Прочитать на английском

Поделиться через


Руководство по безопасности Windows Server 2003

Глава 4. Базовая политика рядовых серверов

Опубликовано 20 апреля 2007 г.

На этой странице

Обзор Базовая политика Windows Server 2003 Политика аудита Назначение прав пользователя Параметры безопасности Журнал событий Дополнительные параметры реестра Группы с ограниченным доступом Защита файловой системы Дополнительные параметры безопасности Заключение

Обзор

В этой главе описаны требования к конфигурации системы, которые необходимо выполнить, чтобы можно было управлять базовым шаблоном безопасности для всех серверов с Microsoft® Windows Server™ 2003 с пакетом обновления 1 (SP1). Кроме того, в этой главе приводятся инструкции для администраторов по развертыванию защищенной конфигурации системы Windows Server 2003 с пакетом обновления 1 в трех разных средах. Изложенные в этой главе требования составляют основу для выполнения всех процедур, описанных в последующих главах. В этих главах описывается усиление защиты конкретных ролей сервера.

Содержащиеся в этой главе рекомендации, помогут реализовать базовые меры защиты серверов бизнес-приложений в корпоративной среде. Однако перед реализацией этих мер в рабочей среде необходимо тщательно проверить их совместимость с бизнес-приложениями организации.

Приведенные в этой главе рекомендации подходят для большинства организаций и могут быть использованы для настройки имеющихся и новых компьютеров с Windows Server 2003 с пакетом обновления 1. Работая над этим руководством, его составители изучили, проанализировали и протестировали действующие по умолчанию параметры безопасности системы Windows Server 2003 с пакетом обновления 1. Сведения обо всех параметрах по умолчанию и подробное объяснение каждого параметра, упоминаемого в этой главе, см. в дополнительном руководстве Угрозы и меры противодействия: параметры безопасности в системах Windows Server 2003 и Windows XP, которое можно загрузить по адресу http://go.microsoft.com/fwlink/?LinkId=15159 (на английском языке). Большинство приведенных ниже рекомендаций обеспечивают более высокую степень защиты, чем параметры по умолчанию.

Параметры безопасности описываются в этой главе в контексте трех следующих сред:

  • Среда устаревших клиентов (LC). Эта среда включает компьютеры под управлением систем Windows NT® 4.0 и Microsoft Windows® 98, которые иногда называют унаследованными операционными системами. Эта среда обеспечивает приемлемый уровень безопасности, но из трех сред, описываемых в этом руководстве, она защищена наименее надежно. Для обеспечения более надежной защиты организации могут заменить эту среду более защищенной средой корпоративных клиентов. Кроме упомянутых унаследованных операционных систем среда устаревших клиентов включает рабочие станции под управлением систем Windows 2000 Professional и Windows XP Professional. Контроллеры домена в этой среде работают только под управлением Windows 2000 или Windows Server 2003. Контроллеры домена под управлением Windows NT 4.0 в этой среде отсутствуют, но рядовые серверы могут работать под управлением системы Windows NT.

  • Среда корпоративных клиентов (EC). Эта среда обеспечивает высокий уровень безопасности и разработана для более новых версий операционных систем Windows. Среда корпоративных клиентов включает клиентские компьютеры под управлением систем Windows 2000 Professional и Windows XP Professional. Основная часть работы по миграции из среды устаревших клиентов в среду корпоративных клиентов сводится к обновлению унаследованных клиентов, например компьютеров под управлением Windows 98 и Windows NT 4.0 Workstation, до Windows 2000 или Windows XP. Все контроллеры домена и рядовые серверы в этой среде работают под управлением системы Windows 2000 Server или Windows Server 2003.

  • Специальная безопасная среда с ограниченной функциональностью (SSLF). Эта среда обеспечивает гораздо более высокий уровень безопасности, чем среда корпоративных клиентов. Для миграции из среды корпоративных клиентов в специальную безопасную среду с ограниченной функциональностью необходимо обеспечить соблюдение строгих политик безопасности на клиентских компьютерах и серверах. Эта среда включает клиентские компьютеры с Windows 2000 Professional и Windows XP Professional и контроллеры домена с Windows 2000 Server или Windows Server 2003. В среде SSLF настолько строгие требования к безопасности, что значительное ограничение функциональности и управляемости клиентов считается приемлемой платой за достижение высочайшего уровня безопасности. Рядовые серверы в этой среде работают под управлением системы Windows 2000 Server или Windows Server 2003.

Во многих случаях в среде SSLF значения параметров по умолчанию задаются явным образом. Это отрицательно сказывается на совместимости, так как может привести к сбоям в работе приложений, пытающихся локально изменить некоторые параметры. Например, некоторые приложения нуждаются в дополнительных привилегиях для своей учетной записи, а потому вынуждены настраивать права пользователей. Так как групповые политики имеют более высокий приоритет, чем политика локального компьютера, эти операции не увенчаются успехом. Таким образом, перед использованием каких-либо рекомендованных параметров (особенно параметров SSLF) в рабочей среде следует тщательно протестировать с ними все приложения.

На следующем рисунке условно изображены три этих среды безопасности и клиенты, поддерживаемые в каждой из них.

Рис. 4.1. Существующие и планируемые среды безопасности

Организации, стремящиеся поэтапно повысить безопасность своих сред, могут начать с уровня среды устаревших клиентов, а затем постепенно развертывать более защищенные среды по мере обновления приложений и клиентских компьютеров и их тестирования с более строгими параметрами безопасности.

На следующем рисунке показано, как шаблоны безопасности (файлы INF) используются в качестве основы базовой политики рядовых серверов (MSBP) в среде корпоративных клиентов. Кроме того, этот рисунок поясняет один из возможных способов связи этой политики со всеми серверами в организации.

В Windows Server 2003 с пакетом обновления 1 (SP1) значения параметров по умолчанию настроены так, чтобы обеспечивать приемлемую безопасность среды. В этой главе во многих случаях рекомендуется использовать значения параметров, отличные от значений по умолчанию. Кроме того, в этой главе подчеркивается важность использования некоторых значений по умолчанию во всех трех средах. Сведения обо всех параметрах по умолчанию см. в дополнительном руководстве Угрозы и меры противодействия: параметры безопасности в системах Windows Server 2003 и Windows XP, которое можно загрузить по адресу http://go.microsoft.com/fwlink/?LinkId=15159 (на английском языке).

Рис. 4.2. Шаблон безопасности EC-Member Server Baseline.inf импортируется в базовую политику рядовых серверов, которая затем связывается с подразделением рядовых серверов

Способы укрепления защиты конкретных ролей сервера описаны в последующих главах этого руководства. В число основных ролей сервера, обсуждаемых в данном руководстве, входят:

  • контроллеры домена со службами DNS,

  • инфраструктурные серверы со службами WINS и DHCP,

  • файловые серверы,

  • серверы печати,

  • веб-серверы со службами IIS,

  • серверы проверки подлинности в Интернете (IAS),

  • серверы служб сертификации (центр сертификации),

  • узлы-бастионы.

Многие из перечисленных ниже параметров, входящих в базовую политику рядовых серверов в среде корпоративных клиентов, также относятся к этим ролям сервера в трех средах, определенных в данном руководстве. Эти шаблоны безопасности специально разработаны для удовлетворения требований к безопасности в каждой среде. В следующей таблице приведены имена базовых шаблонов безопасности для трех сред.

Таблица 4.1. Базовые шаблоны безопасности для всех трех сред

Среда устаревших клиентов Среда корпоративных клиентов Специальная безопасная среда с ограниченной функциональностью
LC-Member Server Baseline.inf EC-Member Server Baseline.inf SSLF-Member Server Baseline.inf
Эти параметры безопасности являются общими для всех трех сред, поэтому в оставшейся части этой главы описываются **базовые шаблоны безопасности рядовых серверов**. Базовые шаблоны безопасности также лежат в основе шаблонов безопасности контроллеров домена, которые описаны в главе 5. Шаблоны безопасности **роли контроллеров домена** включают базовые параметры объекта групповой политики контроллеров домена, который связан с подразделением контроллеров домена во всех трех средах. Пошаговые инструкции по созданию подразделений и групповых политик и импорту подходящего шаблона безопасности в каждый объект групповой политики приведены в главе 2 данного руководства. **Примечание**. Некоторые процедуры усиления защиты серверов невозможно автоматизировать с помощью групповой политики. Эти процедуры описаны ниже, в разделе «Дополнительные параметры безопасности». [](#mainsection)[К началу страницы](#mainsection) ### Базовая политика Windows Server 2003 Параметры уровня подразделения рядовых серверов определяют общие параметры для всех ролей рядовых серверов, описываемых в данном руководстве. Для применения этих параметров можно создать объект групповой политики, связанный с подразделением рядовых серверов, который называется базовой политикой. Этот объект групповой политики автоматизирует настройку конкретных параметров безопасности на каждом сервере. Для этого нужно будет переместить серверные учетные записи в соответствующие подразделения, дочерние по отношению к подразделению рядовых серверов, с учетом каждой роли сервера. Следующие параметры описаны в соответствии с их представлением в пользовательском интерфейсе редактора конфигураций безопасности консоли MMC (Microsoft Management Console). [](#mainsection)[К началу страницы](#mainsection) ### Политика аудита Администраторам следует создать политику аудита, определяющую содержимое отчетов о событиях безопасности и регистрирующую действия пользователей или компьютеров, относящиеся к указанным категориям событий. Администраторы могут следить за действиями, имеющими отношение к безопасности, такими как доступ к объектам, вход в систему и выход из нее и изменение параметров политики аудита. Перед реализацией политики аудита нужно решить, для каких категорий событий следует выполнять аудит. От параметров аудита, заданных администратором для категорий событий, зависит политика аудита организации. Если параметры аудита для конкретных категорий событий определены, администраторы могут создать политику аудита, соответствующую требованиям организации. Если политика аудита не задана, определить, что произошло при инциденте в сфере безопасности, будет сложно или невозможно. Если же настроить параметры аудита так, чтобы события регистрировались при многих санкционированных действиях, журнал безопасности может быть заполнен бесполезными данными. Приведенные ниже рекомендации и описания параметров помогают определить, что именно следует отслеживать, чтобы собирать данные, которые имеют значение. Журналы сбоев часто оказываются более информативными, чем журналы успешного выполнения операций, потому что сбои обычно свидетельствуют об ошибках. Например, успешный вход пользователя в систему обычно считается нормальным развитием событий. Если кто-то безуспешно пытается несколько раз войти в систему, это может быть признаком использования чужих учетных данных. События, происходящие на компьютере, регистрируются в журналах событий. В операционных системах Microsoft Windows нет отдельных журналов событий для приложений, событий безопасности и системных событий. События аудита регистрируются в журнале безопасности. Контейнер журнала событий групповой политики используется для определения атрибутов, относящихся к журналам событий приложений, безопасности и системы, таких как максимальный размер журнала, права доступа для каждого журнала, а также параметры и методы сохранения. Перед реализацией политики аудита в организации следует определить способы сбора, организации и анализа данных. От большого объема данных аудита мало пользы, если отсутствует план их использования. Кроме того, аудит компьютерных сетей может отрицательно сказываться на производительности систем. Даже если влияние определенного сочетания параметров на компьютер конечного пользователя практически незаметно, на сервере с высокой нагрузкой оно может оказаться существенным. Таким образом, перед заданием новых параметров аудита в рабочей среде следует проверить, не ухудшит ли это производительность систем. В таблице ниже приведены рекомендации по настройке параметров политики аудита для всех трех сред, определенных в данном руководстве. Можно заметить, что в большинстве случаев параметры одинаковы для всех сред. Дополнительные сведения о каждом параметре приведены в подразделах, следующих за таблицей. Настроить параметры политики аудита в Windows Server 2003 с пакетом обновления 1 можно в следующем разделе редактора объектов групповой политики: **Конфигурация компьютера\\Конфигурация Windows\\Параметры безопасности\\** **Локальные политики\\Политика аудита** Обзорные сведения о параметрах, рекомендованных в этом разделе, см. в книге Microsoft Excel® «Параметры руководства по безопасности Windows Server 2003», прилагаемой к версии данного руководства, которую можно загрузить из Интернета. Дополнительные сведения о параметрах по умолчанию и подробное описание каждого параметра, упоминаемого в этом разделе, см. в дополнительном руководстве [Угрозы и меры противодействия: параметры безопасности в системах Windows Server 2003 и Windows XP](http://go.microsoft.com/fwlink/?linkid=15159), которое можно загрузить по адресу http://go.microsoft.com/fwlink/?LinkId=15159 (на английском языке). **Таблица 4.2. Параметры политики аудита**
Параметр Среда устаревших клиентов Среда корпоративных клиентов Специальная безопасная среда с ограниченной функциональностью
Аудит событий входа учетных записей в систему Успех Успех Успех, отказ
Аудит управления учетными записями Успех Успех Успех, отказ
Аудит событий входа в систему Успех Успех Успех, отказ
Аудит доступа к объектам Нет аудита Нет аудита Отказ
Аудит изменения политики Успех Успех Успех
Аудит использования привилегий Нет аудита Нет аудита Отказ
Аудит отслеживания процессов Нет аудита Нет аудита Нет аудита
Аудит системных событий Успех Успех Успех
#### Аудит событий входа учетных записей в систему Этот параметр политики определяет необходимость аудита каждого входа пользователя в систему или выхода из нее с другого компьютера, проверяющего учетную запись. При проверке подлинности учетной записи пользователя домена на контроллере домена формируется событие входа учетной записи в систему, регистрируемое в журнале безопасности контроллера домена. При проверке подлинности локального пользователя на локальном компьютере формируется событие входа в систему, регистрируемое в локальном журнале безопасности. События выхода из системы не регистрируются. Параметр **Аудит событий входа учетных записей в систему** настраивается для регистрации значений **Успех** в базовых политиках сред LC и EC и событий **Успех** и **Отказ** в базовой политике среды SSLF. В таблице ниже приведены важные события безопасности, которые регистрируются в журнале безопасности, если задан этот параметр политики. Коды этих событий могут оказаться полезными, если нужно создать пользовательские предупреждения для наблюдения за каким-либо программным пакетом, таким как Microsoft Operations Manager (MOM). **Таблица 4.3. События входа учетных записей в систему**
Код события Описание события
672 Билет службы проверки подлинности успешно выдан и проверен. В Windows Server 2003 с пакетом обновления 1 это событие имеет тип «Аудит успехов» в случае успешных запросов и «Аудит отказов» в случае неудачных запросов.
673 Билет службы предоставления билетов (TGS) предоставлен. Билет TGS выдается службой TGS Kerberos версии 5, которая позволяет пользователю подтвердить подлинность для конкретной службы в домене. В Windows Server 2003 с пакетом обновления 1 для событий этого типа регистрируются успехи и отказы.
674 Участник безопасности обновил билет службы проверки подлинности или билет службы предоставления билетов.
675 Ошибка предварительной проверки подлинности. Это событие формируется в центре распространения ключей (KDC) при вводе неверного пароля.
676 Ошибка запроса билета проверки подлинности. В Windows Server 2003 с пакетом обновления 1 это событие не создается. В других версиях Windows это событие свидетельствует о том, что проверка подлинности завершилась неудачей по причине, не связанной с указанием неправильных учетных данных.
677 Билет службы предоставления билетов не предоставлен. В Windows Server 2003 с пакетом обновления 1 это событие не формируется; вместо него используется событие аудита отказов с кодом 672.
678 Учетная запись успешно сопоставлена с учетной записью домена.
681 Сбой при входе в систему. Выполнена попытка входа в систему с использованием учетной записи домена. Это событие формируется только контроллерами домена.
682 Пользователь восстановил завершенный сеанс работы с сервером терминалов.
683 Пользователь завершил сеанс работы с сервером терминалов, но не вышел из системы.
#### Аудит управления учетными записями Этот параметр политики определяет необходимость аудита каждого события управления учетными записями на компьютере. Примеры событий управления учетными записями: - создание, изменение или удаление учетной записи пользователя; - переименование, отключение или включение учетной записи пользователя; - задание или изменение пароля. Организациям нужна возможность определения того, кто создает, изменяет и удаляет учетные записи доменов и локальных систем. Несанкционированные изменения могут быть как ошибками администраторов, не соблюдающих политики организации, так и признаками умышленных атак. Например, события отказов при управлении учетными записями часто свидетельствуют о попытках расширения привилегий, предпринимаемых администратором более низкого уровня или злоумышленником, получившим доступ к его учетной записи. Соответствующие журналы помогают узнать, какие учетные записи изменил или создал хакер. Параметр **Аудит управления учетными записями** настраивается для регистрации значений **Успех** в базовых политиках сред LC и EC и значений **Успех** и **Отказ** в базовой политике среды SSLF. В таблице ниже приведены важные события безопасности, которые регистрируются в журнале безопасности, если задан этот параметр политики. Коды этих событий могут оказаться полезными, если нужно создать пользовательские предупреждения для наблюдения за каким-либо программным пакетом, таким как Microsoft Operations Manager (MOM). Большинство приложений, служащих для управления операциями, можно настроить с помощью сценариев для регистрации событий с этими кодами или уведомления о них. **Таблица 4.4. События управления учетными записями**
Код события Описание события
624 Создана учетная запись пользователя.
627 Изменен пароль пользователя.
628 Задан пароль пользователя.
630 Удалена учетная запись пользователя.
631 Создана глобальная группа.
632 В глобальную группу добавлен член.
633 Из глобальной группы удален член.
634 Удалена глобальная группа.
635 Создана локальная группа.
636 В локальную группу добавлен член.
637 Из локальной группы удален член.
638 Удалена локальная группа.
639 Изменена учетная запись локальной группы.
641 Изменена учетная запись глобальной группы.
642 Изменена учетная запись пользователя.
643 Изменена политика домена.
644 Учетная запись пользователя автоматически заблокирована.
645 Создана учетная запись компьютера.
646 Изменена учетная запись компьютера.
647 Удалена учетная запись компьютера.
648     Создана локальная группа безопасности с отключенной безопасностью. Примечание. Значение SECURITY_DISABLED в формальном имени группы говорит о том, что данную группу нельзя использовать для предоставления разрешений в проверках доступа.
649 Изменена локальная группа безопасности с отключенной безопасностью.
650 В локальную группу безопасности с отключенной безопасностью добавлен член.
651 Из локальной группы безопасности с отключенной безопасностью удален член.
652 Удалена локальная группа с отключенной безопасностью.
653 Создана глобальная группа с отключенной безопасностью.
654 Изменена глобальная группа с отключенной безопасностью.
655 В глобальную группу с отключенной безопасностью добавлен член.
656 Из глобальной группы с отключенной безопасностью удален член.
657 Удалена глобальная группа с отключенной безопасностью.
658 Создана универсальная группа с включенной безопасностью.
659 Изменена универсальная группа с включенной безопасностью.
660 В универсальную группу с включенной безопасностью добавлен член.
661 Из универсальной группы с включенной безопасностью удален член.
662 Удалена универсальная группа с включенной безопасностью.
663 Создана универсальная группа с отключенной безопасностью.
664 Изменена универсальная группа с отключенной безопасностью.
665 В универсальную группу с отключенной безопасностью добавлен член.
666 Из универсальной группы с отключенной безопасностью удален член.
667 Удалена универсальная группа с отключенной безопасностью.
668 Изменен тип группы.
684     Задан дескриптор безопасности членов административной группы. Примечание. Каждые 60 минут на контроллере домена поток, работающий в фоновом режиме, выполняет поиск всех членов административных групп (таких как администраторы домена, предприятия и схемы) и применяет к ним фиксированный дескриптор безопасности. Это событие регистрируется.
685 Изменено имя учетной записи.
#### Аудит событий входа в систему Этот параметр политики определяет необходимость аудита каждого входа пользователя в систему или выхода из нее. Параметр **Аудит событий входа в систему** регламентирует создание записей, служащих для слежения за активностью учетных записей домена, на контроллерах домена и записей, служащих для слежения за активностью локальных учетных записей, на локальных компьютерах. Если присвоить параметру **Аудит событий входа в систему** значение **Нет аудита**, будет сложно или невозможно узнать, какие пользователи входили на компьютеры в организации или пытались это сделать. Если присвоить параметру **Аудит событий входа в систему** значение **Успех** на члене домена, событие будет формироваться при каждом входе пользователя в сеть независимо от того, к какому узлу сети относится его учетная запись. Если пользователь входит в систему с локальной учетной записью, а параметр **Аудит событий входа учетных записей в систему** имеет значение **Включен**, при входе в систему формируются два события. Даже если оставить значения по умолчанию этого параметра политики неизменными, при инциденте в сфере безопасности не будут собраны никакие данные, которые можно было бы позднее проанализировать. Параметр **Аудит событий входа в систему** настраивается для регистрации значений **Успех** в базовых политиках сред LC и EC и значений **Успех** и **Отказ** в политике среды SSLF. В таблице ниже приведены важные события безопасности, которые регистрируются в журнале безопасности, если задан этот параметр политики. **Таблица 4.5. События аудита входа в систему**
Код события Описание события
528 Пользователь успешно вошел в систему.
529 Сбой при входе в систему. Предпринята попытка входа в систему с использованием неизвестного имени пользователя или известного имени пользователя с неправильным паролем.
530 Сбой при входе в систему. Предпринята попытка входа в систему вне допустимого интервала времени.
531 Сбой при входе в систему. Предпринята попытка входа в систему с отключенной учетной записью.
532 Сбой при входе в систему. Предпринята попытка входа в систему с устаревшей учетной записью.
533 Сбой при входе в систему. В систему попытался войти пользователь, не имеющий на это права.
534 Сбой при входе в систему. Пользователь попытался войти в систему с использованием пароля недопустимого типа.
535 Сбой при входе в систему. Пароль указанной учетной записи устарел.
536 Сбой при входе в систему. Служба Net Logon не активна.
537     Сбой при входе в систему. Попытка входа в систему завершилась неудачей по иным причинам. Примечание. В некоторых случаях причина сбоя при входе в систему может быть неизвестна.
538 Процесс выхода пользователя из системы завершен.
539 Сбой при входе в систему. Ко времени попытки входа в систему учетная запись была заблокирована.
540 Пользователь успешно вошел в сеть.
541 Завершена проверка подлинности основного режима по протоколу IKE (Internet Key Exchange) между локальным компьютером и указанной сущностью (с формированием сопоставления безопасности) или создан канал данных в быстром режиме.
542 Закрыт канал данных.
543     Работа в основном режиме завершена. Примечание. Это может произойти из-за истечения срока действия сопоставления безопасности (по умолчанию он равен восьми часам), из-за изменения политики или отключения узла.
544 Проверка подлинности основного режима завершилась неудачей, так как узел не предоставил действительный сертификат или подпись не была проверена.
545 Проверка подлинности основного режима завершилась неудачей из-за сбоя в протоколе проверки подлинности Kerberos или указания неправильного пароля.
546 Не удалось установить сопоставление безопасности IKE, поскольку другой компьютер послал неправильное предложение. Получен пакет, содержащий неправильные данные.
547 Ошибка при подтверждении IKE.
548 Сбой при входе в систему. Идентификатор безопасности (SID) из доверенного домена не соответствует идентификатору безопасности домена учетной записи клиента.
549 Сбой при входе в систему. Все идентификаторы безопасности, соответствующие пространствам имен, не являющимся доверенными, отфильтрованы в ходе проверки подлинности между лесами.
550 Уведомление, которое может свидетельствовать об атаке типа «отказ в обслуживании».
551 Пользователь инициировал процесс выхода из системы.
552 Пользователь успешно вошел в систему с явно заданными учетными данными, уже будучи зарегистрированным в системе в качестве другого пользователя.
682 Пользователь восстановил завершенный сеанс работы с сервером терминалов.
683     Пользователь завершил сеанс работы с сервером терминалов, но не вышел из системы. Примечание. Это событие создается, если пользователь подключен к сеансу сервера терминалов по сети. Оно регистрируется на сервере терминалов.

