Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Глава 2. Механизмы укрепления безопасности Windows Server 2003
Опубликовано 20 апреля 2007 г.
На этой странице
Обзор Укрепление безопасности с помощью мастера настройки безопасности Укрепление безопасности серверов с помощью групповых политик Active Directory Обзор процесса Заключение
Обзор
В данной главе рассматриваются механизмы, которые можно использовать для внедрения параметров безопасности в среде Microsoft® Windows Server™ 2003. Пакет обновления 1 (SP1) операционной системы Windows Server 2003 содержит мастер настройки безопасности — новое средство, основанное на использовании ролей, позволяющее обеспечить дополнительную безопасность серверов. При использовании совместно с объектами групповой политики мастер настройки безопасности обеспечивает дополнительную гибкость, управляемость и согласованность процесса укрепления безопасности.
В данной главе рассматриваются следующие темы:
Использование мастера настройки безопасности для создания, тестирования и развертывания политик укрепления безопасности на основе ролей.
Использование службы каталогов Active Directory® для согласованного укрепления безопасности предприятия с помощью объектов групповой политики.
Влияние устройства домена Active Directory, подразделения, групповой политики и группы администраторов на развертывание системы безопасности.
Использование мастера настройки безопасности и групповой политики для создания управляемого подхода на основе ролей для укрепления безопасности серверов с Windows Server 2003 с пакетом обновления 1 (SP1).
Данные сведения содержат основные принципы и общую картину процесса, которые можно использовать для перехода от среды устаревших клиентов к специальной безопасной среде с ограниченной функциональностью в пределах инфраструктуры домена.
Укрепление безопасности с помощью мастера настройки безопасности
Мастер настройки безопасности предназначен для обеспечения гибкого пошагового уменьшения количества уязвимых мест серверов с Windows Server 2003 с пакетом обновления 1 (SP1). Мастер настройки безопасности фактически представляет собой набор средств в сочетании с базой данных правил в формате XML. Он призван помочь администраторам быстро и точно определить минимальный набор функций, которые требуются для выполнения серверами определенных ролей.
С помощью мастера настройки безопасности администратор может создавать, тестировать, отлаживать и развертывать политики безопасности, отключающие все функции, в которых отсутствует необходимость. Кроме того, он обеспечивает возможность отката политик безопасности. Мастер настройки безопасности обеспечивает встроенную поддержку управления политиками безопасности как на отдельных серверах, так и в группах серверов с взаимосвязанными функциями.
Мастер настройки безопасности — это комплексное средство, позволяющее выполнять следующие задачи:
Определять какие серверы должны быть активными, какие — запускаться по необходимости, а какие могут быть отключены.
Управлять фильтрацией по портам сети вместе с брандмауэром Windows.
Контролировать доступность веб-расширений IIS для веб-серверов.
Снижать уязвимость протоколов SMB (Server Message Block), NetBIOS, CIFS (Common Internet File System) и LDAP (Lightweight Directory Access Protocol).
Создавать политики аудита, фиксирующие представляющие интерес события.
Дополнительные сведения об установке, использовании и устранении неполадок мастера настройки безопасности содержатся в загружаемой версии документации по мастеру настройки безопасности по адресу www.microsoft.com/downloads/details.aspx?FamilyID=903fd496-9eb9-4a45-aa00-3f2f20fd6171&displaylang=en (на английском языке).
Примечание. Мастер настройки безопасности поддерживает работу с Windows Server 2003 с пакетом обновления 1 (SP1). Его нельзя использовать для создания политик в операционных системах Windows 2000 Server, Windows XP и Windows Small Business Server 2003. Чтобы укрепить безопасность значительного числа компьютеров с вышеперечисленными операционными системами, необходимо пользоваться описанными далее в данной главе механизмами укрепления безопасности, основанными на групповой политике.
Создание и тестирование политик
Мастер настройки безопасности позволяет быстро создавать и тестировать политики безопасности для нескольких серверов или групп серверов, используя один компьютер. Данная функция позволяет управлять политиками всего предприятия с одного компьютера. Политики безопасности обеспечивают согласованные усиленные меры по укреплению безопасности, соответствующие функциям, выполняемым каждым сервером в организации. При использовании мастера настройки безопасности для создания и тестирования политик необходимо установить его на все конечные серверы. Хотя политики создаются на станции управления, мастер настройки безопасности попытается связаться со всеми конечными серверами, чтобы выполнить проверку их конфигурации и настроить итоговые политики.
