнтом може бути використаний протокол NTLMv2. Операційна система Windows Millennium Edition підтримує NTLMv2 без необхідності вносити додаткові зміни.

Внутрішні процеси Windows звертаються до облікових записів по їх кодах безпеки, а не по іменах користувачів або груп. Код безпеки структура даних змінної довжини, що визначає облікові записи користувачів, груп і комп’ютерів. Код безпеки надається обліковому запису при його створенні.

Шаблони безпеки також визначають додаткові обмеження для анонімних користувачів. Анонімні користувачі (такі як користувачі доменів, з якими не встановлені довірчі відносини) не можуть виконувати такі дії.

  • Введення імен облікових записів і загальних ресурсів.
  • Виконання перекладу SID-ім’я.

Шаблони безпеки включають підписання пакетів SMB на сервері, якою за умовчанням відключено для робочих станцій і серверів. Оскільки підписання пакетів SMB на сервері включено за умовчанням, воно виконується, якщо робочі станції і сервери працюють на рівні безпеки.

3.7. Підвищений захист (Hisec*.inf)

Група шаблонів підвищеного захисту Hisec*.inf включає шаблони, що накладають додаткові обмеження на рівні кодування і підпису, необхідні для перевірки автентичності і для даних, які передаються по безпечних каналах між клієнтами SMB і серверами. Наприклад, тоді як параметри шаблонів безпеки визначають відмову серверів від відповідей LAN  Manager, параметри шаблонів підвищеного захисту визначають відмову серверів як від відповідей LAN  Manager, так і від відповідей NTLM. Шаблон захисту включає підписання пакетів SMB на сервері, а для шаблона підвищеного захисту таке підписання є необхідним. Для шаблонів підвищеного захисту є необхідному надійне кодування і підпис для даних, які передаються по безпечному каналу між доменом і членом домена і між двома доменами, між якими встановлені довірчі відносини.

Щоб застосувати Hisecws.inf на комп’ютері, виконайте описані далі дії.

  • На всіх контролерах домена, що містить облікові записи всіх користувачів, що входять в систему клієнта, необхідно встановити Windows  NT  4.0 з пакетом оновлення Service Pacк  4 або пізнішої версії.
  • На всіх контролерах домена, членом якого є клієнт, повинна бути встановлена операційна система Windows  2000.

Щоб застосувати шаблон Hisecdc.inf на контролері домена, на всіх контролерах доменів, з якими встановлені відносини довір’я, повинна бути встановлена операційна система Windows  2000.

Якщо сервер налагоджений за допомогою шаблона Hisecws.inf, тоді користувач з локальним обліковим записом на цьому сервері не зможе підключитися до нього з клієнта, не підтримуючого NTLMv2.

Якщо сервер налагоджений за допомогою шаблона Hisecws.inf, на всіх клієнтах, що використовують протокол SMB для підключення до цього серверу, повинні включити підпис пакетів SMB на стороні клієнта. На всіх комп’ютерах, на яких встановлена операційна система Windows  2000 і Windows  XP Professional, за умовчанням включений підпис пакетів на стороні клієнта.

Якщо контролер домена налагоджений за допомогою шаблона Hisecws.inf, тоді користувач з локальним обліковим записом для цього домена не зможе підключитися до рядового серверу з клієнта, не підтримуючого NTLMv2.

Якщо контролер домена налагоджений за допомогою шаблона Hisecdc.inf, клієнти, що використовують протокол LDAP (Lightweight Directory Access Protocol) не зможуть підключитися до серверу Active Directory LDAP, поки не включений підпис даних. Запити на виконання підключення з використанням ldap_simple_bind або ldap_simple_bind_s відхиляються. За умовчанням для всіх клієнтів Microsoft LDAP, що поставляються разом з Windows  XP Professional, необхідний підпис даних, якщо ще не використовується протокол TLS\SSL. При використанні протоколу TLS\SSL підпис даних виконується.

Клієнти, що не підтримують протокол NTLMv2, включають клієнтів Windows для робочих груп, клієнтів Windows  NT старих версій (без пакета Service Pacк  4), а також платформи Windows  95 і Windows  98, на яких не встановлений пакет DS  Client Pacк.