Аудит доступа к объектам

Сам по себе этот параметр политики не запускает аудита каких-либо событий. Параметр Аудит доступа к объектам определяет необходимость аудита событий доступа к объекту (например к файлу, папке, разделу реестра или принтеру), для которого задан системный список управления доступом (SACL).

Системный список управления доступом состоит из записей управления доступом. Каждая запись управления доступом включает сведения трех типов:

  • участник безопасности (пользователь, компьютер или группа), для которого будет выполняться аудит;

  • определенный тип доступа, для которого будет выполняться аудит (маска доступа);

  • флаг, указывающий на необходимость аудита событий сбоя доступа, успешного доступа или того и другого вида событий.

Если параметр Аудит доступа к объектам настроен для регистрации значений Успех, запись аудита создается каждый раз, когда пользователь успешно получает доступ к объекту с указанным системным списком управления доступом. Если этот параметр настроен для регистрации значений Отказ, запись аудита создается каждый раз, когда пользователь безуспешно пытается получить доступ к объекту с указанным системным списком управления доступом.

При настройке системных списков управления доступом организации должны определять только те действия, которые необходимо включить. Например, может потребоваться включить параметр Аудит записи и добавления данных для EXE-файлов, чтобы отслеживать их изменение или замену, так как вирусы, черви и «троянские кони» обычно воздействуют на EXE-файлы. Кроме того, может потребоваться отслеживание доступа к конфиденциальным документам и их изменения.

В базовых политиках сред LC и EC параметр Аудит доступа к объектам имеет по умолчанию значение Нет аудита. Однако в базовой политике среды SSLF этот параметр политики настроен на регистрацию значений типа Отказ.

В таблице ниже приведены важные события безопасности, которые регистрируются в журнале безопасности, если задан этот параметр политики.

Таблица 4.6. События доступа к объектам

Код события Описание события
560 Предоставлен доступ к существующему объекту.
562 Закрыт дескриптор объекта.
563     Выполнена попытка открыть объект с целью его удаления. Примечание. Это событие используется файловыми системами, если в функции Createfile() задан флаг FILE_DELETE_ON_CLOSE.
564 Удален защищенный объект.
565 Предоставлен доступ к существующему типу объекта.
567     Использовано разрешение, связанное с дескриптором. Примечание. Дескриптор создается с определенными разрешениями (например разрешениями на чтение и запись). При использовании дескриптора для каждого из использованных разрешений может быть создана запись аудита.
568 Выполнена попытка создания жесткой ссылки на файл, для которого проводится аудит.
569 Диспетчер ресурсов в диспетчере авторизации попытался создать контекст клиента.
570     Клиент попытался получить доступ к объекту. Примечание. Это событие формируется при каждой попытке выполнения операции над объектом.
571 Контекст клиента удален диспетчером авторизации.
572 Диспетчер администрирования инициализировал приложение.
772 Диспетчер сертификатов отклонил ожидающий запрос сертификата.
773 Службы сертификации получили повторно отправленный запрос сертификата.
774 Службы сертификации отозвали сертификат.
775 Службы сертификации получили запрос на публикацию списка отзыва сертификатов (CRL).
776 Службы сертификации опубликовали список отзыва сертификатов.
777 Продлен срок действия запроса сертификата.
778 Изменены один или несколько атрибутов запроса сертификата.
779 Службы сертификации получили запрос на завершение работы.
780 Начато резервное копирование служб сертификации.
781 Резервное копирование служб сертификации завершено.
782 Начато восстановление служб сертификации.
783 Восстановление служб сертификации завершено.
784 Службы сертификации запущены.
785 Службы сертификации остановлены.
786 Изменены разрешения безопасности для служб сертификации.
787 Службы сертификации получили заархивированный ключ.
788 Службы сертификации импортировали сертификат в базу данных.
789 Изменен фильтр аудита для служб сертификации.
790 Службы сертификации получили запрос сертификата.
791 Службы сертификации удовлетворили запрос сертификата и выпустили сертификат.
792 Службы сертификации отклонили запрос сертификата.
793 Службы сертификации назначили запросу сертификата статус ожидающего.
794 Изменены параметры диспетчера сертификатов служб сертификации.
795 Изменена конфигурационная запись в службах сертификации.
796 Изменено свойство служб сертификации.
797 Службы сертификации выполнили архивацию ключа.
798 Службы сертификации выполнили импорт и архивацию ключа.
799 Службы сертификации опубликовали сертификат центра сертификации (CA) для службы Active Directory.
800 Из базы данных сертификатов удалена одна или несколько строк.
801 Включено разделение ролей.
#### Аудит изменения политики Этот параметр политики определяет необходимость аудита каждого изменения политик назначения прав пользователям, политик доверия или самой политики аудита. Если параметр **Аудит изменения политики** настроен для регистрации значений **Успех**, запись аудита создается при каждом успешном изменении политик назначения прав пользователям, политик доверия или политик аудита. Если этот параметр политики настроен для регистрации значений **Отказ**, запись аудита создается при каждой неудачной попытке изменения политик назначения прав пользователям, политик доверия или политик аудита. Рекомендованный способ настройки этого параметра позволяет узнать, какие привилегии учетной записи злоумышленник пытается повысить или получить (например привилегии **Отладка программ** или **Архивация файлов и каталогов**). Параметр **Аудит изменения политики** настроен для регистрации значений **Успех** в базовых политиках всех трех сред, определенных в данном руководстве. При значении **Отказ** никакие полезные события в настоящее время не регистрируются. В таблице ниже приведены важные события безопасности, которые регистрируются в журнале безопасности, если задан этот параметр политики. **Таблица 4.7. События аудита изменения политики**
Код события Описание события
608 Предоставлено право пользователя.
609 Удалено право пользователя.
610 Создано доверительное отношение с другим доменом.
611 Удалено доверительное отношение с другим доменом.
612 Изменена политика аудита.
613 Запущен агент политики IPsec.
614 Отключен агент политики IPsec.
615 Изменен агент политики IPsec.
616 Агент политики IPsec обнаружил потенциально серьезный сбой.
617 Изменена политика Kerberos версии 5.
618 Изменена политика восстановления зашифрованных данных.
620 Изменено доверительное отношение с другим доменом.
621 Учетной записи предоставлен доступ к системе.
622 Для учетной записи заблокирован доступ к системе.
623 Политика аудита задана для каждого пользователя.
625 Политика аудита обновлена для каждого пользователя индивидуально.
768     Зарегистрирован конфликт между элементом пространства имен в одном лесу и элементом пространства имен в другом лесу. Примечание. Если элементы пространства имен в одном лесу перекрываются с элементами пространства имен в другом лесу, возможна неоднозначность разрешения имен элементов. Это перекрытие также называют конфликтом. Каждый тип записей поддерживает не все параметры. Например, запись типа «TopLevelName» не поддерживает такие поля, как DNS-имя, NetBIOS-имя и ИД безопасности.
769     Добавлены сведения о доверенном лесе. Примечание. Это сообщение о событии регистрируется при обновлении сведений о доверенных лесах и при добавлении одной или нескольких записей. Для каждой добавленной, удаленной или измененной записи создается одно сообщение о событии. Если за одну операцию обновления сведений о доверенных лесах выполняется добавление, удаление или изменение нескольких записей, всем созданным сообщениям о событиях назначается один уникальный идентификатор, называемый идентификатором операции. Это позволяет определить, что несколько сообщений о событиях были созданы в ходе одной операции. Каждый тип записей поддерживает не все параметры. Например, запись типа «TopLevelName» не поддерживает такие поля, как DNS-имя, NetBIOS-имя и SID.
770     Удалены сведения о доверенном лесе. Примечание. См. описание события 769.
771     Изменены сведения о доверенном лесе. Примечание. См. описание события 769.
805 Служба журнала событий прочитала конфигурацию журнала безопасности для сеанса.
#### Аудит использования привилегий Этот параметр политики определяет необходимость аудита каждого применения права пользователя. Если параметр **Аудит использования привилегий** настроен на регистрацию значений типа **Успех**, запись аудита создается при каждом успешном применении права пользователя. Если этот параметр настроен на регистрацию значений типа **Отказ**, запись аудита создается при каждой неудачной попытке применения права пользователя. При применении указанных ниже прав пользователя аудит не записывается, даже если задан параметр **Аудит использования привилегий**, поскольку для этих прав регистрируется большое число событий в журнале безопасности. Аудит следующих прав пользователя отрицательно сказывался бы на производительности компьютеров: - Обход перекрестной проверки - Отладка программ - Создание маркерного объекта - Замена маркера уровня процесса - Создание аудитов безопасности - Архивация файлов и каталогов - Восстановление файлов и каталогов **Примечание**. Если нужно осуществлять аудит этих прав, необходимо включить в групповой политике параметр **Аудит: аудит прав на архивацию и восстановление**. В базовых политиках сред LC и EC параметр **Аудит использования привилегий** имеет значение по умолчанию **Нет аудита**. Однако в базовой политике среды SSLF этот параметр политики настроен на регистрацию значений типа **Отказ**. Неудачное использование права пользователя свидетельствует об общей проблеме с сетью и часто указывает на попытку атаки. Присваивать параметру **Аудит использования привилегий** значение **Включен** следует только при наличии конкретных деловых причин. В таблице ниже приведены важные события безопасности, которые регистрируются в журнале безопасности, если задан этот параметр. **Таблица 4.8. События использования привилегий**
Код события Описание события
576     В маркер доступа пользователя добавлены указанные привилегии. Примечание. Это событие регистрируется при входе пользователя в систему.
577 Пользователь попытался выполнить привилегированную операцию системной службы.
578 Привилегии использованы для уже открытого дескриптора защищенного объекта.
#### Аудит отслеживания процессов Этот параметр политики определяет необходимость аудита подробной информации о таких событиях, как активация программ, завершение процессов, дублирование дескрипторов и косвенный доступ к объектам. Если этот параметр настроен на регистрацию значений типа **Успех**, запись аудита создается при каждой операции, успешно выполненной отслеживаемым процессом. Если этот параметр настроен на регистрацию значений типа **Отказ**, запись аудита создается при каждой неудачной попытке выполнения операции отслеживаемым процессом. Если параметр **Аудит отслеживания процессов** задан, регистрируется большое количество событий, поэтому обычно ему присваивают значение **Нет аудита**. Это справедливо для базовых политик всех трех сред, определенных в данном руководстве. Однако этот параметр может оказаться очень полезным при реагировании на инциденты, потому что он позволяет получить подробные сведения о запущенных процессах и времени запуска каждого из них. В таблице ниже приведены важные события безопасности, которые регистрируются в журнале безопасности, если задан этот параметр. **Таблица 4.9. События отслеживания процессов**
Код события Описание события
592 Создан процесс.
593 Процесс завершил работу.
594 Продублирован дескриптор объекта.
595 Получен косвенный доступ к объекту.
596     Выполнено резервное копирование главного ключа защиты данных. Примечание. Главный ключ используется процедурами CryptProtectData и CryptUnprotectData, а также файловой системой EFS. Резервная копия главного ключа создается при каждом создании нового главного ключа (по умолчанию это выполняется каждые 90 дней). Резервное копирование ключа обычно осуществляется на контроллере домена.
597 Главный ключ защиты данных восстановлен с помощью сервера восстановления.
598 Включена защита данных, для которых проводится аудит.
599 Отключена защита данных, для которых проводится аудит.
600 Процессу назначен основной маркер.
601 Пользователь попытался установить службу.
602 Создано задание планировщика.
#### Аудит системных событий Этот параметр политики определяет необходимость аудита, когда пользователь перезагружает или выключает компьютер, либо когда происходит событие, влияющее на безопасность или журнал безопасности компьютера. Если этот параметр настроен на регистрацию значений типа **Успех**, запись аудита создается при успешном выполнении системного события. Если этот параметр настроен на регистрацию значений типа **Отказ**, запись аудита создается при неудачной попытке выполнения системного события. В следующей таблице приведены наиболее значительные события успеха для этого параметра. **Таблица 4.10. Сообщения о системных событиях для аудита системных событий**
Код события Описание события
512 Запуск системы Windows.
513 Завершение работы системы Windows.
514 Локальным администратором безопасности загружен пакет проверки подлинности.
515 Локальным администратором безопасности зарегистрирован доверенный процесс входа в систему.
516 Внутренние ресурсы, выделенные очереди сообщений о событиях безопасности, исчерпались, что привело к утрате некоторых сообщений о событиях безопасности.
517 Очищен журнал аудита.
518 Диспетчером учетных записей безопасности загружен пакет уведомлений.
519 Пытаясь выполнить олицетворение клиента и отправить ответ или считать данные из адресного пространства клиента или записать их в него, процесс использует неправильный порт локального вызова процедур (LPC).
520     Изменено системное время. Примечание. Этот тип аудита обычно выполняется дважды.