Мастер настройки безопасности интегрирован с подсистемами IPsec и брандмауэра Windows и вносит соответствующие изменения в данные параметры. Если это не запрещено, мастер настройки безопасности настроит брандмауэр Windows на разрешение входящего сетевого трафика на важные порты, которые требуются операционной системе и прослушивающим приложениям. Если существует необходимость в дополнительных фильтрах портов, мастер настройки безопасности может их создать. В результате, политики, созданные с помощью мастера настройки безопасности, соответствуют потребности в пользовательских сценариях для установки или изменения фильтров IPsec, блокирующих нежелательный трафик. Данная функция упрощает управление процессом укрепления безопасности сети. Также упрощается настройка сетевых фильтров для служб, использующих RPC или динамические порты.
Мастер настройки безопасности также дает возможность глубокой настройки создаваемых политик. Такая гибкость позволяет создать конфигурацию, которая обеспечивает необходимую функциональность и при этом повышает безопасность. В дополнение к базовым настройкам и параметрам можно вручную корректировать заданные мастером настройки безопасности параметры в следующих областях:
службы,
сетевые порты,
приложения, разрешенные брандмауэром Windows,
параметры реестра,
параметры IIS,
включение имеющихся шаблонов безопасности (в формате INF).
Мастер настройки безопасности информирует администратора о некоторых наиболее важных параметрах реестра. Для облегчения работы с данным средством разработчики включили в него только такие параметры, которые оказывают наибольшее влияние на безопасность. Однако в настоящем руководстве рассматриваются многие другие параметры реестра. Чтобы преодолеть ограничения, заложенные в мастере настройки безопасности, можно сочетать его решения с шаблонами безопасности для создания более полной конфигурации безопасности.
При использовании мастера настройки безопасности для создания новой политики в качестве первоначальной настройки используется текущая конфигурация сервера. Поэтому необходимо выбрать конечный сервер того же типа, что и сервер для которого предназначается данная политика, чтобы иметь возможность точно описать настройку роли сервера. При использовании графического интерфейса пользователя мастера настройки безопасности для создания новой политики создается файл с расширением XML, который по умолчанию сохраняется в папке %systemdir%\security\msscw\Policies. После того как политики будут созданы, можно воспользоваться графическим интерфейсом пользователя мастера настройки безопасности или средством работы с командной строкой Scwcmd, чтобы применить политики к тестовым серверам.
После тестирования политик, может потребоваться удалить развернутые политики. Можно воспользоваться графическим интерфейсом пользователя или средством работы с командной строкой для отката последних политик, примененных к серверу или группе серверов. Мастер настройки безопасности сохраняет параметры предыдущей конфигурации в файлы с расширением XML.
Для организаций, располагающих ограниченными ресурсами для проектирования и тестирования настроек безопасности, средств мастера настройки безопасности может оказаться достаточно. Таким организациям, не располагающим достаточными ресурсами, не следует даже пытаться укреплять безопасность серверов, так как подобные попытки часто вызывают непредвиденные неполадки и снижение производительности. Если персонал организации не имеет достаточного опыта и времени для решения подобных задач, следует сконцентрироваться на других важных мерах по обеспечению безопасности, например, обновлении приложений и операционной системы до новых версий и управлении обновлениями.
Развертывание политик
Для развертывания политик можно использовать следующие способы:
применение политики с помощью графического интерфейса пользователя мастера настройки безопасности,
применение политики с помощью средства командной строки Scwcmd,
преобразование политики мастера настройки безопасности в объект групповой политики и связывание его с доменом или подразделением.
Каждый способ имеет свои преимущества и недостатки, описание которых приводится в подразделах ниже.
Применение политики с помощью графического интерфейса пользователя мастера настройки безопасности
Основным преимуществом данного способа является его простота. Графический интерфейс пользователя позволяет администраторам легко выбирать предопределенную политику и применять ее к отдельному компьютеру.
Недостатком этого способа является то, что применять политики можно только для одного компьютера за один раз. Этот способ не подходит для больших систем и его использование не рассматривается в настоящем руководстве.
Применение политики с помощью средства командной строки Scwcmd
Одним из способов применения встроенных политик мастера настройки безопасности к нескольким компьютерам без Active Directory является использование средства Scwcmd. Кроме того, можно сочетать средство Scwcmd со сценариями для обеспечения частичной автоматизации процесса развертывания политик, возможно, как составляющей части готового процесса, который используется для построения и развертывания серверов.