Крім обмежень на використовування протоколів LAN Manager і вимог шифрування і підпису трафіку SMB і трафіку безпечного каналу шаблони підвищеного захисту також обмежують використання кешованих даних входу в систему, таких як дані, збережені за допомогою Winlogon і засобу Сохранение имен пользователей и паролей.

Крім цього, в шаблоні Hisecws параметри групи обмеженого доступу використовуються для виконання наступних дій.

  • Видалення всіх членів групи Опытные пользователи.
  • Перевірка того, що тільки адміністратори домена і локальні облікові записи адміністратора є членами локальної групи Администраторы.

Шаблоном Hisecws визначаються ці обмеження для груп при виконанні тільки сертифікованих для додатків Windows 2000. При роботі тільки з сертифікованими додатками ні небезпечні сумісні шаблони, ні небезпечна група Опытные пользователи не є необхідними. Користувачі можуть успішно працювати з сертифікованими додатками в безпечному контексті звичайного користувача, який визначається параметрами безпеки за умовчанням файлової системи і реєстру.

3.8. Безпека системного кореневого каталогу (Rootsec.inf)

Шаблоном Rootsec.inf визначаються нові дозволи для кореневого каталогу Windows  XP Professional. За умовчанням ці дозволи визначаються шаблоном Rootsec.inf для кореневого каталогу системного диска. Цей шаблон можна використовувати, щоб повторно застосувати дозволи для кореневого каталогу застосування, якщо вони були випадково змінені. Шаблон також може бути змінений для застосування цих дозволів для кореневого каталогу до інших томів. Шаблоном не перевизначаються явні дозволи, визначені для всіх дочірніх об’єктів. Шаблоном розповсюджуються тільки успадковані дочірніми об’єктами дозволи.

3.9. Відсутність SID користувача серверу терміналів (Notssid.inf)

Стандартні таблиці управління доступом до файлової системи і реєстру, розташовані на серверах, надають дозволи для SID (Secuity ID) серверу терміналів. Сервер терміналів SID використовується, тільки якщо сервер терміналів запущений в режимі сумісності додатків. Якщо сервер терміналів не використовується, цей шаблон може бути застосований для видалення непотрібних SID серверу терміналів з розташувань файлової системи і реєстру. Проте видалення запису управління доступом для SID серверу терміналів з розташувань файлової системи і реєстру, що використовується за умовчанням, не підвищує безпеку системи. Замість видалення SID серверу терміналів потрібно запустити сервер терміналів в режимі повної безпеки. При роботі в режимі повної безпеки SID серверу терміналів не використовується.

Увага!

  • Ці шаблони призначені для комп’ютерів, на яких використовуються параметри безпеки за умовчанням. Іншими словами, будучи встановленими на комп’ютері, ці шаблони значно змінюють стандартні параметри безпеки. Але вони
    не встановлюють стандартні параметри безпеки, перш ніж змінити їх.
  • Готові шаблони безпеки не повинні застосовуватися на виробництві без попередньої перевірки, в ході якої повинна підтверджуватися відповідність архітектурі мережі і системи заданого рівня функціональності додатку.

Параметри шаблонів безпеки можна проглянути за допомогою компоненту Шаблоны безопасности. Файли *.inf можна проглядати як текстові файли. Ці файли розташовані в папці:

%windir%\Security\Templates

Контрольний список: захист комп’ютерів за допомогою диспетчера налагодження безпеки

Підготовка до налагодження політики безпеки

  • Перегляд описів окремих параметрів.
  • Перегляд параметрів безпеки за умовчанням, груп безпеки і змін параметрів безпеки, використовуваних в Windows XP за умовчанням.
  • Перегляд прав користувачів за умовчанням.
  • Використання сертифікованих для Windows додатків.

Аналіз поточних параметрів

  • Перегляд оснащення Шаблоны безопасности.
  • Вибір готового шаблону безпеки або створення нового шаблону безпеки для використання на комп’ютерах.
  • Аналіз безпеки локального комп’ютера.