К началу страницы

Назначение прав пользователя

Функция назначения прав пользователя позволяет предоставлять пользователям права входа в систему или привилегии на компьютерах в организации. В качестве примера права входа в систему можно привести право на интерактивный вход в систему. Примером привилегии может служить право на выключение компьютера. И права входа в систему, и привилегии назначаются администраторами отдельным пользователям или группам при настройке параметров безопасности компьютера.

Примечание. В данном разделе значение «Не определен» относится только к пользователям; администраторы в любом случае имеют соответствующее право пользователя. Локальные администраторы могут изменять эти настройки, но при очередном обновлении или применении групповых политик они будут переопределены параметрами групповых политик домена.

В Windows Server 2003 с пакетом обновления 1 параметры назначения прав пользователя можно настроить в следующем разделе редактора объектов групповой политики:

Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\ Локальные политики\Назначение прав пользователя

Права, назначаемые пользователям по умолчанию, различаются в зависимости от типа сервера в организации. Например, система Windows Server 2003 назначает разные права встроенным группам на рядовых серверах и контроллерах домена (сходства между встроенными группами на серверах разных типов в следующем списке не указаны).

  • Рядовые серверы

    • Опытные пользователи. Члены этой группы имеют большинство административных прав с некоторыми ограничениями. Помимо приложений, сертифицированных для систем Windows Server 2003 с пакетом обновления 1 и Windows XP, опытные пользователи также могут запускать унаследованные приложения.

    • HelpServicesGroup. Эта группа создана для сотрудников центра справки и поддержки. Учетная запись Support_388945a0 является по умолчанию членом этой группы.

    • TelnetClients. Члены этой группы имеют доступ к серверу Telnet в сети.

  • Контроллеры домена

    • Операторы сервера. Члены этой группы могут администрировать серверы домена.

    • Terminal Server License Services. Члены этой группы имеют доступ к серверам лицензий серверов терминалов в сети.

    • Группа авторизации доступа Windows.** **Члены этой группы имеют доступ к вычисляемому атрибуту tokenGroupsGlobalAndUniversal объектов пользователей.

Члены группы Гости, а также учетные записи «Гость» и Support_388945a0 имеют уникальные идентификаторы безопасности для различных доменов. Таким образом, на компьютере, на котором есть только конкретная целевая группа, может потребоваться изменение этой групповой политики для назначения прав пользователя. Вместо этого можно также по отдельности отредактировать шаблоны политики для включения соответствующих групп в файлы INF. Например, в тестовой среде можно создать групповую политику контроллера домена на контроллере домена.

Примечание. Из-за уникальных идентификаторов безопасности членов группы Гости и учетных записей Support_388945a0 и «Гость» настройку некоторых параметров, используемых для усиления защиты серверов, нельзя автоматизировать с помощью шаблонов безопасности, входящих в состав данного руководства. Эти параметры описаны ниже, в разделе «Дополнительные параметры безопасности».

В данном разделе описаны рекомендованные настройки параметров назначения прав пользователя в базовых политиках рядовых серверов для всех трех сред, определенных в данном руководстве. Обзорные сведения о настройках, рекомендованных в этом разделе, см. в рабочей книге Microsoft Excel «Параметры безопасности Windows Server 2003», прилагаемой к версии данного руководства, которую можно загрузить из Интернета. Сведения о параметрах по умолчанию и подробное описание каждого параметра, упоминаемого в этом разделе, см. в дополнительном руководстве Угрозы и меры противодействия: параметры безопасности в Windows Server 2003 и Windows XP.

В следующей таблице приведены рекомендации по назначению прав пользователя для всех трех сред, определенных в данном руководстве. Дополнительные сведения о каждом параметре приведены в подразделах, следующих за таблицей.