Основной недостаток средства Scwcmd заключается в том, что оно не является автоматическим. Пользователю требуется определить политики и конечный сервер вручную или с помощью каких-либо сценариев, что делает возможным применение неправильной политики для конкретного компьютера. Если конфигурация серверов в группе различается незначительно, может потребоваться создание и применение отдельных политик для каждого отдельного компьютера. Ввиду наличия данных ограничений использование этого способа не рассматривается в настоящем руководстве.
Преобразование политики мастера настройки безопасности в объект групповой политики
Третий способ развертывания политик мастера настройки безопасности — использование средства Scwcmd для преобразования политик в формате XML в объекты групповой политики (GPO). Хотя на первый взгляд такое преобразование может показаться излишним, оно обеспечивает следующие преимущества:
Копирование, развертывание и применение политик выполняется с помощью привычных механизмов на основе Active Directory.
Поскольку политики являются стандартными объектами групповой политики, их можно использовать с подразделениями, наследованием политик и добавочными политиками для точной настройки процесса укрепления безопасности серверов, конфигурация которых похожа, но не идентична. С помощью групповых политик можно отнести такие серверы к дочернему подразделению и применить добавочные политики, в то время как при использовании мастера настройки безопасности, необходимо создавать новую политику для каждой уникальной конфигурации.
Политики автоматически применяются ко всем серверам, помещенным в соответствующее подразделение. Встроенные политики мастера настройки безопасности можно применять вручную либо использовать в сочетании с пользовательскими сценариями.
Укрепление безопасности серверов с помощью групповых политик Active Directory
Служба Active Directory позволяет приложениям находить и использовать ресурсы каталогов, а также управлять ими в среде распределенных вычислений. Хотя подробное описание разработки инфраструктуры Active Directory может занять целую книгу, в настоящем разделе приводится краткое описание основных понятий, чтобы создать контекст для остальной части руководства. Данные сведения по разработке необходимы для создания представления об использовании групповой политики для обеспечения безопасного администрирования доменов, контроллеров доменов и определенных ролей серверов организации. Если в организации уже имеется проект Active Directory, данная глава поможет получить представление об его преимуществах в сфере обеспечения безопасности и возможных проблемах.
Настоящее руководство не содержит специальных рекомендаций по укреплению безопасности базы данных Active Directory. Дополнительные сведения см. в документе Рекомендации по обеспечению безопасности службы каталогов Active Directory по адресу www.microsoft.com/downloads/details.aspx?FamilyID=4e734065-3f18-488a-be1e-f03390ec5f91& (на английском языке).
При создании инфраструктуры службы каталогов Active Directory необходимо тщательно рассчитать границы зон безопасности среды. При соответствующем планировании графика делегирования прав и реализации мер по обеспечению безопасности организации обеспечивается создание более надежной схемы Active Directory. При значительных изменениях в среде, например, при поглощении или реорганизации компании, потребуется только изменить структуру схемы.
Границы зон Active Directory
В службе Active Directory имеется несколько различных типов границ. Они служат для разграничения леса, домена, топологии сайта и делегирования разрешений. Границы устанавливаются автоматически при установке Active Directory. Тем не менее, следует убедиться, что границы разрешений учитывают требования и политики организации. Значительная гибкость при делегировании прав администратора позволяет соответствовать различным требованиям, выдвигаемым организацией. Например, чтобы обеспечить должное равновесие между безопасностью и функциональностью в сфере администрирования, можно разделить границы делегирования прав на границы зон безопасности и границы администрирования.
Границы зон безопасности
Границы зон безопасности позволяют определять автономность или изоляцию различных групп, входящих в организацию. Найти равновесие между должным уровнем безопасности (в зависимости от границ сферы деятельности организации) и необходимостью поддерживать постоянный уровень базовой функциональности непросто. Для успешного достижения такого равновесия необходимо сравнить угрозы безопасности организации с последствиями для безопасности, связанными с делегированием прав администратора и другими действиями, которые имеют отношение к архитектуре сети.
Лес является реальной границей безопасности сетевой среды. Авторы руководства рекомендуют создать раздельные леса для обеспечения защиты среды от возможных опасностей, исходящих от администраторов или других доменов. Такой подход также позволяет избежать нарушения работы всего предприятия при уязвимости одного леса.
Домен является границей управления Active Directory, но не границей зоны безопасности. В организации, состоящей из сотрудников, имеющих исключительно благие намерения, граница домена обеспечивает автономное управление службами и данными в пределах каждого домена организации. К сожалению, принимая во внимание требования безопасности, изоляции не так то просто достичь. Например, нельзя полностью блокировать атаку на домен, выполняемую недобросовестным администратором домена. Должный уровень разделения может быть достигнут только на уровне леса.