Зміна параметрів безпеки

  • Застосування потрібного шаблону.
  • Зміна параметрів безпеці на локальному комп’ютері.
  • Зміна параметрів безпеці для домена або підрозділу.

 

4. Microsoft Management Console

Для відкриття вікна Microsoft Management Console (MMC) призначена команда mmc. Використовуючи параметри командного рядка mmc, можна відкривати певну консоль MMC, відкривати консоль MMC в авторському режимі і вибирати версію консолі, що запускається: 32-розрядну або 64-розрядну. Умовні позначення форматування в описах команд наведені в табл. 2.2.

Таблиця 2.2

Умовні позначення форматування в описах команд

Формат 

Значення 

Курсив

Відомості, що вводяться користувачем 

Напівжирний

Елементи, що вводяться без змін 

Трикрапка (…)

Параметр може бути введений в командному рядку кілька разів 

В квадратних дужках ([]) 

Необов’язкові елементи

У фігурних дужках ({}); варіанти, розділені вертикальною лінією (|), приклад: {even|odd} 

Набір варіантів, з яких необхідно вибрати один 

Шрифт Courier

Вихідні дані програми 

Синтаксис

mmc шлях\ім’я_файлу.msc [/a] [/64] [/32]

Параметри

шлях\ім’я_файлу.msc Запуск консолі MMC з відкриттям збереженої консолі. Необхідно вказати повний шлях і ім’я файлу збереженої консолі. Якщо файл консолі не вказаний, буде відкрита нова консоль MMC.

/a – відкриття збереженої консолі в авторському режимі. Використовується для внесення змін в збережені консолі.

/64 – відкриття 64-розрядної версії консолі MMC (MMC64). Цей параметр можна використовувати лише при роботі в Windows  XP  64-Bit  Edition.

/32 – відкриття 32-розрядної версії консолі MMC (MMC32). При роботі в Windows  XP  64-Bit  Edition у вікні консолі MMC, запущеної з цим параметром, можна відкривати 32-розрядні оснащення.

/? – відображення довідки в командному рядку.

 

Примітки

1.    Використання параметра командного рядка шлях\ім’я_файлу.msc

Для створення командних рядків і ярликів, які не залежать від явного розташування файлів консолі, можна використовувати змінні середовища. Наприклад, якщо шлях до файлу консолі включає системну папку (наприклад, mmc с:\winnt\system32\console_name.msc), то для вказівки шляху можна використовувати змінну %systemroot%:    
(mmc %systemroot%\system32\console_name.msc). Це корисно при делегуванні завдань користувачам, що працюють на різних комп’ютерах.

2.    Використання параметра командного рядка /a

Коли консолі відкриваються з цим параметром, вони відкриваються в авторському режимі, незалежно від режиму, що використовується за умовчанням. Режим файлу, що використовується за умовчанням при цьому не міняється. Без цього параметра файли відкриватимуться відповідно до своїх параметрів.

3.    Після відкриття консолі MMC або файлу консолі будь-яка існуюча консоль відкривається за допомогою команди Открыть з меню Консоль.

4.    За допомогою командного рядка можна створювати ярлики для запуску консолі MMC і роботи із збереженими консолями. Команда для командного рядка працює у вікні команди Выполнить з меню Пуск, в будь-якому вікні командного рядка, в ярликах, в пакетних файлах і програмах, що викликають такі команди.

Використання засобів адміністрування на консолі управління

Консоль управління MMC (Microsoft Management Console) містить засоби адміністрування, які використовуються для адміністрування комп’ютерів, служб, інших системних компонентів і мереж. Для додавання одного або декількох з цих засобів адміністрування, званих оснащеннями, на консоль використовується відповідна процедура.

Використання оснащення «Анализ и настройка безопасности»

Оснащення Анализ и настройка безопасности є засобом аналізу і налагодження безпеки локальної системи. Оснащення Анализ и настройка безопасности надає можливості налагодження бази даних і аналізу параметрів безпеки на локальному комп’ютері.