Таблица 4.11. Рекомендации по назначению прав пользователя

Параметр Среда устаревших клиентов Среда корпоративных клиентов Специальная безопасная среда с ограниченной функциональностью
Доступ к компьютеру из сети Не определен Не определен «Администраторы», «Прошедшие проверку», «КОНТРОЛЛЕРЫ ДОМЕНА ПРЕДПРИЯТИЯ»
Работа с правами элемента операционной системы. Не определен Не определен Никто
Настройка квот памяти для процесса Не определен Не определен «Администраторы», «СЕТЕВАЯ СЛУЖБА», «ЛОКАЛЬНАЯ СЛУЖБА»
Локальный вход в систему «Администраторы», «Операторы архива», «Опытные пользователи» «Администраторы», «Операторы архива», «Опытные пользователи» «Администраторы»
Разрешать вход в систему через службу терминалов «Администраторы», «Пользователи удаленного рабочего стола» «Администраторы», «Пользователи удаленного рабочего стола» «Администраторы»
Архивация файлов и каталогов Не определен Не определен «Администраторы»
Обход перекрестной проверки Не определен Не определен «Прошедшие проверку»
Изменение системного времени Не определен Не определен «Администраторы»,
«ЛОКАЛЬНАЯ СЛУЖБА»
Создание файла подкачки Не определен Не определен «Администраторы»
Создание маркерного объекта Не определен Не определен Никто
Создание глобальных объектов Не определен Не определен «Администраторы», «СЛУЖБА»
Создание постоянных общих объектов Не определен Не определен Никто
Отладка программ Не определен «Администраторы» Никто
Отказ в доступе к компьютеру из сети «Анонимный вход», «Гости», Support_388945a0, все учетные записи служб, не относящихся к операционной системе «Анонимный вход», «Гости», Support_388945a0, все учетные записи служб, не относящихся к операционной системе «Анонимный вход», «Гости», Support_388945a0, все учетные записи служб, не относящихся к операционной системе
Отказ во входе в качестве пакетного задания «Гости», Support_388945a0 «Гости», Support_388945a0 «Гости», Support_388945a0
Отказать во входе в качестве службы Не определен Не определен Никто
Отклонить локальный вход Не определен Не определен «Гости», Support_388945a0
Запретить вход в систему через службу терминалов «Гости» «Гости» «Гости»
Разрешение доверия к учетным записям компьютеров и пользователей при делегировании Не определен Не определен «Администраторы»
Принудительное удаленное завершение работы Не определен Не определен «Администраторы»
Создание аудитов безопасности Не определен Не определен «СЕТЕВАЯ СЛУЖБА», «ЛОКАЛЬНАЯ СЛУЖБА»
Олицетворять клиент после проверки подлинности Не определен Не определен «Администраторы», «СЛУЖБА»
Увеличение приоритета выполнения Не определен Не определен «Администраторы»
Загрузка и выгрузка драйверов устройств Не определен Не определен «Администраторы»
Блокировка страниц в памяти Не определен Не определен Никто
Вход в систему в качестве пакетного задания Не определен Не определен Не определен
Вход в качестве службы Не определен Не определен «СЕТЕВАЯ СЛУЖБА»
Управление аудитом и журналом безопасности Не определен Не определен «Администраторы»
Изменение параметров среды изготовителя Не определен Не определен «Администраторы»
Выполнение задач по обслуживанию томов Не определен Не определен «Администраторы»
Профилирование отдельного процесса Не определен Не определен «Администраторы»
Профилирование производительности системы Не определен Не определен «Администраторы»
Отключение компьютера от стыковочного узла Не определен Не определен «Администраторы»
Замена маркера уровня процесса Не определен Не определен «ЛОКАЛЬНАЯ СЛУЖБА», «СЕТЕВАЯ СЛУЖБА»
Восстановление файлов и каталогов Не определен Не определен «Администраторы»
Завершение работы системы Не определен Не определен «Администраторы»
Синхронизация данных службы каталогов Не определен Не определен Никто
Смена владельцев файлов и других объектов Не определен Не определен «Администраторы»
#### Доступ к компьютеру из сети Этот параметр политики определяет пользователей и группы, которым разрешено подключаться к компьютеру по сети. Он необходим для работы ряда сетевых протоколов, в том числе протоколов, основанных на блоке сообщений сервера (SMB), протоколов NetBIOS, CIFS (Common Internet File System), HTTP и COM+ (Component Object Model Plus). В средах LC и EC параметру **Доступ к компьютеру из сети** присваивается значение **Не определен**. Несмотря на то, разрешения, назначенные группе безопасности **Все** в Windows Server 2003 с пакетом обновления 1, больше не предоставляют доступ к системе анонимным пользователям, гостевым группам и учетным записям, его все же можно предоставить с помощью группы **Все**. Поэтому в среде SSLF группе безопасности **Все** отказано в праве **Доступ к компьютеру из сети**. Это улучшает защиту от атак, основанных на получении гостевого доступа к домену. В среде SSLF это право пользователя предоставляется только группам **Администраторы**, **Прошедшие проверку** и **КОНТРОЛЛЕРЫ ДОМЕНА ПРЕДПРИЯТИЯ**. #### Работа с правами элемента операционной системы. Этот параметр политики определяет, может ли процесс присваивать учетные данные любого пользователя и таким образом получать доступ к ресурсам, которые доступны пользователю. Как правило, это право пользователя необходимо только низкоуровневым службам проверки подлинности. В средах LC и EC параметру **Работа с правами элемента операционной системы** присваивается значение **Не определен**. Однако в среде SSLF этому параметру присваивается значение NULL или пустое значение, то есть данное право не предоставляется никаким группам безопасности и учетным записям. #### Настройка квот памяти для процесса Этот параметр политики определяет, кто может изменять максимальный объем памяти, доступной процессу. Это право пользователя полезно при настройке системы, но им можно злоупотребить. Хакеры могут воспользоваться этим правом для проведения атак типа «отказ в обслуживании». В средах LC и EC параметру **Настройка квот памяти для процесса** присваивается значение **Не определен**. В среде SSLF это право пользователя назначается членам группы **Администраторы**, а также учетным записям «СЕТЕВАЯ СЛУЖБА» и «ЛОКАЛЬНАЯ СЛУЖБА». #### Локальный вход в систему Этот параметр политики определяет пользователей, которым разрешено интерактивно входить в указанную систему. Это право пользователя необходимо для входа в систему после нажатия клавиш CTRL+ALT+DEL. Войти в локальную консоль компьютера можно с любой учетной записью, которой предоставлено это право пользователя. В средах LC и EC право пользователя **Локальный вход в систему** назначается только членам групп **Администраторы**, **Операторы архива** и **Опытные пользователи**. Это помогает блокировать доступ к системе неавторизованных пользователей, которые могут попытаться повысить свои привилегии или заразить среду вирусами. В среде SSLF это право пользователя назначается только членам группы **Администраторы**. #### Разрешать вход в систему через службу терминалов Этот параметр политики определяет, какие пользователи или группы имеют право входить в систему в качестве клиента службы терминалов. В средах LC и EC право пользователя **Разрешать вход в систему через службу терминалов** назначается только членам групп **Администраторы** и **Пользователи удаленного рабочего стола**. В среде SSLF оно назначается только членам группы **Администраторы**. #### Архивация файлов и каталогов Этот параметр политики определяет, могут ли пользователи игнорировать разрешения на работу с файлами и каталогами с целью резервного копирования данных на компьютере. Он используется только в том случае, если приложение пытается получить доступ к файлам или каталогам через API резервного копирования NTFS с помощью программы резервного копирования, такой как NTBACKUP.EXE. В остальных ситуациях применяются обычные разрешения на работу с файлами и каталогами. В средах LC и EC параметру **Архивация файлов и каталогов** присваивается значение **Не определен**. В среде SSLF это право пользователя назначается только членам группы **Администраторы**. #### Обход перекрестной проверки Этот параметр политики определяет, могут ли пользователи выполнять обзор папок при работе с файловой системой NTFS или реестром без проверки специального разрешения на доступ «Обзор папок». Данное право позволяет пользователям только выполнять обзор каталогов, но не просматривать их содержимое. В средах LC и EC параметру **Обход перекрестной проверки** присваивается значение **Не определен**. В среде SSLF это право пользователя назначается только членам группы **Прошедшие проверку**. #### Изменение системного времени Этот параметр политики определяет, какие пользователи могут изменять показания (время и дату) внутренних часов компьютера. Пользователи, имеющие это право, могут влиять на содержимое журналов событий, так как записываемые в них метки времени определяются по показаниям внутренних часов компьютера. Если изменить на компьютере время, сведения в журналах не будут отражать действительное время регистрации событий. В средах LC и EC параметру **Изменение системного времени** присваивается значение **Не определен**. В среде SSLF это право пользователя назначается только членам группы **Администраторы** и учетной записи **Локальная служба**. **Примечание**. Несоответствие времени на локальном компьютере и контроллерах домена может вызвать проблемы с протоколом проверки подлинности Kerberos, что сделает невозможным вход пользователей в домен или получение разрешения на доступ к ресурсам домена после входа. #### Создание файла подкачки Этот параметр политики определяет, могут ли пользователи создавать и изменять размер файлов подкачки. Это можно сделать, указав размер файла подкачки для конкретного диска в поле **Параметры быстродействия**, доступном на вкладке **Дополнительно** диалогового окна **Свойства системы**. В средах LC и EC параметру **Создание файла подкачки** присваивается значение **Не определен**. В среде SSLF это право пользователя назначается только членам группы **Администраторы**. #### Создание маркерного объекта Этот параметр политики определяет, может ли процесс создать маркер, позволяющий получить доступ к любым локальным ресурсам с помощью NtCreateToken() или других API создания маркеров. В средах LC и EC параметру **Создание маркерного объекта** присваивается значение **Не определен**. Однако в среде SSLF этому параметру политики присваивается значение NULL или пустое значение, то есть данное право не предоставляется никаким группам безопасности или учетным записям. #### Создание глобальных объектов Этот параметр политики позволяет пользователям создавать глобальные объекты, доступные во всех сеансах. Не имея этого права, пользователи все же могут создавать объекты, специфичные для их сеансов. В средах LC и EC параметру **Создание глобальных объектов** присваивается значение **Не определен**. В среде SSLF это право пользователя назначается только членам групп **СЛУЖБА** и **Администраторы**. #### Создание постоянных общих объектов Этот параметр политики определяет, могут ли пользователи создавать в диспетчере объектов объекты каталога, в том числе общие папки и принтеры. Это право повышает эффективность работы компонентов режима ядра, расширяющих пространство имен. Данное право изначально предоставлено этим компонентам, поэтому специально назначать его пользователям обычно не требуется. В средах LC и EC параметру **Создание постоянных общих объектов** присваивается значение **Не определен**. Однако в среде SSLF этому параметру политики присваивается значение NULL или пустое значение, то есть данное право не предоставляется никаким группам безопасности или учетным записям. #### Отладка программ Этот параметр политики определяет, какие пользователи могут подключать отладчик к любому процессу или ядру. Он предоставляет полный доступ к важнейшим компонентам операционной системы. В рабочих средах отлаживать программы не следует. Это допускается только в крайних случаях, например при необходимости устранения неполадок в работе критически важного приложения, которое невозможно эффективно проверить в тестовой среде. В среде LC параметру **Отладка программ** присваивается значение **Не определен**. В среде EC это право пользователя назначается только членам группы **Администраторы**. Однако в среде SSLF этому параметру политики присваивается значение NULL или пустое значение, то есть данное право не предоставляется никаким группам безопасности или учетным записям. **Примечание**. В системе Windows Server 2003 с пакетом обновления 1 удаление права пользователя **Отладка программ** может сделать невозможным использование службы Windows Update. Однако исправления по-прежнему можно будет загружать вручную и устанавливать или применять иным образом. Удаление этого права пользователя может также отрицательно сказаться на работе службы кластеров. Дополнительные сведения см. в статье базы знаний Майкрософт [Применение более строгих параметров безопасности на сервере кластера Windows Server 2003](http://support.microsoft.com/?kbid=891597) по адресу http://support.microsoft.com/?kbid=891597 (на английском языке). #### Отказ в доступе к компьютеру из сети **Примечание**. Учетные записи «Анонимный вход», Support\_388945a0, «Гость», встроенная учетная запись администратора и все учетные записи служб не операционной системы не включены в шаблон безопасности (файл с расширением INF). Эти учетные записи и группы имеют уникальные идентификаторы безопасности для каждого домена в организации. Поэтому их необходимо добавлять вручную. Дополнительные сведения см. в разделе «Усиление защиты вручную» в конце этой главы. Этот параметр политики определяет, кому из пользователей будет отказано в доступе к компьютеру из сети. Он не позволяет использовать ряд сетевых протоколов, включая протоколы, основанные на SMB, а также протоколы NetBIOS, CIFS, HTTP и COM+. Данный параметр переопределяет параметр **Доступ к компьютеру из сети**, если к учетной записи пользователя применяются оба параметра. Во всех трех средах, определенных в данном руководстве, право пользователя **Отказ в доступе к компьютеру из сети** назначается членам группы **Гости**, учетным записям «Анонимный вход», Support\_388945a0 и всем учетным записям служб, не входящих в состав операционной системы. Задание этого параметра политики для других групп может ограничить возможности пользователей, которым назначены те или иные административные роли. Задавая этот параметр, убедитесь в том, что это не будет препятствовать выполнению других делегированных задач. #### Отказ во входе в систему в качестве пакетного задания **Примечание**. Учетные записи «Анонимный вход», Support\_388945a0, «Гость», встроенная учетная запись администратора и все учетные записи служб не операционной системы не включены в шаблон безопасности (файл с расширением INF). Эти учетные записи и группы имеют уникальные идентификаторы безопасности для каждого домена в организации. Поэтому их необходимо добавлять вручную. Дополнительные сведения см. в разделе «Усиление защиты вручную» в конце этой главы. Этот параметр политики определяет, каким учетным записям будет отказано во входе в систему в качестве пакетного задания. Пакетное задание — это не пакетный файл (BAT), а средство пакетной очереди. Это право пользователя необходимо учетным записям, планирующим выполнение заданий с помощью планировщика заданий. Право пользователя **Отказ во входе в систему в качестве пакетного задания** переопределяет право **Вход в систему в качестве пакетного задания**, которое позволяет разрешать учетным записям планировать выполнение заданий, требовательных к системным ресурсам. Это может привести к отказу в обслуживании. По этой причине в базовых политиках всех трех сред, определенных в данном руководстве, право пользователя **Отказ во входе в систему в качестве пакетного задания** назначается членам группы **Гости** и учетной записи пользователя Support\_388945a0. Если не назначить данное право пользователя рекомендованным учетным записям, в защите системы могут появиться уязвимости. #### Отказать во входе в качестве службы Этот параметр политики определяет возможность запуска служб в контексте указанной учетной записи. В средах LC и EC параметру **Отказать во входе в качестве службы** присваивается значение **Не определен**. Однако в среде SSLF этому параметру политики присваивается значение NULL или пустое значение, то есть данное право не предоставляется никаким группам безопасности или учетным записям. #### Отклонить локальный вход Этот параметр политики определяет, могут ли пользователи входить в систему непосредственно с клавиатуры компьютера. В средах EC и LC параметру **Отклонить локальный вход** присваивается значение **Не определен**. В среде SSLF это право пользователя назначается только членам группы **Гости** и учетной записи пользователя Support\_388945a0. Если не назначить данное право пользователя рекомендованным учетным записям, в защите системы могут появиться уязвимости. #### Запретить вход в систему через службу терминалов **Примечание**. Учетные записи «Анонимный вход», Support\_388945a0, «Гость», встроенная учетная запись администратора и все учетные записи служб не операционной системы не включены в шаблон безопасности (файл с расширением INF). Эти учетные записи и группы имеют уникальные идентификаторы безопасности для каждого домена в организации. Поэтому их необходимо добавлять вручную. Дополнительные сведения см. в разделе «Усиление защиты вручную» в конце этой главы. Данный параметр политики определяет, могут ли пользователи входить в систему как клиенты службы терминалов. После включения базового рядового сервера в среду домена нет необходимости использовать локальные учетные записи для доступа к серверу из сети. И администраторы, и конечные пользователи могут делать это с помощью учетных записей домена. Во всех трех средах, определенных в данном руководстве, право пользователя **Запретить вход в систему через службу терминалов** назначается членам группы **Гости**, чтобы они не могли входить в систему через службу терминалов. #### Разрешение доверия к учетным записям компьютеров и пользователей при делегировании Этот параметр политики определяет, могут ли пользователи изменять параметр **Делегирование разрешено** для объектов пользователей или компьютеров в Active Directory. Пользователи или компьютеры, которым назначено это право, должны также иметь доступ к управляющим флагам объекта с правом на запись. Неправильное применение этого права пользователя в некоторых случаях делает возможным несанкционированное олицетворение других пользователей в сети. В средах LC и EC параметру **Разрешение доверия к учетным записям компьютеров и пользователей при делегировании** присваивается значение **Не определен**. В среде SSLF это право пользователя назначается только членам группы **Администраторы**. #### Принудительное удаленное завершение работы Этот параметр политики определяет, могут ли пользователи удаленно завершать работу компьютеров по сети. Любой пользователь, которому разрешено завершать работу компьютера, может вызвать отказ в обслуживании. Таким образом, назначение данного права пользователям следует строго ограничить. В средах LC и EC параметру **Принудительное удаленное завершение работы** присваивается значение **Не определен**. В среде SSLF это право пользователя назначается только членам группы **Администраторы**. #### Создание аудитов безопасности Этот параметр политики определяет, может ли процесс создавать записи аудита в журнале безопасности. Журнал безопасности позволяет следить за попытками несанкционированного доступа к системе, поэтому учетные записи, имеющие право на запись в журнал безопасности, могут использоваться злоумышленниками для заполнения журнала бессмысленными записями. Если компьютер настроен так, что сообщения о событиях перезаписываются по мере необходимости, хакер может воспользоваться этим для сокрытия своих следов. Если же компьютер настроен на выключение при невозможности записи в журнал событий, это создает условия для проведения атак типа «отказ в обслуживании». В средах LC и EC параметру **Создание аудитов безопасности** присваивается значение **Не определен**. В среде SSLF это право пользователя назначается только учетным записям «СЕТЕВАЯ СЛУЖБА» и «ЛОКАЛЬНАЯ СЛУЖБА».   #### Олицетворять клиент после проверки подлинности Этот параметр политики определяет, могут ли приложения, выполняемые от имени пользователя, прошедшего проверку подлинности, осуществлять олицетворение клиентов. Если для этого необходимо данное право, неавторизованный пользователь не сможет убедить клиента подключиться (например, путем удаленного вызова процедуры (RPC) или через именованные каналы) к созданной для олицетворения этого клиента службе с целью повышения разрешений до административного или системного уровня. В средах LC и EC параметру **Олицетворять клиент после проверки подлинности** присваивается значение **Не определен**. В среде SSLF это право пользователя назначается только членам группы **Администраторы** и учетной записи «СЛУЖБА». #### Увеличение приоритета выполнения Этот параметр политики определяет, могут ли пользователи увеличивать базовый класс приоритета процесса. Увеличение относительного приоритета в пределах класса приоритета не является привилегированной операцией. Административные средства, прилагаемые к операционной системе, не нуждаются в этом праве пользователя, однако оно может требоваться средствам разработки ПО. Пользователь, имеющий это право, может назначить процессу приоритет реального времени, передав ему ресурсы других процессов. Это может привести к отказу в обслуживании. В средах LC и EC параметру **Увеличение приоритета выполнения** присваивается значение **Не определен**. В среде SSLF это право пользователя назначается только членам группы **Администраторы**. #### Загрузка и выгрузка драйверов устройств Этот параметр политики определяет, кому из пользователей разрешается динамически загружать и выгружать драйверы устройств. Если подписанный драйвер нового устройства уже есть на компьютере в файле Driver.cab, это право не требуется. Драйверы устройства выполняются как код с высокими привилегиями. Пользователь, имеющий право **Загрузка и выгрузка драйверов устройств**, может умышленно или случайно установить на компьютер вредоносную программу, замаскированную под драйвер устройства. Администраторам следует внимательнее следить за этим и устанавливать драйверы только при наличии проверенных цифровых подписей. В средах LC и EC параметру **Загрузка и выгрузка драйверов устройств** присваивается значение **Не определен**. В среде SSLF это право пользователя назначается только членам группы **Администраторы**. #### Блокировка страниц в памяти Этот параметр политики определяет, может ли процесс хранить данные в физической памяти, что предотвращает сброс данных в виртуальную память на диске. Сброс данных в виртуальную память может значительно ухудшать производительность системы. Пользователи, имеющие это право, могут предоставить всю или почти всю физическую память нескольким процессам, не оставив ее другим процессам и вызвав отказ в обслуживании. В средах LC и EC параметру **Блокировка страниц в памяти** присваивается значение **Не определен**. Однако в среде SSLF этому параметру политики присваивается значение NULL или пустое значение, то есть данное право не предоставляется никаким группам безопасности или учетным записям. #### Вход в качестве службы Этот параметр политики определяет, может ли участник безопасности войти в систему в качестве службы. Службы можно настроить для работы в контексте учетных записей «Локальная система», «Локальная служба» или «Сетевая служба», которые изначально имеют права на вход в систему в качестве службы. Это право пользователя необходимо назначить каждой службе, работающей в контексте отдельной учетной записи пользователя. В средах LC и EC параметру **Вход в качестве службы** присваивается значение **Не определен**. В среде SSLF это право пользователя назначается только учетной записи Network Service. #### Управление аудитом и журналом безопасности Этот параметр политики** **определяет, могут ли пользователи задавать параметры аудита доступа к объектам для отдельных ресурсов, таких как файлы, объекты Active Directory и разделы реестра. Это право предоставляет широкие возможности, и за ним нужно тщательно следить. Любой пользователь, имеющий это право, может очистить журнал безопасности, удалив важные сведения о несанкционированных действиях. В средах LC и EC параметру **Управление аудитом и журналом безопасности** присваивается значение **Не определен**. В среде SSLF это право пользователя назначается только членам группы **Администраторы**. **Внимание!** Microsoft **Exchange Server 2003** во время установки изменяет это право пользователя в политике контроллеров домена, действующей по умолчанию. Дополнительные сведения см. в статье [Развертывание Exchange Server 2003](http://www.microsoft.com/technet/prodtechnol/exchange/guides/e2k3adperm/110e37bf-a68c-47bb-b4d5-1cfd539d9cba.mspx) по адресу www.microsoft.com/technet/prodtechnol/exchange/guides/E2k3ADPerm/ 110e37bf-a68c-47bb-b4d5-1cfd539d9cba.mspx (на английском языке). Если это право пользователя имеют только члены группы «Администраторы», Exchange Server записывает в журнал событий приложений большое количество сообщений об ошибках. Если используется **Exchange Server 2003**, необходимо настроить значение этого параметра для контроллеров домена. Возможно, для обеспечения нормальной работы приложений организации придется несколько изменить конфигурацию параметров. Это относится ко всем параметрам, описываемым в данном руководстве. #### Изменение параметров среды изготовителя Этот параметр политики определяет возможность изменения переменных среды компьютера процессами (с помощью API) или пользователями (с помощью **свойств системы**). Любой пользователь, имеющий это право, может настроить параметры аппаратного компонента так, что это приведет к сбою в его работе. Следствием сбоя может быть искажение данных или отказ в обслуживании. В средах LC и EC параметру **Изменение значений параметров аппаратной среды** присваивается значение **Не определен**. В среде SSLF это право пользователя назначается только членам группы **Администраторы**. #### Выполнение задач по обслуживанию томов Этот параметр политики определяет, могут ли пользователи без прав администратора или удаленные пользователи управлять томами или дисками. Пользователь, имеющий это право, может удалить том, вызвав утрату данных или отказ в обслуживании. В средах LC и EC параметру **Выполнение задач по обслуживанию томов** присваивается значение **Не определен**. В среде SSLF это право пользователя назначается только членам группы **Администраторы**. #### Профилирование отдельного процесса Этот параметр политики определяет, каким пользователям разрешено использовать средства для наблюдения за производительностью несистемных процессов. Это право пользователя подвергает систему умеренному риску, позволяя хакеру следить за производительностью компьютера с целью определения критически важных процессов, которые можно попытаться атаковать непосредственно. Хакер может также узнать, какие процессы выполняются на компьютере, и выяснить благодаря этому, чего ему следует остерегаться, например антивирусных программ, системы обнаружения вторжений или других пользователей, вошедших в систему. В средах LC и EC параметру **Профилирование отдельного процесса** присваивается значение **Не определен**. В среде SSLF ради улучшения защиты нужно убедиться в том, что это право не назначено группе **Опытные пользователи**; в этой среде им должны обладать только члены группы **Администраторы**. #### Профилирование производительности системы Этот параметр политики похож на предыдущий. Он определяет, могут ли пользователи следить за производительностью системных процессов. Это право пользователя подвергает систему умеренному риску, позволяя хакеру следить за производительностью компьютера с целью определения критически важных процессов, которые можно попытаться атаковать непосредственно. Хакер может также узнать, какие процессы выполняются на компьютере, и выяснить благодаря этому, чего ему следует остерегаться, например антивирусных программ или системы обнаружения вторжений. В средах LC и EC параметру **Профилирование производительности системы** присваивается значение **Не определен**. В среде SSLF это право пользователя назначается только членам группы **Администраторы**. #### Отключение компьютера от стыковочного узла Этот параметр политики определяет, может ли пользователь портативного компьютера отключить его от стыковочного узла, выбрав пункт **Извлечь компьютер** в меню **Пуск**. Любой пользователь, имеющий это право, может отключить портативный компьютер от стыковочного узла. В средах LC и EC параметру **Отключение компьютера от стыковочного узла** присваивается значение **Не определен**. В среде SSLF это право пользователя назначается только членам группы **Администраторы**. #### Замена маркера уровня процесса Этот параметр политики определяет, может ли родительский процесс заменить маркер доступа, сопоставленный с дочерним процессом. В средах LC и EC параметру **Замена маркера уровня процесса** присваивается значение **Не определен**. В среде SSLF это право пользователя назначается только учетным записям «ЛОКАЛЬНАЯ СЛУЖБА» и «СЕТЕВАЯ СЛУЖБА». #### Восстановление файлов и каталогов Этот параметр политики определяет пользователей, которые могут обходить разрешения на работу с файлами, каталогами, реестром и другими постоянными объектами при восстановлении файлов и каталогов из резервных копий. Кроме того, он определяет пользователей, которые могут назначить любого действительного участника безопасности владельцем объекта. В средах LC и EC параметру **Восстановление файлов и каталогов** присваивается значение **Не определен**. В среде SSLF это право пользователя назначается только членам группы **Администраторы**. Задачи восстановления файлов обычно выполняются администраторами или членами другой специальной группы безопасности. Это особенно характерно для важных серверов и контроллеров домена. #### Завершение работы системы Этот параметр политики определяет, каким локальным пользователям разрешено завершать работу операционной системы командой **Завершение работы**. Неправильное использование этой возможности может привести к отказу в обслуживании, поэтому правом завершать работу контроллеров домена должны обладать лишь немногие администраторы, заслуживающие доверия. Несмотря на то, что для завершения работы системы необходима возможность входа на сервер, предоставлять право на завершение работы контроллера домена тем или иным учетным записям и группам следует с большой осторожностью. В средах LC и EC параметру **Завершение работы системы** присваивается значение **Не определен**. В среде SSLF это право пользователя назначается только членам группы **Администраторы**. #### Синхронизация данных службы каталогов Этот параметр политики определяет, может ли процесс выполнять чтение всех объектов и свойств в каталоге независимо от того, защищены ли эти объекты и свойства. Это право пользователя необходимо для использования служб синхронизации каталогов LDAP (Dirsync). Параметр **Синхронизация данных службы каталогов** имеет по умолчанию значение **Не определен**; для сред LC и EC этого достаточно. Однако в среде SSLF этому параметру политики присваивается значение NULL или пустое значение, то есть данное право не предоставляется никаким группам безопасности или учетным записям. #### Смена владельцев файлов и других объектов Этот параметр политики определяет, могут ли пользователи становиться владельцами любых защищаемых объектов в сети, включая объекты Active Directory, файлы файловой системы NTFS, папки, принтеры, разделы реестра, службы, процессы и потоки. В средах LC и EC параметру **Смена владельцев файлов и других объектов** присваивается значение **Не определен**. В среде SSLF это право пользователя следует назначить только локальной группе **Администраторы**. [](#mainsection)[К началу страницы](#mainsection) ### Параметры безопасности Параметры безопасности групповой политики используются для включения и отключения таких функций, как доступ к дисководам гибких дисков и компакт-дисков и отображение сообщений при входе в систему. Эти параметры политики также используются для настройки множества других параметров, таких как параметры цифровой подписи данных, имена учетных записей администратора и гостя и процесс установки драйверов. В Windows Server 2003 с пакетом обновления 1 параметры безопасности можно настроить в следующем разделе редактора объектов групповой политики: **Конфигурация компьютера\\Конфигурация Windows\\Параметры безопасности\\** **Локальные политики\\Параметры безопасности** Не все параметры, описанные в этом разделе, доступны на всех типах систем. Таким образом, чтобы полностью задействовать параметры безопасности групповой политики, определенные в этом разделе, их, возможно, придется изменить вручную на компьютерах, где такие параметры имеются. В следующих разделах описаны рекомендованные настройки параметров безопасности в базовых политиках рядовых серверов для всех трех сред, определенных в данном руководстве. Обзорные сведения о рекомендованных настройках см. в рабочей книге Microsoft Excel «Параметры безопасности Windows Server 2003», прилагаемой к версии данного руководства, которую можно загрузить из Интернета. Сведения о конфигурации по умолчанию и подробное описание каждого параметра см. в дополнительном руководстве *Угрозы и меры противодействия: параметры безопасности в Windows* *Server* *2003 и Windows* *XP*. В таблицах следующих разделов приведены рекомендации по настройке параметров безопасности разных категорий. Дополнительные сведения об этих параметрах приведены в подразделах, следующих за каждой таблицей. #### Параметры учетных записей **Таблица 4.12. Параметры безопасности: рекомендации по настройке параметров учетных записей**
Параметр Среда устаревших клиентов Среда корпоративных клиентов Специальная безопасная среда с ограниченной функциональностью
Состояние учетной записи «Администратор» Не определен Не определен Включен
Состояние учетной записи «Гость» Отключен Отключен Отключен
Ограничить использование пустых паролей только для консольного входа Включен Включен Включен
##### Учетные записи: состояние учетной записи «Администратор» Этот параметр политики включает или отключает учетную запись администратора в процессе обычной работы. При загрузке в безопасном режиме учетная запись «Администратор» всегда включена, вне зависимости от значения данного параметра. Параметру **Учетные записи: состояние учетной записи «Администратор»** присваивается значение **Не определен** в средах LC и EC и значение **Включен** в среде SSLF. ##### Учетные записи: состояние учетной записи «Гость» Этот параметр политики определяет, включена или отключена учетная запись гостя. Данная учетная запись позволяет пользователям, не прошедшим проверку подлинности, получать доступ к компьютеру через сеть в качестве гостей. Параметру **Учетные записи: состояние учетной записи «Гость»** присваивается значение **Отключен** в базовых политиках всех трех сред, определенных в данном руководстве. ##### Учетные записи: ограничить использование пустых паролей только для консольного входа Этот параметр политики определяет, можно ли использовать не защищенные паролем локальные учетные записи для входа в систему из местоположений, отличных от физической консоли компьютера. Если этот параметр политики включен, пользователи, имеющие локальные учетные записи с непустыми паролями, не могут входить в сеть с удаленных клиентских систем, а пользователи с локальными учетными записями, которые не защищены паролем, могут входить в систему только с помощью клавиатуры компьютера. Параметр **Учетные записи: ограничить использование пустых паролей только для консольного входа** имеет значение по умолчанию **Включен** в базовых политиках всех трех сред, определенных в данном руководстве. #### Параметры аудита **Таблица 4.13. Параметры безопасности: рекомендации по настройке параметров аудита**
Параметр Среда устаревших клиентов Среда корпоративных клиентов Специальная безопасная среда с ограниченной функциональностью
Аудит доступа глобальных системных объектов Отключен Отключен Отключен
Аудит прав на архивацию и восстановление Отключен Отключен Отключен
Немедленное отключение системы, если невозможно внести в журнал записи об аудите безопасности Отключен Отключен Включен
##### Аудит: аудит доступа глобальных системных объектов Этот параметр политики определяет необходимость аудита доступа глобальных системных объектов. Если включены параметры **Аудит: аудит доступа глобальных системных объектов** и **Выполнять аудит доступа к объектам**, регистрируется большое количество событий аудита. Параметр **Аудит: аудит доступа глобальных системных объектов** имеет значение по умолчанию **Отключен** в базовых политиках всех трех сред, определенных в данном руководстве. **Примечание**. Изменение этого параметра политики вступит в действие только после перезагрузки системы Windows Server 2003. ##### Аудит: аудит прав на архивацию и восстановление Этот параметр политики определяет, следует ли проводить аудит всех привилегий пользователя, включая право на архивацию и восстановление, при включенном параметре **Аудит использования привилегий**. Если этот параметр включен, может создаваться большое число событий безопасности, что замедляет работу серверов и вызывает заполнение журнала безопасности многочисленными практически бесполезными записями. Таким образом, параметр **Аудит: аудит прав на архивацию и восстановление** имеет значение по умолчанию **Отключен** в базовых политиках всех трех сред, определенных в данном руководстве. **Примечание**. Изменение этого параметра политики вступит в действие только после перезагрузки системы Windows Server 2003. ##### Аудит: немедленное отключение компьютера, если невозможно внести в журнал записи об аудите безопасности Этот параметр политики определяет, следует ли немедленно отключать компьютер, если невозможно записать в журнал события безопасности. Тестирование показало, что включение параметра **Аудит: немедленное отключение компьютера, если невозможно внести в журнал записи об аудите безопасности** в средах LC и EC связано со значительным увеличением объема административной работы. Таким образом, в базовых политиках этих сред данному параметру политики присваивается значение **Отключен**. Однако в базовой политике среды SSLF этому параметру политики присваивается значение **Включен**, потому что в данном случае дополнительная нагрузка на администраторов менее важна, чем предотвращение удаления событий из журнала безопасности. #### Параметры устройств **Таблица 4.14. Параметры безопасности: рекомендации по настройке параметров устройств**
Параметр Среда устаревших клиентов Среда корпоративных клиентов Специальная безопасная среда с ограниченной функциональностью