В пределах домена, следующий уровень границ управления обеспечивается подразделением. Подразделение — это удобный способ объединения взаимосвязанных ресурсов и делегирования соответствующему персоналу прав доступа к управлению без предоставления возможности управления всем доменом. Так же как и домен, подразделение не является фактической границей зоны безопасности. Хотя подразделению можно присвоить разрешения, все подразделения в границах одного домена проходят проверку подлинности ресурсов по отношению к ресурсам домена и леса. Однако хорошо спланированная иерархия подразделений может способствовать разработке и развертыванию эффективных мер по обеспечению безопасности и управлению ими.
Возможно, в конкретной организации потребуется разделить администрирование служб и данных в пределах текущей схемы Active Directory. Эффективная схема Active Directory требует полного понимания потребностей организации в автономности и изоляции служб и данных.
Административные границы
В связи с возможной необходимостью в разделении служб и данных, потребуется выделить несколько уровней прав администраторов. Помимо администраторов, которые могут выполнять определенные уникальные обязанности в организации, рекомендуется выделить перечисленные ниже роли администраторов.
Администраторы служб
Администраторы служб Active Directory несут ответственность за настройку и обеспечение работы служб каталогов. Например, администраторы служб поддерживают работу серверов контроллеров домена, контролируют параметры конфигурации каталога и обеспечивают доступность служб. В организации роль администраторов служб могут выполнять администраторы Active Directory.
Конфигурация служб Active Directory часто определяется с помощью значений атрибутов. Такие значения атрибутов соответствуют параметрам соответствующих объектов, которые хранятся в каталоге. Следовательно, администраторы служб Active Directory также являются администраторами данных. Схема служб каталогов Active Directory конкретной организации может потребовать выделения других групп администраторов. Ниже перечислены отдельные примеры.
Группа администраторов домена, главным образом отвечающая за службы каталогов.
Администратор леса выбирает группу для администрирования каждого домена. Поскольку администратору домена предоставляется доступ верхнего уровня, на эту должность следует выбирать очень надежных сотрудников. Администраторы домена контролируют работу домена через группу администраторов домена и другие встроенные группы.
Группы администраторов, управляющие DNS.
Группа администраторов DNS осуществляет разработку DNS и управление инфраструктурой DNS. Администраторы DNS контролируют работу инфраструктуры DNS с помощью группы администраторов DNS.
Группы администраторов, управляющие подразделениями.
Администратор подразделения назначает группу лиц или отдельного администратора для управления каждым подразделением. Каждый администратор подразделения контролирует данные, хранящиеся во вверенном ему подразделении Active Directory. Группы администраторов могут контролировать делегирование прав администрирования и применение политик к объектам в пределах их подразделения. Администраторы подразделения также могут создавать новые поддеревья и делегировать права управления подразделениями, за которые они несут ответственность.
Группы администраторов, управляющие серверами инфраструктуры.
Группа, ответственная за администрирование сервера инфраструктуры, управляет инфраструктурой WINS, DHCP и, возможно, DNS. В некоторых случаях ответственная за управление доменом группа может управлять инфраструктурой DNS, поскольку Active Directory интегрирована с DNS, хранится на контроллерах домена и управляется с их помощью.
Администраторы данных
Администраторы данных службы Active Directory управляют данными, хранящимися в каталогах Active Directory или на компьютерах, подключенных к Active Directory. Эти администраторы не контролируют настройку или обеспечение работы служб каталогов. Администраторы данных входят в состав группы обеспечения безопасности, создаваемой организацией. Иногда стандартные группы безопасности операционной системы Windows не отвечают потребностям конкретной организации. В таком случае, организация может разработать собственные стандарты именования групп безопасности, соответствующие конкретной среде. Ниже перечислены основные задачи, выполняемые администраторами данных.
Управление набором объектов в каталоге. Посредством наследуемого контроля доступа на уровне атрибутов администраторы данных могут получать доступ к управлению определенными разделами каталога, не контролируя собственно конфигурацию службы.
Управление рядовыми компьютерами в пределах каталога и данными, хранящимися на этих компьютерах.
Примечание. Довольно часто значения атрибутов объектов, хранящихся в каталоге, определяют конфигурацию службы каталога.