 

5. Аналіз безпеки

Стани операційної системи і додатків на комп’ютері динамічно змінюється. Наприклад, може виникнути необхідності тимчасово змінити рівні безпеки для негайного вирішення локальної або мережної проблеми. Проте, такі зміни часто забувають відмінити. Це значить, що комп’ютер більше не відповідає вимогам безпеки підприємства.

Звичайний аналіз дає можливість адміністратору відстежувати і підтримувати певний рівень безпеки на кожному комп’ютері підприємства. Це дає можливість адміністратору точно налагодити рівень безпеки і, що важливіше, знайти вади системи безпеки, які можуть з’явитися пізніше.

Оснащення Анализ и настройка безопасности дає можливість швидко проглянути результати аналізу безпеки. В результатах аналізу поряд з поточними параметрами системи наведені рекомендації, а для виділення областей, в яких поточні параметри не збігаються із запропонованим рівнем безпеки, використовуються значки і відмітки. Крім того, оснащення Анализ и настройка безопасности має можливість усунення невідповідностей, виявлених при аналізі.

 

6. Налагодження системи безпеки

Цей засіб також можна використовувати для безпосередньої налагодження локальної системи. Оскільки для налагодження використовуються особисті бази даних, можна імпортувати в них шаблони безпеки, створені в оснащенні Шаблоны безопасности, і застосовувати ці шаблони до об’єктів групової політики локального комп’ютера. Таким чином безпека системи негайно настроєна відповідно до рівнів, заданих в шаблоні.

Оснащення Анализ и настройка безопасности перевіряє і аналізує налагодження безпеки системи і рекомендує внесення змін в поточні налагодження системи. Області, в яких поточні налагодження не відповідають передбачуваному рівню безпеки, виділяються за допомогою значків і коментарів. Адміністратори можуть використовувати оснащення Анализ и настройка безопасности для налагодження політики безпеки і виявлення слабких місць, що виникають в безпеці системи.

Також можна відкрити оснащення або скористатися консоллю управління Microsoft (MMC). Описи параметрів безпеки наведені у табл. 2.3.

Таблиця 2.3

Описи параметрів безпеки

Область безпеки 

Опис 

Політики облікових записів 

Політика паролів, політика блокування облікового запису і політика Kerberos

Локальні політики 

Політика аудиту, призначення прав користувача і параметри безпеки 

Журнал подій 

Параметри журналів подій додатків, системних подій і подій безпеки 

Групи з обмеженим доступом 

Склад груп з особливими вимогами до безпеки

Системні служби 

Параметри запуску і дозволи для системних служб 

Реєстр 

Дозволи для розділів реєстру 

Файлова система 

Дозволи для файлів і папок 

 

7. Автоматизація задач налагодження системи безпеки
Програма Secedit.exe

Програма Secedit.exe запускається з пакетного файлу або за допомогою автоматичного планувальника завдань і може використовуватися для автоматичного створення і застосування шаблонів, а також для аналізу системи безпеки. Цю програму також можна запускати вручну з командного рядка.

Програму Secedit.exe використовують у випадках, коли в мережі є декілька комп’ютерів, на яких необхідно вивчити і налагодити систему безпеки в неробочий час.

Програма Secedit.exe настроює і аналізує безпеку системи, порівнюючи поточну конфігурацію хоча б з одним шаблоном.

 

Команда secedit /analyze

Синтаксис

secedit /analyze /db ім’я_файлу [/cfg ім’я_файлу] [/log ім’я_файлу] [/quiet]

Параметри:

/db
ім’я_файлу – обов’язковий параметр. Указує шлях до бази і ім’я файлу бази, що містить збережену конфігурацію, по якій проводитиметься аналіз. Якщо значення ім’я_файлу
відповідає новій базі, необхідно вказати параметр командного рядка /cfg ім’я_файлу.

/cfg
ім’я_файлу – визначає шлях до шаблону безпеки і ім’я файлу шаблону, який імпортуватиметься в базу даних для аналізу. Цей параметр командного рядка може використовуватися тільки разом з параметром /db. Якщо параметр не вказаний, аналіз виконується по конфігурації, що зберігається в базі даних.