Разрешать отстыковку без входа в систему Отключен Отключен Отключен
Разрешено форматировать и извлекать съемные носители «Администраторы» «Администраторы» «Администраторы»
Запретить пользователям установку драйверов принтера Включен Включен Включен
Разрешить доступ к дисководам компакт-дисков только локальным пользователям Не определен Не определен Отключен
Разрешить доступ к дисководам гибких дисков только локальным пользователям Не определен Не определен Отключен
Поведение при установке неподписанного драйвера Предупреждать, но разрешать установку Предупреждать, но разрешать установку Предупреждать, но разрешать установку
##### Устройства: разрешать отстыковку без входа в систему Этот параметр политики определяет, можно ли отстыковывать переносной компьютер без входа в систему. Если этот параметр политики включен, входить в систему не требуется, а для отстыковки компьютера можно использовать внешнюю аппаратную кнопку извлечения. Если этот параметр отключен, пользователю, не вошедшему в систему, должно быть назначено право пользователя **Отключение компьютера от стыковочного узла**. Параметру **Устройства: разрешать отстыковку без входа в систему** присваивается значение **Отключен** в базовых политиках всех трех сред, определенных в данном руководстве. ##### Устройства: разрешено форматировать и извлекать съемные носители Этот параметр политики определяет, кому разрешено форматировать и извлекать съемные носители. На серверах правом извлекать съемные носители должны обладать только администраторы. Таким образом, в базовых политиках всех трех сред, определенных в данном руководстве, параметр **Устройства: разрешено форматировать и извлекать съемные носители** имеет значение по умолчанию **Администраторы**. ##### Устройства: запретить пользователям установку драйверов принтера Чтобы компьютер мог использовать сетевой принтер, на нем должен быть установлен драйвер этого сетевого принтера. Если параметр **Устройства: запретить пользователям установку драйверов принтера** включен, устанавливать драйвер принтера при добавлении сетевого принтера разрешается только членам групп **Администраторы** и **Опытные пользователи**, а также пользователям, обладающим привилегиями оператора сервера. Если этот параметр отключен, установить драйвер принтера может любой пользователь. Параметр **Устройства: запретить пользователям установку драйверов принтера** имеет значение по умолчанию **Включен** в базовых политиках всех трех сред, определенных в данном руководстве. ##### Устройства: разрешить доступ к дисководам компакт-дисков только локальным пользователям Этот параметр политики определяет, будет ли дисковод компакт-дисков доступен одновременно и локальным, и удаленным пользователям. Если этот параметр включен, доступ к компакт-дискам разрешен только пользователям, вошедшим в систему интерактивно. Если он включен, но никто не вошел в систему интерактивно, дисковод компакт-дисков доступен через сеть. В базовых политиках сред LC и EC параметру **Устройства: разрешить доступ к дисководам компакт-дисков только локальным пользователям** присваивается значение **Не определен**. В базовой политике среды SSLF ему присваивается значение **Отключен**. ##### Устройства: разрешить доступ к дисководам гибких дисков только локальным пользователям Этот параметр политики определяет, доступны ли съемные дисководы гибких дисков одновременно локальным и удаленным пользователям. Если данный параметр включен, доступ к съемным дисководам гибких дисков разрешен только пользователям, вошедшим в систему интерактивно. Если он включен, но никто не вошел в систему интерактивно, дисководы гибких дисков доступны через сеть. В базовых политиках сред LC и EC параметру **Устройства: разрешить доступ к дисководам гибких дисков только локальным пользователям** присваивается значение **Не определен**. В базовой политике среды SSLF ему присваивается значение **Отключен**. ##### Устройства: поведение при установке неподписанного драйвера Этот параметр политики определяет, что произойдет при попытке установки драйвера устройства (средствами API-интерфейса установки), который не был проверен и подписан в лабораториях Windows Hardware Quality Lab (WHQL). В зависимости от значения этого параметра политики система блокирует установку неподписанных драйверов или предупреждает администратора о попытке установки таких драйверов. Параметр **Устройства: поведение при установке неподписанного драйвера** можно использовать для предотвращения установки драйверов, которые не были сертифицированы для системы Windows Server 2003 с пакетом обновления 1. Однако в базовых политиках всех трех сред, определенных в данном руководстве, этому параметру политики присваивается значение **Предупреждать, но разрешать установку**. Одна из возможных проблем, связанных с этим параметром, заключается в том, что установить неподписанные драйверы с помощью сценариев автоматической установки не удастся. #### Параметры членов домена **Таблица 4.15. Параметры безопасности: Рекомендации по настройке параметров членов домена**
Параметр Среда устаревших клиентов Среда корпоративных клиентов Специальная безопасная среда с ограниченной функциональностью
Всегда требуется цифровая подпись или шифрование потока данных безопасного канала Отключен Включен Включен
Шифрование данных безопасного канала, когда это возможно Включен Включен Включен
Цифровая подпись данных безопасного канала, когда это возможно Включен Включен Включен
Отключить изменение пароля учетных записей компьютера Отключен Отключен Отключен
Максимальный срок действия пароля учетных записей компьютера 30 дней 30 дней 30 дней
Требование стойкого ключа сеанса (Windows 2000, Windows XP или Windows Server 2003) Включен Включен Включен
##### Член домена: всегда требуется цифровая подпись или шифрование потока данных безопасного канала Этот параметр политики определяет, следует ли подписывать или шифровать весь трафик безопасного канала, инициированный членом домена. Если компьютер настроен так, чтобы данные безопасного канала шифровались или подписывались всегда, он не сможет установить безопасный канал с контроллером домена, который не может подписывать или шифровать весь трафик безопасного канала. Параметру **Член домена: всегда требуется цифровая подпись или шифрование данных безопасного канала** присваивается значение **Отключен** в базовой политике среды LC и значение **Включен** в базовых политиках сред EC и SSLF. **Примечание**. Чтобы можно было воспользоваться преимуществами этого параметра на рядовых рабочих станциях и серверах, все контроллеры домена в их домене должны работать под управлением системы Windows NT 4.0 с пакетом обновления 6a или более поздней версии Windows. Следует также отметить, что этот параметр политики не поддерживается клиентами под управлением Windows 98 второго издания, если на них не установлена программа Dsclient. ##### Член домена: шифрование данных безопасного канала, когда это возможно Этот параметр политики определяет, может ли член домена предпринимать попытку шифрования всего инициированного им трафика безопасного канала. Если этот параметр политики включен, член домена будет запрашивать шифрование всего трафика безопасного канала. Если он отключен, члену домена не разрешается предпринимать попытки шифрования трафика безопасного канала. Таким образом, параметру **Член домена: шифрование данных безопасного канала, когда это возможно** присваивается значение **Включен** в базовых политиках всех трех сред, определенных в данном руководстве. ##### Член домена: цифровая подпись данных безопасного канала, когда это возможно Этот параметр политики определяет, может ли член домена предпринимать попытку подписания всего инициированного им трафика безопасного канала. Требование подписания трафика предотвращает его изменение пользователями, имеющими возможность перехватить данные. Параметру **Член домена: цифровая подпись данных безопасного канала, когда это возможно** присваивается значение **Включен** в базовых политиках всех трех сред, определенных в данном руководстве. ##### Член домена: отключить изменение пароля учетных записей компьютера Этот параметр политики определяет, может ли член домена периодически изменять пароль учетной записи своего компьютера. Если этот параметр политики включен, член домена не сможет изменять пароль учетной записи своего компьютера. Если этот параметр политики отключен, член домена сможет изменять пароль учетной записи своего компьютера в соответствии с параметром **Член домена: максимальный срок действия пароля учетных записей компьютера**, значение которого по умолчанию составляет 30 дней. Компьютеры, которые не могут автоматически изменять пароли своих учетных записей, подвергаются риску атак со стороны пользователей, способных узнать пароль учетной записи домена компьютера. Таким образом, параметру **Член домена: отключить изменение пароля учетных записей компьютера** присваивается значение **Отключен** в базовых политиках всех трех сред, определенных в данном руководстве. ##### Член домена: максимальный срок действия пароля учетных записей компьютера Этот параметр политики определяет максимально допустимый срок действия пароля учетной записи компьютера. Этот параметр применяется также к компьютерам под управлением Windows 2000, но на этих компьютерах к нему нельзя получить доступ через диспетчер настройки безопасности. По умолчанию члены домена автоматически меняют свои доменные пароли каждые 30 дней. Если значительно увеличить этот интервал или присвоить ему значение 0, чтобы компьютеры не меняли пароли, хакер получит дополнительное время на проведение атак методом перебора паролей для угадывания пароля одной или нескольких учетных записей. Таким образом, параметру **Член домена: максимальный срок действия пароля учетных записей компьютера** присваивается значение **30 дней** в базовых политиках всех трех сред, определенных в данном руководстве. ##### Член домена: требует стойкого ключа сеанса (Windows 2000 или выше) Этот параметр политики определяет, требуется ли для зашифрованных данных безопасного канала 128-разрядный ключ. Если этот параметр включен, безопасный канал не может быть создан без 128-разрядного шифрования. Если этот параметр политики отключен, член домена должен согласовать разрядность ключа с контроллером домена. Ключи сеанса, используемые для создания защищенных каналов коммуникации между контроллерами домена и рядовыми компьютерами, в системе Windows 2000 гораздо более надежны, чем в предыдущих операционных системах Майкрософт. Так как три среды безопасности, описываемых в этом руководстве, включают контроллеры домена под управлением системы Windows 2000 или более поздней версии Windows, параметру **Член домена: требует стойкого ключа сеанса (Windows 2000 или выше)** в базовых политиках всех трех сред присваивается значение **Включен**. **Примечание**. Если этот параметр политики включен, присоединить компьютеры под управлением Windows 2000 к доменам Windows NT 4.0 невозможно. #### Параметры интерактивного входа в систему **Таблица 4.16. Параметры безопасности: рекомендации по настройке параметров интерактивного входа в систему**
Параметр Среда устаревших клиентов Среда корпоративных клиентов Специальная безопасная среда с ограниченной функциональностью
Отображать сведения о пользователе, если сеанс заблокирован Не определен Не определен Выводимое имя пользователя, имена домена и пользователя
Не отображать последнего имени пользователя Включен Включен Включен
Не требовать нажатия CTRL+ALT+DEL Отключен Отключен Отключен
Текст сообщения для пользователей при входе в систему (Обратитесь к соответствующим сотрудникам своей организации.) (Обратитесь к соответствующим сотрудникам своей организации.) (Обратитесь к соответствующим сотрудникам своей организации.)
Заголовок сообщения для пользователей при входе в систему (Обратитесь к соответствующим сотрудникам своей организации.) (Обратитесь к соответствующим сотрудникам своей организации.) (Обратитесь к соответствующим сотрудникам своей организации.)
Количество предыдущих подключений к кэшу (в случае отсутствия доступа к контроллеру домена) 1 0 0
Напоминать пользователям об истечении срока действия пароля заранее 14 дней 14 дней 14 дней
Требовать проверки на контроллере домена для отмены блокировки компьютера Включен Включен Включен
Требуется смарт-карта Не определен Не определен Отключен
Поведение при извлечении смарт-карты Не определен Блокировка рабочей станции Блокировка рабочей станции
##### Интерактивный вход в систему: отображать сведения о пользователе, если сеанс заблокирован Этот параметр политики определяет, будет ли отображаться имя учетной записи последнего пользователя, входившего в систему, на экране входа в систему Windows соответствующего клиентского компьютера организации. Если этот параметр политики включен, злоумышленники не смогут подсмотреть имена учетных записей на экранах настольных или портативных компьютеров в организации. В средах LC и EC параметру **Интерактивный вход в систему: отображать сведения о пользователе, если сеанс заблокирован** присваивается значение **Не определен**. В базовой политике серверов среды SSLF ему присваивается значение **Выводимое имя пользователя,** **имена домена и пользователя**. ##### Интерактивный вход в систему: не отображать последнего имени пользователя Этот параметр политики определяет, будет ли в экране входа в систему показано имя последнего пользователя, выполнившего вход. Если этот параметр включен, в диалоговом окне **входа в Windows** имя последнего пользователя, выполнившего вход, отображаться не будет. Параметру **Интерактивный вход в систему: не отображать последнего имени пользователя** присваивается значение **Включен** в базовых политиках всех трех сред, определенных в данном руководстве. ##### Интерактивный вход в систему: не требовать нажатия CTRL+ALT+DEL Этот параметр политики определяет, требуется ли нажать клавиши CTRL+ALT+DEL перед входом в систему. Если этот параметр отключен, нажатие клавиш CTRL+ALT+DEL обязательно для любого пользователя (кроме случаев, когда для входа в систему Windows используется смарт-карта). Параметру **Интерактивный вход в систему: не требовать нажатия CTRL+ALT+DEL** присваивается значение **Отключен** в базовых политиках всех трех сред, определенных в данном руководстве. Это снижает вероятность того, что хакер сможет перехватить пароли пользователей с помощью троянской программы. ##### Интерактивный вход в систему: текст сообщения для пользователей при входе в систему Этот параметр политики задает текстовое сообщение, отображаемое при входе пользователя в систему. Как правило, этот текст используется в правовых целях, например, чтобы предупредить пользователей о последствиях несанкционированного доступа или разглашения коммерческой тайны или о том, что их действия могут контролироваться. Использовать параметр безопасности **Интерактивный вход в систему: текст сообщения для пользователей при входе в систему** рекомендуется, но не требуется. Чтобы определить содержание текста сообщения для пользователей при входе в систему, свяжитесь с соответствующими сотрудниками своей организации. **Примечание**. Параметры **Интерактивный вход в систему: текст сообщения для пользователей при входе в систему** и **Интерактивный вход в систему: заголовок сообщения для пользователей при входе в систему** функционируют должным образом только в том случае, если оба они включены. ##### Интерактивный вход в систему: заголовок сообщения для пользователей при входе в систему Этот параметр политики позволяет указать заголовок диалогового окна, отображаемого при входе пользователя в систему. Этот параметр политики имеет то же предназначение, что и параметр **Текст сообщения для пользователей при входе в систему**. Таким образом, использовать параметр **Интерактивный вход в систему: заголовок сообщения для пользователей при входе в систему** рекомендуется, но не требуется. Чтобы определить содержание текста сообщения для пользователей при входе в систему, свяжитесь с соответствующими сотрудниками своей организации. **Примечание**. Параметры **Интерактивный вход в систему: текст сообщения для пользователей при входе в систему** и **Интерактивный вход в систему: заголовок сообщения для пользователей при входе в систему** функционируют должным образом только в том случае, если оба они включены. ##### Интерактивный вход в систему: количество предыдущих подключений к кэшу (в случае отсутствия доступа к контроллеру домена) Этот параметр политики определяет, разрешено ли пользователю входить в домен Windows, используя кэшированные данные об учетной записи. Данные об учетных записях домена можно кэшировать на локальной системе, чтобы при отсутствии доступа к контроллеру домена при последующих попытках входа в систему в нее все же можно было войти. Так как при этом рабочая станция не связывается с контроллером домена, пользователь может получить возможность войти в систему после отключения или удаления его учетной записи. Этот параметр политики определяет количество уникальных пользователей, для которых данные о входе в систему локально кэшируются. Если присвоить ему значение 0, кэширование данных о входе в систему будет отключено. В базовой политике сред EC и SSLF параметру политики **Интерактивный вход в систему: количество предыдущих подключений к кэшу (в случае отсутствия доступа к контроллеру домена)** присваивается значение **0**. В среде LC этому параметру присваивается значение **1**, чтобы разрешить вход для клиентских систем при отсутствии у них доступа к контроллеру домена. ##### Интерактивный вход в систему: напоминать пользователям об истечении срока действия пароля заранее Этот параметр политики определяет, за сколько дней пользователи предупреждаются об истечении срока действия пароля. В разделе «Политики учетных записей» главы 3 рекомендуется настраивать пароли пользователей так, чтобы срок их действия периодически истекал. Если не уведомлять пользователей о скором истечении срока действия их паролей, они могут испытать замешательство, когда этот момент все-таки наступит. Кроме того, неожиданное истечение срока действия паролей делает невозможным для удаленных пользователей вход в систему через коммутируемое подключение или VPN-подключение. Таким образом, параметр **Интерактивный вход в систему: напоминать пользователям об истечении срока действия пароля заранее** имеет значение по умолчанию 14 дней в базовых политиках всех трех сред, определенных