Подводя итог вышесказанному, отметим, что организация должна проверить надежность всех администраторов служб леса и всех доменов, прежде чем владельцы службы Active Directory и структур каталога получат разрешение присоединиться к инфраструктуре леса или домена. Кроме того, программа безопасности предприятия должна содержать стандартные политики и процедуры, которые обеспечивают выполнение соответствующих проверок благонадежности администраторов. В контексте настоящего руководства доверие к администраторам основывается на следующих моментах:
обоснованном предположении, что администраторы служб своей главной задачей считают защиту интересов организации. Организации не следует подключаться к лесу или домену, если владельцы леса или домена могут иметь законные основания для враждебных действий в отношении организации;
обоснованном предположении, что администраторы служб будут использовать наиболее эффективные методы работы и ограничивать физический доступ к контроллерам домена;
осознании и допущении рисков, включающих возможность наличия в организации перечисленных ниже категорий сотрудников.
Администраторы-мошенники. Надежные администраторы могут превратиться в мошенников и злоупотребить правами, которые они имеют в сети. Имеющий недобрые намерения администратор леса может с легкостью определить идентификатор безопасности для другого администратора из другого домена. Администратор-мошенник может затем воспользоваться средством API, редактором диска или отладчиком, чтобы добавить украденный идентификатор безопасности в список журнала идентификаторов безопасности учетной записи в собственном домене. Добавив украденный идентификатор безопасности в журнал идентификаторов безопасности пользователя, администратор-мошенник получит права администратора не только в своем домене, но и в домене, которому принадлежит украденный идентификатор безопасности.
Администраторы, действующие по принуждению. Надежных администраторов могут заставить или принудить выполнить действия, нарушающие безопасность компьютера или сети. Пользователь или администратор может использовать методы социотехники или угрозы, в том числе физической расправы, чтобы повлиять на законопослушных администраторов компьютеров и добыть сведения, необходимые для получения доступа к компьютеру.
Некоторые организации могут допускать риск нарушений безопасности, осуществляемых действующими по принуждению администраторами служб или администраторами-мошенниками из другого подразделения организации. Возможно, для таких организаций преимущества экономичного совместного использования инфраструктуры с общим доступом более значимы по сравнению с данной угрозой. Однако для других организаций подобный риск неприемлем, так как потенциальные последствия нарушения безопасности могут быть слишком серьезными.
Active Directory и групповая политика
Хотя система подразделений обеспечивает удобный способ группировки компьютеров, пользователей, групп и других участников безопасности, она также является эффективным средством для разделения границ администрирования. Кроме того, подразделения являются основой структуры для развертывания объектов групповой политики, так как позволяют разделять ресурсы с учетом требований безопасности и обеспечивать различные уровни безопасности для различных подразделений. Использование подразделений для управления политиками безопасности и их назначения с учетом роли сервера представляет собой существенную часть общей архитектуры безопасности организации.
Делегирование прав администратора и применение групповых политик
Подразделения являются контейнерами в пределах структуры каталога домена. Эти контейнеры могут содержать любых участников безопасности в домене, хотя обычно они используются для размещения объектов одного определенного типа. Чтобы предоставить разрешения доступа к подразделению группе или отдельному пользователю (или отозвать их), необходимо установить для подразделения особые списки управления доступом, при этом разрешения будут наследоваться всеми объектами в пределах подразделения.
Подразделение можно использовать для предоставления административных возможностей с учетом ролей. Например, одна группа администраторов может нести ответственность за подразделения пользователей и групп, в то время как другая группа может управлять подразделениями, содержащими серверы. Также можно создать подразделение, содержащее группу серверов ресурсов, управлять которыми будут другие пользователи, с помощью процесса, называемого делегированием управления. Это позволяет предоставить группе с делегированными полномочиями автономный контроль над определенным подразделением, не изолируя ее от остального домена.
Администраторы, делегирующие управление определенными подразделениями, обычно являются администраторами служб. При более низком уровне полномочий пользователи, управляющие подразделениями, обычно являются администраторами данных.
Группы администраторов
Администраторы могут создавать группы администраторов для распределения кластеров пользователей, групп безопасности или серверов по контейнерам для осуществления автономного управления.
Возьмем, к примеру, серверы инфраструктуры, находящиеся в домене. Серверы инфраструктуры включают все серверы, не являющиеся контроллерами домена, выполняющие основные сетевые службы, включая серверы, обеспечивающие работу служб WINS и DHCP. Зачастую работу таких серверов поддерживает группа операторов или административная группа инфраструктуры. Для предоставления административных возможностей этим серверам можно использовать подразделение.
Рисунок ниже иллюстрирует многоуровневую структуру такого подразделения.
.gif)
Рисунок 2.1. Делегирование прав администрирования
После того как группе администраторов инфраструктуры делегируются полномочия на управление подразделением инфраструктуры, члены этой группы получат полный контроль над подразделением инфраструктуры и всеми серверами и объектами в пределах этого подразделения. Такая возможность позволяет членам группы укрепить безопасность ролей серверов с помощью групповой политики.