/log
ім’я_файлу – відображає ім’я і шлях файлу журналу для аналізу. Якщо цей параметр не вказаний, використовується файл журналу за умовчанням.

/quiet – запобігає виводу на екран і у файл журналу. Є можливість подивитися результати аналізу, використовуючи оснащення Анализ и настройка безопасности.

 

Команда secedit /configure

Слугує для налагодження безпеки системи з використанням збереженого шаблону.

Синтаксис

secedit /configure /db ім’я_файлу [/cfg ім’я_файлу ] [/overwrite][/areas область1 область2…] [/log ім’я_файлу] [/quiet]

Параметри

/db
ім’я_файлу – обов’язковий параметр. Представляє ім’я файлу бази даних, що містить вживаний шаблон безпеки.

/cfg
ім’я_файлу – ім’я файлу шаблону безпеки, який імпортуватиметься в базу даних і застосовуватиметься при настройці безпеки. Цей параметр командного рядка може використовуватися тільки разом з параметром /db. Якщо цей параметр не вказаний, використовуватиметься шаблон, що зберігається в базі даних.

/overwrite – вказується в тому випадку, якщо шаблон безпеки, заданий параметром /cfg, повинен заміщати будь-який шаблон або складений шаблон, що зберігається в базі даних, замість того, щоб додавати результати в базу даних, що зберігається. Цей параметр командного рядка може використовуватися тільки разом з параметром /cfg. Якщо параметр не вказаний, шаблон, вказаний в аргументі /cfg, буде доданий в шаблон, що зберігається в базі даних.

/areas
область1
область2
– визначає області безпеки, які потрібно застосувати в системі. Якщо область не вказана, в системі застосовуються всі області. Імена областей повинні розділятися пропусками. Імена областей безпеки наведені у табл. 2.4.

Таблиця 2.4

Імена областей безпеки

Ім’я області 

Опис 

SECURITYPOLICY 

Локальна політика і політика для домена, включаючи політики облікових записів, політики аудиту і т.п. 

GROUP_MGMT 

Налагодження обмежень для всіх груп, вказаних в шаблоні безпеки

USER_RIGHTS 

Права користувачів на вхід в систему і надання привілеїв 

REGKEYS 

Безпека розділів локального реєстру 

FILESTORE 

Безпека локальних пристроїв зберігання файлів 

SERVICES 

Безпека для всіх визначених служб 

 

/log
ім’я_файлу – відображає ім’я і шлях файлу журналу для аналізу. Якщо шлях не заданий, використовується шлях за умовчанням.

/quiet – запобігає виводу на екран і у файл журналу.

 

Команда secedit /export

Слугує для експорту збереженого шаблону з бази даних безпеки у файл шаблону безпеки.

Синтаксис

secedit /export [/mergedpolicy] [/DB ім’я_файлу] [/CFG ім’я_файлу] [/areas область1 область2…] [/log ім’я_файлу] [/quiet]

Параметри:

/mergedpolicyоб’єднує і експортує налагодження безпеки локальної політики і налагодження політики домена.

/db
ім’я_файлу – вказує файл бази даних, що містить шаблон, що експортується. Якщо база даних не вказана, використовується база даних системної політики.

/db
ім’я_файлу – визначає ім’я файлу, де повинен бути збережений шаблон.

/areas
область1
область2
– задає області безпеки, які потрібно експортувати в шаблон. Якщо область не вказана, то експортуються всі області. Імена областей повинні розділятися пропусками. Імена областей наведені в табл. 8.4.

/log
ім’я_файлу – відображає ім’я і шлях файлу журналу для аналізу. Якщо шлях не заданий, використовується шлях за умовчанням.

/quiet – запобігає виводу на екран і у файл журналу.

 

Команда secedit /validate

Слугує для перевірки синтаксису шаблону безпеки при його імпорті в базу даних або застосуванні до системи.

Синтаксис

secedit /validate ім’я_файлу

Параметр

ім’я_файлу – вказує ім’я файлу шаблону безпеки, який був створений за допомогою засобу «Шаблоны безопасности».