в данном руководстве. ##### Интерактивный вход в систему: требовать проверки на контроллере домена для отмены блокировки компьютера Для учетных записей домена этот параметр политики определяет, необходимо ли связываться с контроллером домена для отмены блокировки компьютера. Этот параметр и параметр **Интерактивный вход в систему: количество предыдущих подключений к кэшу (в случае отсутствия доступа к контроллеру домена)** устраняют похожие уязвимости. Пользователь может отсоединить сетевой кабель от сервера, разблокировать сервер с помощью старого пароля и получить к нему доступ без проверки подлинности. Чтобы предотвратить это, параметру **Интерактивный вход в систему: требовать проверки на контроллере домена для отмены блокировки компьютера** присваивается значение **Включен** в базовых политиках всех трех сред, определенных в данном руководстве. **Внимание**! Этот параметр политики применяется на компьютерах под управлением Windows 2000, Windows XP и Windows Server 2003, но недоступен через диспетчер конфигурации безопасности на компьютерах под управлением Windows 2000. ##### Интерактивный вход в систему: требуется смарт-карта Этот параметр политики требует использования смарт-карты для входа в систему. Требование использовать длинные сложные пароли повышает безопасность, особенно если их к тому же требуется регулярно менять. Это уменьшает вероятность того, что злоумышленник сможет угадать пароль методом перебора. Однако проследить за тем, надежные ли пароли выбирают пользователи, трудно, к тому же даже надежные пароли уязвимы для атак, основанных на переборе паролей. Использование смарт-карт вместо паролей для проверки подлинности существенно улучшает безопасность, практически исключая вероятность того, что хакеру удастся выдать себя за другого пользователя. Смарт-карты, требующие применения ПИН-кодов, обеспечивают двойную проверку подлинности: пользователь должен иметь смарт-карту и знать ее ПИН-код. Хакеру, перехватившему трафик проверки подлинности между компьютером пользователя и контроллером домена, будет крайне сложно дешифровать этот трафик. Даже если ему это удастся, при следующем входе пользователя в сеть будет создан новый ключ сеанса для шифрования трафика между компьютером пользователя и контроллером домена. Корпорация Майкрософт рекомендует организациям перейти на использование смарт-карт или других надежных технологий проверки подлинности. Однако включать параметр **Интерактивный вход в систему: требуется смарт-карта** следует только в том случае, если технология смарт-карт уже реализована. По этой причине в базовых политиках сред LC и EC данному параметру присваивается значение **Не определен**. В базовой политике среды SSLF ему присваивается значение **Отключен**. ##### Интерактивный вход в систему: поведение при извлечении смарт-карты Этот параметр политики определяет, что происходит при извлечении смарт-карты вошедшего пользователя из устройства чтения смарт-карт. Если этому параметру присвоено значение **Блокировка рабочей станции**, при извлечении смарт-карты рабочая станция будет блокироваться, чтобы пользователи могли оставлять рабочие места, забирая смарт-карты с собой. Если этому параметру присвоено значение **Принудительный выход из системы**, при извлечении смарт-карты автоматически осуществляется выход пользователя из системы. Параметру **Интерактивный вход в систему: поведение при извлечении смарт-карты** присваивается значение **Не определен** в базовой политике среды LC и значение **Блокировка рабочей станции** в базовых политиках сред EC и SSLF. #### Параметры клиента сети Microsoft **Таблица 4.17. Параметры безопасности: рекомендации по настройке параметров клиента сети Microsoft**
Параметр Среда устаревших клиентов Среда корпоративных клиентов Специальная безопасная среда с ограниченной функциональностью
Использовать цифровую подпись (всегда) Отключен Включен Включен
Использовать цифровую подпись (с согласия сервера) Включен Включен Включен
Посылать незашифрованный пароль сторонним SMB-серверам Отключен Отключен Отключен
##### Клиент сети Microsoft: использовать цифровую подпись (всегда) Этот параметр политики определяет, требуется ли для клиентского компонента SMB цифровая подпись пакетов. Если этот параметр включен, клиенты сети Microsoft не смогут взаимодействовать с сервером сети Microsoft, пока сервер не согласится выполнять подписывание SMB-пакетов. В смешанных средах с устаревшими клиентскими компьютерами этому параметру следует присвоить значение **Отключен**, поскольку эти компьютеры не смогут выполнить проверку подлинности или получить доступ к контроллерам домена. Однако в средах с компьютерами, работающими под управлением Windows 2000, Windows XP и Windows Server 2003, этот параметр использовать можно. Среды EC и SSLF, рассматриваемые в данном руководстве, содержат компьютеры, работающие под управлением только этих операционных систем, поддерживающих цифровые подписи. Таким образом, для обеспечения более высокой безопасности связи между компьютерами в базовых политиках сред EC и SSLF параметру **Клиент сети Microsoft: использовать цифровую подпись (всегда)** присваивается значение **Включен**. ##### Клиент сети Microsoft: использовать цифровую подпись (с согласия сервера) Этот параметр политики определяет, следует ли SMB-клиенту предпринять попытку подписывать SMB-пакеты. Реализация цифровой подписи в сетях Windows помогает защититься от перехвата сеансов. Если этот параметр политики включен, клиенты сети Microsoft на рядовых серверах будут запрашивать подписи только в том случае, если серверы, с которыми они взаимодействуют, принимают подписанные данные. Параметру **Клиент сети Microsoft: использовать цифровую подпись (с согласия сервера)** присваивается значение **Включен** в базовых политиках всех трех сред, рассматриваемых в данном руководстве. ##### Клиент сети Microsoft: посылать незашифрованный пароль сторонним SMB-серверам Если этот параметр политики включен, перенаправителю SMB разрешается отправлять пароли открытым текстом SMB-серверам сторонних производителей, которые не поддерживают шифрование паролей во время проверки подлинности. Параметр **Клиент сети Microsoft: посылать незашифрованный пароль сторонним SMB-серверам** имеет значение по умолчанию **Отключен** в базовых политиках всех трех сред, рассматриваемых в данном руководстве, если только параметры приложения не переопределяют требование хранить секретные пароли. #### Параметры сервера сети Microsoft **Таблица 4.18. Параметры безопасности: рекомендации по настройке параметров сервера сети Microsoft**
Параметр Среда устаревших клиентов Среда корпоративных клиентов Специальная безопасная среда с ограниченной функциональностью
Длительность простоя перед отключением сеанса 15 минут 15 минут 15 минут
Использовать цифровую подпись (всегда) Отключен Включен Включен
Использовать цифровую подпись (с согласия клиента) Включен Включен Включен
Отключать клиентов по истечении разрешенных часов входа Включен Включен Включен
##### Сервер сети Microsoft: длительность простоя перед отключением сеанса Этот параметр политики определяет время непрерывного простоя, которое должно пройти в сеансе SMB, перед тем как сеанс будет отключен из-за бездействия. Администраторы могут использовать этот параметр политики для контроля отключения компьютером неактивного сеанса SMB. Если активность клиента возобновляется, сеанс автоматически восстанавливается. Параметру **Сервер сети Microsoft: длительность простоя перед отключением сеанса** присваивается значение **15 минут** в базовых политиках всех трех сред, рассматриваемых в данном руководстве. ##### Сервер сети Microsoft: использовать цифровую подпись (всегда) Этот параметр политики определяет, должен ли SMB-сервер требовать подписывания пакетов, прежде чем будет разрешено дальнейшее взаимодействие с SMB-клиентом. Системы Windows 2000 Server, Windows 2000 Professional, Windows Server 2003 и Windows XP Professional включают версии SMB, поддерживающие технологию взаимной проверки подлинности. Она блокирует попытки перехвата сеансов и поддерживает проверку подлинности сообщений для предотвращения атак типа «злоумышленник в середине». Подписывание SMB обеспечивает такую проверку подлинности путем интеграции в каждый пакет SMB цифровой подписи, которая затем проверяется и клиентом, и сервером. Если настроить компьютеры так, чтобы они игнорировали все неподписанные пакеты SMB, унаследованные приложения и операционные системы не смогут устанавливать подключения. Если подписывание пакетов SMB полностью отключено, компьютеры уязвимы перед атаками, направленными на перехват сеансов связи. Параметру **Сервер сети Microsoft: использовать цифровую подпись (всегда)** присваивается значение **Отключен** в базовой политике среды LC и значение **Включен** в базовых политиках сред EC и SSLF. ##### Сервер сети Microsoft: использовать цифровую подпись (с согласия клиента) Этот параметр политики определяет, будет ли SMB-сервер выполнять согласование подписания пакетов SMB с запросившими это клиентами. Системы Windows 2000 Server, Windows 2000 Professional, Windows Server 2003 и Windows XP Professional включают версии SMB, поддерживающие технологию взаимной проверки подлинности. Она блокирует попытки перехвата сеансов и поддерживает проверку подлинности сообщений для предотвращения атак типа «злоумышленник в середине». Подписывание SMB обеспечивает такую проверку подлинности путем интеграции в каждый пакет SMB цифровой подписи, которая затем проверяется и клиентом, и сервером. Если настроить компьютеры так, чтобы они игнорировали все неподписанные пакеты SMB, унаследованные приложения и операционные системы не смогут устанавливать подключения. Если подписывание пакетов SMB полностью отключено, компьютеры уязвимы перед атаками, направленными на перехват сеансов связи. Параметру **Сервер сети Microsoft: использовать цифровую подпись (с согласия клиента)** присваивается значение **Включен** в базовых политиках всех трех сред, определенных в данном руководстве. ##### Сервер сети Microsoft: Отключать клиентов по истечении разрешенных часов входа Этот параметр политики определяет, следует ли отключать пользователей, подключившихся к сетевому компьютеру вне разрешенных часов для входа в систему. Этот параметр влияет на работу компонента SMB. Если в организации для пользователей заданы допустимые часы входа в систему, имеет смысл включить этот параметр политики. В противном случае пользователям следует запретить получение доступа к сетевым ресурсам вне разрешенного интервала времени, или они смогут продолжить использование этих ресурсов в сеансах, созданных в разрешенное время. Параметру **Сервер сети Microsoft: Отключать клиентов по истечении разрешенных часов входа** присваивается значение **Включен** в базовых политиках всех трех сред, определенных в данном руководстве. #### Параметры доступа к сети **Таблица 4.19. Параметры безопасности: рекомендации по настройке параметров доступа к сети**
Параметр Среда устаревших клиентов Среда корпоративных клиентов Специальная безопасная среда с ограниченной функциональностью
Разрешить трансляцию анонимного SID в имя Не определен Не определен Отключен
Не разрешать перечисление учетных записей SAM анонимными пользователями Включен Включен Включен
Не разрешать перечисление учетных записей SAM и общих ресурсов анонимными пользователями Включен Включен Включен
Не разрешать сохранение учетных данных или цифровых паспортов .NET для сетевой проверки подлинности пользователя Включен Включен Включен
Разрешать применение разрешений для всех к анонимным пользователям Отключен Отключен Отключен
Разрешать анонимный доступ к именованным каналам Не определен Не определен COMNAP, COMNODE, SQL\QUERY, SPOOLSS, LLSRPC, netlogon, lsarpc, samr, browser
Пути в реестре, доступные через удаленное подключение System\
CurrentControlSet\
Control\
Product Options; System\
CurrentControlSet\
Control\ Server Applications; Software\Microsoft\ Windows NT\ CurrentVersion
System\
CurrentControlSet\
Control\
Product Options; System\
CurrentControlSet\
Control\ Server Applications; Software\Microsoft\ Windows NT\ Current Version
System\
CurrentControlSet\
Control\
Product Options; System\
CurrentControlSet\
Control\ Server Applications; Software\Microsoft\ Windows NT\Current Version
Пути и вложенные пути в реестре, доступные через удаленное подключение (см. сведения о настройке в следующем подразделе) (см. сведения о настройке в следующем подразделе) (см. сведения о настройке в следующем подразделе)
Запретить анонимный доступ к именованным каналам и общим ресурсам Включен Включен Включен
Разрешать анонимный доступ к общим ресурсам Не определен Не определен Нет
Модель совместного доступа и безопасности для локальных учетных записей Обычная — локальные пользователи удостоверяются как они сами Обычная — локальные пользователи удостоверяются как они сами Обычная — локальные пользователи удостоверяются как они сами
##### Доступ к сети: разрешить трансляцию анонимного SID в имя Этот параметр политики определяет, может ли анонимный пользователь запрашивать атрибуты SID другого пользователя. Если этот параметр политики включен, локальный пользователь может с помощью известного идентификатора безопасности администратора узнать реальное имя встроенной учетной записи администратора, даже если она была переименована. После этого данную учетную запись можно использовать для проведения атаки, основанной на переборе паролей. В базовых политиках сред LC и EC параметру **Доступ к сети: разрешить трансляцию анонимного SID в имя** присваивается значение **Не определен**. В базовой политике среды SSLF ему присваивается значение **Отключен**. ##### Доступ к сети: не разрешать перечисление учетных записей SAM анонимными пользователями Этот параметр политики определяет, какие дополнительные разрешения будут предоставлены анонимным подключениям к компьютеру. Windows разрешает анонимным пользователям совершать определенные действия, такие как перечисление имен учетных записей домена. Это удобно, например, когда администратору требуется предоставить доступ пользователям в доверенном домене, не поддерживающем взаимное доверие. Но даже если этот параметр включен, анонимные пользователи все же будут иметь доступ к любым ресурсам с разрешениями, которые явно предоставлены специальной встроенной группе **Анонимный вход.** Параметру **Доступ к сети: не разрешать перечисление учетных записей SAM анонимными пользователями** присваивается значение **Включен** в базовых политиках всех трех сред, определенных в данном руководстве. ##### Доступ к сети: не разрешать перечисление учетных записей SAM и общих ресурсов анонимными пользователями Этот параметр политики определяет, разрешено ли перечисление учетных записей SAM и общих ресурсов анонимными пользователями. Параметру **Доступ к сети: не разрешать перечисление учетных записей SAM и общих ресурсов анонимными пользователями** присваивается значение **Включен** в базовых политиках всех трех сред, определенных в данном руководстве. ##### Доступ к сети: не разрешать сохранение учетных данных или цифровых паспортов .NET для сетевой проверки подлинности пользователя Этот параметр политики определяет, сохраняются ли при проверке подлинности домена пароли, учетные данные или цифровые паспорта Microsoft .NET в **средстве сохранения имен и паролей**. Параметру **Доступ к сети: не разрешать сохранение учетных данных или цифровых паспортов .NET для сетевой проверки подлинности пользователя** присваивается значение **Включен** в базовых политиках всех трех сред, определенных в данном руководстве. **Примечание**. Изменение этого параметра политики вступит в действие только после перезагрузки системы Windows. ##### Доступ к сети: разрешать применение разрешений для всех к анонимным пользователям Этот параметр политики определяет, какие дополнительные разрешения будут предоставлены анонимным подключениям к компьютеру. Если этот параметр политики включен, анонимным пользователям Windows будет разрешено выполнять определенные действия, например перечислять имена учетных записей домена и общих сетевых ресурсов. Злоумышленник может анонимно получить список имен учетных записей и общих ресурсов, а затем использовать эти данные для подбора паролей или осуществления атак методами социотехники. Поэтому параметру **Доступ к сети: разрешать применение разрешений для всех к анонимным пользователям** присваивается значение **Отключен** в базовых политиках всех трех сред, определенных в данном руководстве. **Примечание**. Домены, для которых включен этот параметр политики, не могут устанавливать или поддерживать доверительные отношения с доменами или контроллерами домена под управлением Windows NT 4.0. ##### Доступ к сети: разрешать анонимный доступ к именованным каналам Этот параметр политики определяет, какие сеансы связи (именованные каналы) будут иметь атрибуты и разрешения на анонимный доступ. В среде SSLF параметр **Доступ к сети: разрешать анонимный доступ к именованным каналам** должен иметь значения по умолчанию. Они соответствуют следующим именованным каналам. - COMNAP — доступ к сеансу SNA - COMNODE — доступ к сеансу SNA - SQL\\QUERY — доступ к экземпляру SQL - SPOOLSS — служба диспетчера очереди печати - LLSRPC — служба учета лицензий - Netlogon — служба сетевого входа в систему - Lsarpc — доступ к LSA - Samr — доступ к SAM - browser — служба обозревателя компьютеров **Внимание**! Если нужно включить этот параметр политики, убедитесь в том, что в его значения добавлены только те именованные каналы, которые нужны для поддержки приложений в среде. Перед использованием этого параметра политики в рабочей среде его нужно тщательно протестировать. Это относится ко всем параметрам, описываемым в данном руководстве. ##### Доступ к сети: пути в реестре, доступные через удаленное подключение Этот параметр политики определяет, какие пути в реестре доступны через сеть. Параметр **Доступ к сети: пути в реестре, доступные через удаленное подключение** имеет значение по умолчанию в базовых политиках всех трех сред, определенных в данном руководстве. **Примечание**. Даже если этот параметр политики настроен, для того чтобы реестр был доступен авторизованным пользователям через сеть, необходимо также запустить службу удаленного реестра. ##### Доступ к сети: пути и вложенные пути в реестре, доступные через удаленное подключение Этот параметр политики определяет, какие пути и вложенные пути в реестре доступны через сеть. В базовых шаблонах безопасности всех трех сред, определенных в данном руководстве, параметр **Доступ к сети: пути и вложенные пути в реестре, доступные через удаленное подключение** должен иметь значения по умолчанию. Значения по умолчанию состоят из следующих путей и вложенных путей реестра: - System\\CurrentControlSet\\Control\\Print\\Printers - System\\CurrentControlSet\\Services\\Eventlog - Software\\Microsoft\\OLAP Server - Software\\Microsoft\\Windows NT\\CurrentVersion\\Print - Software\\Microsoft\\Windows NT\\CurrentVersion\\Windows - System\\CurrentControlSet\\Control\\ContentIndex - System\\CurrentControlSet\\Control\\Terminal Server - System\\CurrentControlSet\\Control\\Terminal Server\\UserConfig - System\\CurrentControlSet\\Control\\Terminal Server\\DefaultUserConfiguration - Software\\Microsoft\\Windows NT\\CurrentVersion\\Perflib - System\\CurrentControlSet\\Services\\SysmonLog ##### Доступ к сети: запретить анонимный доступ к именованным каналам и общим ресурсам Это параметр политики можно использовать для ограничения анонимного доступа к общим ресурсам и именованным каналам, заданным с помощью перечисленных ниже параметров. - **Доступ к сети: разрешать анонимный доступ к именованным каналам** - **Доступ к сети: разрешать анонимный доступ к общим ресурсам** Параметру **Доступ к сети: запретить анонимный доступ к именованным каналам и общим ресурсам** присваивается значение **Включен** в базовых политиках всех трех сред, определенных в данном руководстве. ##### Доступ к сети: разрешать анонимный доступ к общим ресурсам Этот параметр политики определяет, к каким сетевым папкам общего доступа разрешен анонимный доступ. Конфигурация по умолчанию для этого параметра практически не имеет значения, поскольку всем пользователям необходимо пройти проверку подлинности, прежде чем они смогут получить доступ к общим ресурсам на сервере. Параметру **Доступ к сети: разрешать анонимный доступ к общим ресурсам** присваивается значение **Не определен** для сред LC и EC и значение **Нет** для среды SSLF. **Примечание**. Этот параметр политики может быть очень опасным, потому что он обеспечивает доступ к указанным общим ресурсам всем пользователям сети. Если он включен, возможны утечки и повреждения конфиденциальных данных. ##### Доступ к сети: модель совместного доступа и безопасности для локальных учетных записей Этот параметр политики определяет, каким образом выполняется проверка подлинности при входе в сеть с использованием локальных учетных записей. Значение **Обычная** обеспечивает высокую степень контроля доступа к ресурсам и позволяет предоставлять разным пользователям разные возможности доступа к одному ресурсу. Значение **Гостевая** позволяет обращаться со всеми пользователями одинаково. В данном контексте все пользователи проходят проверку подлинности по модели **Гостевая**, чтобы получить одинаковый уровень доступа к данному ресурсу. Параметр **Доступ к сети: модель совместного доступа и безопасности для локальных учетных записей** имеет значение по умолчанию **Обычная** в базовых политиках всех трех сред, определенных в данном руководстве. #### Параметры сетевой безопасности **Таблица 4.20. Параметры безопасности: рекомендации по настройке параметров сетевой безопасности**
Параметр Среда устаревших клиентов Среда корпоративных клиентов Специальная безопасная среда с ограниченной функциональностью