Данный метод — это лишь один из способов, который можно использовать для разделения прав администраторов. Примеры для более сложных организаций см. в разделе «Дополнительные сведения» в конце данной главы.
Примечание. Поскольку служба каталогов Active Directory зависит от DNS, обычно службы DNS выполняются на контроллерах доменов. Контроллеры доменов по умолчанию размещаются во встроенном подразделении «Контроллеры домена». Примеры, приведенные в руководстве, также следуют этим правилам, поэтому роль сервера инфраструктуры не включает службу DNS.
Применение групповой политики
Чтобы применять определенные параметры, права и поведение ко всем серверам в пределах подразделения, используйте групповые политики и делегирование полномочий администратора. При использовании групповой политики вместо ручной настройки упрощается применение необходимых дополнительных изменений сразу к нескольким серверам.
Групповые политики накапливаются и применяются в порядке, указанном на рисунке ниже.
.gif)
Рисунок 2.2. Иерархия применения объектов групповой политики
Как видно из иллюстрации, политики сначала применяются на уровне политик локального компьютера. Затем, объекты групповой политики (GPO) применяются на уровне сайта, а после этого — на уровне домена. Если сервер вложен в несколько подразделений, объекты GPO, существующие в подразделении верхнего уровня, применяются первыми. Применение объектов групповой политики продолжается по направлению к нижним уровням иерархии подразделений. В последнюю очередь применяется объект групповой политики на уровне дочернего подразделения, содержащего объект сервера. Очередность обработки групповых политик следующая: обработка начинается с подразделения верхнего уровня (самое удаленное от учетной записи компьютера или пользователя) и заканчивается подразделением самого низкого уровня (подразделение, которое содержит учетную запись компьютера или пользователя).
При применении групповой политики необходимо учитывать следующие основные рекомендации:
необходимо установить порядок применения объектов групповой политики для уровней групповых политик, включающих несколько таких объектов. если несколько политик определяют один и тот же параметр, последняя примененная политика будет иметь приоритет;
для групповой политики необходимо применить параметр Не перекрывать, если нужно избежать ее замены другим объектом групповой политики. При использовании консоли управления групповой политикой для управления объектами групповой политики данный параметр называется Принудительно.
Настройка времени
Многие службы безопасности, особенно службы проверки подлинности, полагаются при выполнении своих задач на точность часов компьютера. Необходимо, чтобы часы компьютера показывали точное время и чтобы все серверы в организации использовали один источник времени. Служба W32Time операционной системы Windows Server 2003 обеспечивает синхронизацию часов для ОС Windows Server 2003 и Microsoft Windows XP, работающих в домене Active Directory.
Служба W32Time выполняет синхронизацию часов компьютеров с Windows Server 2003 с контроллерами домена в домене. Синхронизация необходима для правильной работы протокола Kerberos и других протоколов проверки подлинности. Правильная работа многих компонентов семейства серверов Windows Server зависит от точности часов и синхронизации времени. Если часы на клиентских компьютерах не синхронизированы, протокол проверки подлинности Kerberos может отказать пользователям в доступе.
Другим существенным преимуществом синхронизации времени является соотнесение событий на всех клиентских компьютерах предприятия. Синхронизация часов клиентских компьютеров в системе обеспечивает возможность правильного анализа событий, складывающихся в единую последовательность на таких компьютерах во всей организации.
Служба W32Time для синхронизации часов компьютеров с операционной системой Windows Server 2003 использует протокол NTP. По умолчанию в лесу Windows Server 2003 синхронизация времени выполняется следующим образом:
хозяин операций эмулятора основного контроллера домена (PDC) в корневом домене леса является полномочным источником времени для всей организации;
все хозяева PDC в других доменах леса соблюдают иерархию доменов при выборе эмулятора PDC, с которым выполняется синхронизация времени;
все контроллеры домена в домене выполняют синхронизацию времени, используя в качестве источника времени хозяина операций эмулятора PDC в своем домене;
все рядовые серверы и клиентские настольные компьютеры используют в качестве источника времени домен контроллера, выполняющий проверку подлинности.
Для обеспечения точности времени можно синхронизировать эмулятор PDC в корневом домене леса с полномочным источником времени, таким как надежный источник NTP или очень точные часы в сети. Необходимо учесть, что функция синхронизации NTP использует трафик UDP-порта 123. Прежде чем выполнять синхронизацию с внешним сервером, необходимо сопоставить преимущества открытия данного порта с возможной угрозой безопасности.