 

Команда Gpupdate

Оновлює локальні параметри і параметри групової політики Active Directory, включаючи параметри безпеки. Ця команда замінює застарілий параметр /refreshpolicy команди secedit.

Синтаксис

gpupdate [/target:{computer|user}] [/force] [/wait:значення] [/logoff] [/boot]

Параметри:

/target:{computer|user} – обробляє тільки параметри комп’ютера або параметри поточного користувача. За умовчанням обробляються і параметри комп’ютера, і параметри користувача.

/force – ігнорує всі оптимізації в процесі обробки і відновлює всі попередні налагодження.

/wait:значення – час очікування закінчення обробки політики в секундах. За умовчанням цей час складає 600 секунд. 0 означає «без очікування»; -1 означає «час очікування не обмежено».

/logoff – задає вихід з системи після закінчення оновлення. Це необхідно для тих клієнтських розширень оснащення Групповая политика, які обробляються не у фоновому режимі, а при вході користувача в систему, наприклад, при установці програмного забезпечення і перенаправленні папок. Цей параметр не працює, якщо розширення, що викликаються, необхідні для виходу користувача з системи, відсутні.

/boot – перезапускає комп’ютер після завершення оновлення. Це необхідно для тих клієнтських розширень оснащення Групповая политика, які обробляються не у фоновому режимі, а при вході користувача в систему, наприклад, при установці програмного забезпечення і перенаправленні папок. Цей параметр не працює, якщо розширення, що викликаються, необхідні для перезапуску комп’ютера, відсутні.

/? – виводить довідку в командному рядку.

 

Приклади

Далі наведені приклади використання команди gpupdate:

gpupdate

gpupdate /target:computer

gpupdate /force /wait:100

gpupdate /boot

 

Практичне завдання

  1. Створити власну консоль для реалізації політики безпеки.

1.1.Щоб додати оснащення, виконайте наступні дії.

1.1.1. Відкрийте консоль MMC.

1.1.2. В меню Консоль виберіть команду Добавить или удалить оснастку.

1.1.3. В діалоговому вікні Добавить/удалить оснастку натисніть кнопку Добавить.

1.1.4. В діалоговому вікні Добавить изолированную оснастку виберіть оснащення, яке вимагається додати на консоль, і натисніть кнопку Добавить

Для додавання додаткових оснащень слід повторити кроки з 1.1.2 по 1.1.4.

Примітки.

  • Для запуску консолі MMC натисніть кнопку Пуск і виберіть команду Выполнить. В полі Открыть введіть mmc і натисніть кнопку ОК.
  • Для отримання відомостей про використання оснащення виберіть команду Справка в меню Действие.

 

1.2. Використання інтерфейсу Windows

1.2.1. Відкрийте оснащення Анализ и настройка безопасности.

1.2.2. В дереві консолі клацніть правою кнопкою миші вузол Анализ и настройка безопасности і виберіть команду Открыть базу даних.
Розташування: Корінь консолі \ Анализ и настройка безопасности

1.2.3. В діалоговому вікні Открыть базу данных виконайте одну з наступних дій:

  • щоб створити нову базу даних, введіть ім’я в полі Имя файла і натисніть кнопку Открыть;
  • щоб відкрити існуючу базу даних, виберіть базу даних і натисніть кнопку Открыть.

    1.2.4. Якщо створюється нова база даних, в діалоговому вікні Импорт шаблона виберіть шаблон (для встановлення за умовчанням – Setup security) і натисніть кнопку Открыть.

    1.2.5. В дереві консолі клацніть правою кнопкою миші вузол Анализ и настройка безопасности і виберіть команду Настроить компьютер.

    1.2.6. Виконайте одну з наступних дій:

  • для використання стандартного журналу в групі Путь файла журнала ошибок натисніть кнопку OK;
  • для вибору іншого журналу введіть в полі Путь файла журнала ошибок допустимі шлях і ім’я файлу.

    1.2.7. Після завершення налагодження клацніть правою кнопкою миші на розділ Анализ и настройка безопасности і виберіть команду Просмотр файла журнала.

 

Примітки

  • Щоб відкрити оснащення Анализ и настройка безопасности, натисніть кнопку Пуск, виберіть команду Выполнить, введіть mmc і натисніть кнопку ОК. В меню Консоль виберіть команду Открыть, клацніть необхідну консоль і натисніть кнопку Открыть. В дереві консолі клацніть вузол Анализ и настройка безопасности.
  • Щоб проглянути файл журналу, клацніть правою кнопкою миші розділ Анализ и настройка безопасности і виберіть команду Просмотр файла журнала.
  • За умовчанням для файлу журналу використовується наступний шлях:

systemroot\Documents and Settings\ОбліковийЗаписКористувача\Мои документы

\Security\Logs\

  • При поверненні до параметрів безпеки за умовчанням всі параметри, визначені в шаблоні Setup security.inf, задаються відповідно до даного шаблону, проте решта параметрів, не вказаних в шаблоні, може залишитися незмінною.

 

  1. Проаналізувати безпеку системи.

2.1. Для аналізу безпеки системи з використання інтерфейсу Windows

2.1.1. Відкрийте оснащення Анализ и настройка безопасности.

2.1.2. В дереві консолі клацніть правою кнопкою миші вузол Анализ и настройка безопасности і виберіть команду Открыть базу данных.

Розташування: \Корінь консолі\ Анализ и настройка безопасности

2.1.3. В діалоговому вікні Открыть базу данных виконайте одну з наступних дій:

  • щоб створити нову базу даних, введіть ім’я в полі Имя файла і натисніть кнопку Открыть;
  • щоб відкрити існуючу базу даних, виберіть базу даних і натисніть кнопку Открыть.

    2.1.4. Якщо створюється нова база даних, в діалоговому вікні Импорт шаблона виберіть шаблон і натисніть кнопку Открыть.

    2.1.5. В області відомостей клацніть правою кнопкою миші вузол Анализ и настройка безопасности і виберіть команду Анализ компьютера.

    2.1.6. Виконайте одну з наступних дій:

  • для використання стандартного журналу в групі Путь файла журнала ошибок натисніть кнопку OK;
  • для вибору іншого журналу введіть в полі Путь файла журнала ошибок допустимі шлях і ім’я файлу.

    Примітки


  • Якщо комп’ютер підключений до сіті, то параметри мережної політики можуть заборонити виконання даної процедури.
  • Щоб відкрити оснащення Анализ и настройка безопасности, натисніть кнопку Пуск, виберіть команду Выполнить, введіть mmc і натисніть кнопку ОК. В меню Консоль виберіть команду Открыть, клацніть необхідну консоль і натисніть кнопку Открыть. Потім в дереві консолі клацніть вузол Анализ и настройка безопасности.
  • В оснащенні Настройка и анализ безопасности області безпеки відображаються у процесі їх аналізу. Після закінчення аналізу можна проглянути файл журналу або результати аналізу.
  • Щоб переглянути файл журналу, клацніть правою кнопкою миші розділ Анализ и настройка безопасности і виберіть команду Просмотр файла журнала.
  • За умовчанням для файлу журналу використовується наступний шлях:

    systemroot\Documents and Settings\ОбліковийЗаписКористувача\ Мои документы \Security \Logs\
    ім’я_бази_даних.log

    Для аналізу системи безпеки за допомогою командного рядка використовується команда secedit /analyze.

     

  1. Описати реалізовану засобами mmc політику безпеки.

 

Контрольні запитання

  • Що таке політика безпеки системи?
  • Які політики безпеки використовуються у MS Windows 2000/XP?
  • Які існують політики облікових записів?
  • Які існують локальні політики?
  • Які засоби управління безпекою використовуються у MS Windows 2000/XP?
  • Яке призначення мають шаблони безпеки?
  • Які основні шаблони використовуються у MS Windows 2000/XP?
  • Яке призначення консолі mmc?
  • Які можливості надає оснащення Анализ и настройка безопасности?
  • Які засоби автоматизації налагодження безпеки використовуються у MS Windows 2000/XP?
завантаження...
WordPress: 23.18MB | MySQL:26 | 0,364sec