Кроме того, при синхронизации с внешним сервером, который нельзя контролировать, возникает опасность неправильной настройки времени на серверах. Внешний сервер может подвергнуться атаке или его уязвимость может быть использована злоумышленником для манипулирования часами на компьютерах организации. Как упоминалось ранее, для работы протокола проверки подлинности Kerberos требуется синхронизация часов компьютеров. При отсутствии синхронизации может возникнуть отказ в обслуживании.
Управление шаблонами безопасности
Шаблоны безопасности — это текстовые файлы, которые используются для применения настроек безопасности для компьютера. Шаблоны безопасности можно изменять с помощью оснастки консоли управления MMC «Шаблоны безопасности», блокнота или другого текстового редактора. В некоторых разделах файлов шаблонов содержатся особые списки контроля доступа (ACL) на языке SDDL (Security Descriptor Definition Language). Дополнительные сведения о редактировании шаблонов безопасности и использовании языка SDDL см. на странице Security Descriptor Definition Language на веб-узле библиотеки Microsoft MSDN® http://msdn.microsoft.com/library/ en-us/secauthz/security/security_descriptor_definition_language.asp (на английском языке).
По умолчанию пользователи, прошедшие проверку подлинности, могут считывать все параметры объекта групповой политики. Поэтому крайне важно хранить шаблоны безопасности, предназначенные для рабочей среды, в надежном месте, доступ к которому имеют только администраторы, выполняющие внедрение групповых политик. Это делается не для того, чтобы избежать просмотра INF-файлов, а для того, чтобы предотвратить несанкционированное внесение изменений в исходные шаблоны безопасности.
На компьютерах с операционной системой Windows Server 2003 шаблоны безопасности хранятся в локальной папке %SystemRoot%\security\templates. Эта папка не реплицируется на несколько контроллеров домена, поэтому потребуется указать одно местоположение для копии шаблонов безопасности, чтобы избежать проблем с контролем версий шаблонов. После внесения изменений в центральный шаблон он может быть повторно развернут на соответствующих компьютерах. Благодаря этому изменения всегда вносятся в одну и ту же копию шаблонов.
Записи об успешном применении объектов групповой политики
Хотя администратор может вручную проверить правильность применения всех параметров к серверам организации, в журнале событий также должна появиться запись, информирующая администратора о том, что политика домена успешно загружена на все серверы. В журнале приложений должна отобразиться примерно следующая запись с уникальным кодом события.
Тип: сведения
Идентификатор источника: SceCli
Код события: 1704
Описание: «Политика безопасности в объектах групповой политики успешно применена».
По умолчанию параметры безопасности обновляются каждые 90 минут на рабочей станции или сервере и каждые 5 минут на контроллере домена. При внесении каких-либо изменений в течение этих интервалов, появится данная запись о событии. Кроме того, параметры обновляются каждые 16 часов, независимо от того были ли внесены изменения. Обновление параметров групповой политики можно выполнить вручную с помощью процедур, описанных в данной главе.
Подразделения ролей серверов
В предыдущем примере рассматривались способы управления серверами инфраструктуры организации. Этим же способом можно воспользоваться для управления другими серверами и службами в организации. Задачей является создание надежной групповой политики для всех серверов и обеспечение соответствия серверов, находящихся в Active Directory, стандартам безопасности среды.
Данный тип групповой политики формирует последовательный набор базовых стандартных параметров для всех серверов организации. Кроме того, структура подразделения и применение групповых политик должны обеспечивать подробную схему, позволяющую применять параметры безопасности к определенным типам серверов в организации. Отдельные роли серверов в организации, например сервер IIS, файловый сервер, сервер печати, сервер IAS и сервер служб сертификации, могут потребовать уникальных групповых политик.
Внимание! Для простоты изложения примеры в данной главе относятся к среде корпоративных клиентов. При работе с другими двумя средами следует заменить соответствующие имена файлов. Различия между тремя средами и их возможностями рассматриваются в главе 1 «Введение в руководство по безопасности Windows Server 2003».
Базовая политика рядовых серверов
Первым этапом создания подразделения роли сервера является разработка базовой политики. Для создания данной политики на стандартном рядовом сервере можно использовать мастер настройки безопасности, чтобы создать файл базовой политики рядового сервера в формате XML (например Member Servers Baseline.xml). При создании XML-файла можно воспользоваться мастером настройки безопасности, чтобы включить в него один из имеющихся шаблонов безопасности базовой политики рядового сервера (LC-Member Server Baseline.inf, EC-Member Server Baseline.inf или SSLF-Member Server Baseline.inf).
После создания политики мастера настройки безопасности она преобразуется в объект групповой политики и соотносится с подразделением «Рядовые серверы». Этот новый объект групповой политики применяет параметры базовой групповой политики ко всем серверам в подразделении рядовых серверов, а также ко всем серверам в дочерних подразделениях. Базовая политика рядовых серверов рассматривается в главе 4 «Базовая политика рядовых серверов».
В базовой групповой политике необходимо определить требуемые параметры для большинства серверов организации. Хотя в организации могут существовать серверы, к которым не будет применяться базовая политика, их не должно быть много. При создании собственной базовой групповой политики необходимо сделать ее максимально строгой и выделить серверы, параметры которых должны отличаться от базовой политики, в отдельные специальные серверные подразделения.
Типы ролей сервера и подразделения
Каждая отдельная роль сервера требует дополнительной политики мастера настройки безопасности, шаблона безопасности и подразделения (в дополнение к базовому подразделению). Это позволяет создавать отдельные политики для добавочных изменений, необходимых для каждой роли.
В предыдущем примере серверы инфраструктуры были помещены в подразделение** «Инфраструктура», которое является дочерним для подразделения «Рядовые серверы». Следующий этап — применение подходящих настроек для данных серверов. В настоящее руководство входит три шаблона безопасности, по одному для каждой среды: LC-Infrastructure Server.inf, EC-Infrastructure Server.inf и **SSLF-Infrastructure Server.inf. При использовании совместно с мастером настройки безопасности эти шаблоны безопасности служат для создания политики безопасности, включающей специальные настройки, необходимые для DHCP и WINS. Получающаяся в результате политика затем преобразуется в новый объект групповой политики и соотносится с подразделением «Инфраструктура».
Данный объект групповой политики использует параметр «Группы с ограниченным доступом» для добавления трех следующих групп в группу «Локальные администраторы» всех серверов в подразделении «Инфраструктура»:
администраторы домена,
администраторы предприятия,
администраторы инфраструктуры.
Как упоминалось выше в данной главе, это лишь один из способов создания структуры подразделения, который можно использовать для развертывания объектов групповой политики. Дополнительные сведения о создании подразделений для внедрения групповой политики см. в документе «Разработка структуры Active Directory» и других статьях на веб-узле www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/deploy/dgbd\_ads\_heqs.mspx (эта ссылка может указывать на содержимое полностью или частично на английском языке).
В таблице ниже перечислены роли серверов Windows Server 2003 и соответствующие шаблоны безопасности, приведенные в настоящем руководстве. Файлы шаблонов безопасности начинаются с переменной <Среда>, которая соответственно меняется на LC (для среды с устаревшими клиентскими компьютерами), EC (для среды корпоративных клиентов) или SSLF (для специальной безопасной среды с ограниченной функциональностью).
Таблица 2.1. Роли серверов операционной системы Windows Server 2003
| Роль сервера | Описание | Имя файла шаблона безопасности |
|---|---|---|
| Рядовые серверы | Все серверы, входящие в состав домена и размещенные в подразделении рядовых серверов или дочерних подразделениях. | <Среда>-Member Server Baseline.inf |
| Контроллер домена | Все контроллеры домена Active Directory. Эти серверы также являются серверами DNS. | <Среда>-Domain Controller.inf |
| Сервер инфраструктуры | Все защищенные серверы WINS и DHCP. | <Среда>-Infrastructure Server.inf |
| Файловый сервер | Все защищенные файловые серверы. | <Среда>-File Server.inf |
| Сервер печати | Все защищенные серверы печати. | <Среда>-Print Server.inf |
| Веб-сервер | Все защищенные веб-серверы IIS. | <Среда>-Web Server.inf |
| Сервер IAS | Все защищенные серверы IAS. | <Среда>-IAS Server.inf |
| Сервер служб сертификации | Все защищенные серверы центра сертификации. | <Среда>-CA Server.inf |
| Узел-бастион | Все серверы, подключаемые к Интернету. | <Среда>-Bastion Host.inf |
| Имя подразделения | Группа администраторов |
|---|---|
| Контроллеры домена | Проектирование домена |
| Рядовые серверы | Проектирование домена |
| Сервер инфраструктуры | Администратор инфраструктуры |
| Файловый сервер | Администратор инфраструктуры |
| Сервер печати | Администратор инфраструктуры |
| Сервер IAS | Проектирование домена |
| Веб-сервер | Веб-службы |
| Сервер центра сертификации | Администраторы предприятия |