Не хранить хэш-значения LAN Manager при следующей смене пароля Включен Включен Включен
Уровень проверки подлинности LAN Manager Отправлять только NTLMv2-ответ Отправлять только NTLMv2-ответ, отказывать LM Отправлять только NTLMv2-ответ, отказывать LM и NTLM
Требование цифровой подписи для LDAP-клиента Согласование цифровой подписи Согласование цифровой подписи Согласование цифровой подписи
Минимальная сеансовая безопасность для клиентов на базе NTLM SSP (включая безопасный RPC) Минимума нет Включены все параметры Включены все параметры
Минимальная сеансовая безопасность для серверов на базе NTLM SSP (включая безопасный RPC) Минимума нет Включены все параметры Включены все параметры
##### Сетевая безопасность: не хранить хэш-значения LAN Manager при следующей смене пароля Этот параметр политики определяет, будут ли храниться хэш-значения LAN Manager (LM) для новых паролей при изменении пароля. Хэш LM относительно ненадежен и уязвим для атак в сравнении более криптостойким хэшем Windows NT. По этой причине параметру **Сетевая безопасность: не хранить хэш-значения LAN Manager при следующей смене пароля** присваивается значение **Включен** в базовых политиках всех трех сред безопасности, определенных в данном руководстве. **Примечание**. Если включить этот параметр, очень старые операционные системы и некоторые приложения могут утратить работоспособность. Кроме того, после включения этого параметра политики необходимо изменить пароли всех учетных записей. ##### Сетевая безопасность: уровень проверки подлинности LAN Manager Этот параметр политики определяет, какие протоколы проверки подлинности с запросом и ответом используются для входа в сеть. Значение этого параметра влияет на уровень протокола проверки подлинности, который используют клиентские компьютеры, на уровень согласованной безопасности, а также на уровень проверки подлинности, принимаемой серверами, следующим образом. Возможные значения параметра реестра **LMCompatibilityLevel** приведены в следующей таблице. **Таблица 4.21. Значения параметра реестра LMCompatibilityLevel**
Значение Протокол
0 Клиенты используют проверку подлинности LAN Manager и NTLM и никогда не используют сеансовую безопасность NTLMv2.
1 Клиенты используют проверку подлинности LAN Manager и NTLM, а также сеансовую безопасность NTLMv2, если сервер ее поддерживает.
2 Клиенты используют только проверку подлинности NTLM, а также сеансовую безопасность NTLMv2, если сервер ее поддерживает.
3 Клиенты используют только проверку подлинности NTLMv2, а также сеансовую безопасность NTLMv2, если сервер ее поддерживает.
4 Клиенты используют только проверку подлинности NTLM, а также сеансовую безопасность NTLMv2, если сервер ее поддерживает. Контроллер домена отклоняет проверку подлинности LAN Manager.
5 Клиенты используют только проверку подлинности NTLMv2, а также сеансовую безопасность NTLMv2, если сервер ее поддерживает. Контроллер домена отклоняет проверку подлинности LAN Manager и NTLM, принимая только проверку подлинности NTLMv2.
Этому параметру политики следует назначить самый высокий уровень, поддерживаемый средой, в соответствии с изложенными ниже рекомендациями. В среде, включающей только компьютеры с Windows NT 4.0 с пакетом обновления 4 (SP4), Windows 2000 и Windows XP Professional, присвойте этому параметру политики значение **Отправлять только NTLMv2-ответ, отказывать LM и NTLM** на всех клиентах, а после настройки всех клиентов присвойте ему это же значениена всех серверах. Исключением из этого правила являются серверы маршрутизации и удаленного доступа Windows Server 2003, которые работают неправильно, если этому параметру политики присвоено значение, более строгое, чем **Отправлять только NTLMv2-ответ, отказывать LM**. В среде EC поддержка серверов маршрутизации и удаленного доступа иногда бывает необходима, поэтому в базовой политике этой среды параметру **Сетевая безопасность: уровень проверки подлинности LAN Manager** присваивается значение **Отправлять только NTLMv2-ответ, отказывать LM**. В среде SSLF серверы маршрутизации и удаленного доступа не поддерживаются, поэтому в ней этому параметру политики присваивается значение **Отправлять только NTLMv2-ответ, отказывать LM и NTLM**. При наличии клиентов Windows 9x, на которые можно установить программу DSClient, присвойте этому параметру политики значение **Отправлять только NTLMv2-ответ, отказывать LM и NTLM** на компьютерах с Windows NT (Windows NT, Windows 2000 и Windows XP Professional). В противном случае в базовой политике компьютеров без Windows 9x этот параметр должен иметь значение, не более строгое, чем **Отправлять только NTLMv2-ответ**. Именно это значение присвоено данному параметру в среде LC. Если при включении этого параметра нарушается работоспособность приложений, присваивайте ему поэтапно менее строгие значения, пока не выясните причину сбоев. Как минимум, в базовой политике на всех компьютерах этому параметру следует присвоить значение **Отправлять LM и NTLM — использовать сеансовую безопасность NTLMv2 при согласовании**. Как правило, на всех компьютерах в среде ему можно присвоить значение **Отправлять только NTLMv2-ответ**. ##### Сетевая безопасность: требование цифровой подписи для LDAP-клиента Этот параметр политики определяет уровень подписывания данных, запрашиваемый от имени клиентов, выполняющих запросы LDAP BIND. Неподписанный сетевой трафик уязвим для атак типа «злоумышленник в середине». Это позволяет злоумышленнику заставить сервер LDAP принимать решения, основанные на ложных запросах от клиента LDAP. Таким образом, параметру **Сетевая безопасность: требование цифровой подписи для LDAP-клиента** присваивается значение **Согласование цифровой подписи** в базовых политиках всех трех сред, определенных в данном руководстве. ##### Сетевая безопасность: минимальная сеансовая безопасность для клиентов на базе NTLM SSP (включая безопасный RPC) Этот параметр политики позволяет клиенту требовать согласования конфиденциальности сообщений (шифрования), подписания сообщений, 128-разрядного шифрования или сеансовой безопасности NTLMv2. Назначьте этому параметру политики максимально возможный уровень безопасности, но помните, что при этом все равно нужно разрешить работу приложений в сети. Правильная настройка этого параметра помогает защитить трафик серверов на базе NTLM SSP от атак типа «злоумышленник в середине» и несанкционированного доступа. В базовой политике среды LC параметру **Сетевая безопасность: минимальная сеансовая безопасность для клиентов на базе NTLM SSP (включая безопасный RPC)** присваивается значение **Минимума нет**. Для сред EC и SSLF включаются все параметры. ##### Сетевая безопасность: минимальная сеансовая безопасность для серверов на базе NTLM SSP (включая безопасный RPC) Этот параметр политики позволяет серверу требовать согласования конфиденциальности сообщений (шифрования), целостности сообщений, 128-разрядного шифрования или сеансовой безопасности NTLMv2. Назначьте этому параметру политики максимально возможный уровень безопасности, но помните, что при этом все равно нужно разрешить работу приложений в сети. Правильная настройка этого параметра помогает защитить трафик клиентов на базе NTLM SSP от атак «злоумышленник в середине» и несанкционированного доступа. В базовой политике среды LC параметру **Сетевая безопасность: минимальная сеансовая безопасность для серверов на базе NTLM SSP (включая безопасный RPC)** присваивается значение **Минимума нет**. Для сред EC и SSLF включаются все параметры. #### Параметры консоли восстановления **Таблица 4.22. Параметры безопасности: рекомендации по настройке параметров консоли восстановления**
Параметр Среда устаревших клиентов Среда корпоративных клиентов Специальная безопасная среда с ограниченной функциональностью
Разрешить автоматический вход администратора Отключен Отключен Отключен
Разрешить копирование дискет и доступ ко всем дискам и папкам Включен Включен Отключен
##### Консоль восстановления: разрешить автоматический вход администратора Этот параметр политики определяет, необходимо ли вводить пароль учетной записи администратора для получения доступа к компьютеру. Если он включен, консоль восстановления не требует ввода пароля и автоматически осуществляет вход в систему. Консоль восстановления бывает очень полезна при работе с компьютерами, на которых возникают проблемы при запуске. Однако включать этот параметр иногда нецелесообразно, потому что при этом любой пользователь может отключить сервер от источника питания, перезапустить его, выбрать пункт **Консоль восстановления** в меню **Перезагрузка** и получить полный контроль над сервером. Таким образом, параметр **Консоль восстановления: разрешить автоматический вход администратора** имеет значение по умолчанию **Отключен** в базовых политиках всех трех сред, определенных в данном руководстве. Чтобы использовать консоль восстановления, если этот параметр отключен, пользователь должен ввести правильные имя пользователя и пароль для получения доступа к учетной записи консоли восстановления. ##### Консоль восстановления: разрешить копирование дискет и доступ ко всем дискам и папкам При включении этого параметра политики становится доступной команда **SET** консоли восстановления, которая позволяет задать следующие переменные среды консоли восстановления. - **vAllowWildCards**. Включает поддержку подстановочных знаков для некоторых команд (таких как команда DEL). - **AllowAllPaths**. Разрешает доступ ко всем файлам и папкам на компьютере. - **AllowRemovableMedia**. Разрешает копирование файлов на съемные носители, например на гибкие диски. - **NoCopyPrompt**. Отменяет вывод предупреждения при перезаписи существующего файла. Ради обеспечения максимальной безопасности в базовой политике среды SSLF параметру **Консоль восстановления: разрешить копирование дискет и доступ ко всем дискам и папкам** присваивается значение **Отключен**. Однако для сред LC и EC этому параметру политики присваивается значение **Включен**. #### Параметры завершения работы **Таблица 4.23. Параметры безопасности: рекомендации по настройке параметров завершения работы**
Параметр Среда устаревших клиентов Среда корпоративных клиентов Специальная безопасная среда с ограниченной функциональностью
Разрешить завершение работы системы без выполнения входа в систему Отключен Отключен Отключен
Очистка файла подкачки виртуальной памяти Отключен Отключен Отключен
##### Завершение работы: разрешить завершение работы системы без выполнения входа в систему Этот параметр политики определяет, можно ли завершить работу компьютера без входа в операционную систему Windows. Завершить работу компьютера может любой пользователь, имеющий доступ к консоли. Злоумышленник или пользователь, введенный в заблуждение, может подключиться к серверу с помощью служб терминалов и выключить или перезапустить его без прохождения идентификации. Таким образом, параметр **Завершение работы: разрешить завершение работы системы без выполнения входа в систему** имеет значение по умолчанию **Отключен** в базовых политиках всех трех сред, определенных в данном руководстве. ##### Завершение работы: очистка файла подкачки виртуальной памяти Этот параметр политики определяет, выполняется ли очистка файла подкачки виртуальной памяти при завершении работы системы. Если он включен, системный файл подкачки очищается при каждом нормальном завершении работы компьютера. При включении данного параметра политики на переносном компьютере также обнуляется файл спящего режима (Hiberfil.sys), если спящий режим отключен. Для выключения и перезапуска серверов требуется больше времени, что особенно заметно на серверах с большими файлами подкачки. По этим причинам параметру **Завершение работы: очистка файла подкачки виртуальной памяти** присваивается значение **Отключен** во всех трех средах, определенных в данном руководстве. **Примечание**. Злоумышленник, имеющий физический доступ к серверу, может обойти этот рубеж защиты, просто отключив сервер от источника питания. #### Параметры системной криптографии **Таблица 4.24. Параметры безопасности: рекомендации по настройке параметров системной криптографии**
Параметр Среда устаревших клиентов Среда корпоративных клиентов Специальная безопасная среда с ограниченной функциональностью
Применять сильную защиту пользовательских ключей, хранящихся на компьютере Пользователь получает запрос при первом использовании ключа Пользователь получает запрос при первом использовании ключа Пользователь должен вводить пароль при каждом использовании ключа
Использовать FIPS-совместимые алгоритмы для шифрования, хэширования и подписывания Отключен Отключен Включен
##### Системная криптография: применять сильную защиту пользовательских ключей, хранящихся на компьютере Этот параметр политики определяет, требуют ли закрытые ключи пользователей (такие как ключи S-MIME) использования паролей. Если настроить этот параметр политики таким образом, чтобы при каждом использовании ключа пользователи указывали пароль, отличный от доменного пароля, злоумышленникам будет сложнее получить доступ к ключам, хранящимся на локальной системе, даже если удастся раздобыть пароли для входа в систему. Ради удобства работы в базовых политиках сред LC и EC параметру **Системная криптография: применять сильную защиту пользовательских ключей, хранящихся на компьютере** присваивается значение **Пользователь получает запрос при первом использовании ключа**. Для обеспечения более надежной защиты в среде SSLF этому параметру присваивается значение **Пользователь должен вводить пароль при каждом использовании ключа**. ##### Системная криптография: использовать FIPS-совместимые алгоритмы для шифрования, хэширования и подписывания Этот параметр политики определяет, поддерживает ли поставщик безопасности TLS/SSL только комплект шифров TLS\_RSA\_WITH\_3DES\_EDE\_CBC\_SHA. Хотя этот параметр политики повышает уровень безопасности, большинство публичных веб-узлов, использующих протоколы TLS и SSL, не поддерживают эти алгоритмы. Многие клиентские компьютеры также не настроены на поддержку этих алгоритмов. Поэтому параметру **Системная криптография: использовать FIPS-совместимые алгоритмы для шифрования,** **хэшированияи подписывания** присваивается значение **Отключен**. Для среды SSLF этому параметру политики присваивается значение **Включен**. #### Параметры системных объектов **Таблица 4.25. Параметры безопасности: рекомендации по настройке параметров системных объектов**
Параметр Среда устаревших клиентов Среда корпоративных клиентов Специальная безопасная среда с ограниченной функциональностью
Владелец по умолчанию для объектов, созданных членами группы администраторов Создатель объекта Создатель объекта Создатель объекта
Учитывать регистр для подсистем, отличных от Windows Включен Включен Включен
Усилить разрешения по умолчанию для внутренних системных объектов (например символических ссылок) Включен Включен Включен
##### Системные объекты: владелец по умолчанию для объектов, созданных членами группы администраторов Этот параметр политики определяет, кто является владельцем по умолчанию любых создаваемых системных объектов: члены группы **Администраторы** или создатель объекта. Во втором случае при создании системных объектов владельцем является создавшая их учетная запись, а не более общая группа **Администраторы**. Параметру **Системные объекты: владелец по умолчанию для объектов, созданных членами группы администраторов** присваивается значение **Создатель объекта** в базовых политиках всех трех сред, определенных в данном руководстве. ##### Системные объекты: учитывать регистр для подсистем, отличных от Windows Этот параметр безопасности определяет, необходимо ли учитывать регистр для всех подсистем. Подсистема Microsoft Win32® нечувствительна к регистру. Однако ядро поддерживает чувствительность к регистру для других подсистем, таких как POSIX (Portable Operating System Interface for UNIX). Поскольку система Windows нечувствительна к регистру, а подсистема POSIX чувствительна, неправильное применение этого параметра позволяет пользователю POSIX создать файл с именем другого файла, включив в его имя буквы разного регистра. В результате другой пользователь может лишиться доступа к нужному файлу с помощью обычных средств Win32, так как будет доступен только один из файлов. Для обеспечения согласованности имен файлов параметру **Системные объекты: учитывать регистр для подсистем, отличных от Windows** присваивается значение **Включен** в базовых политиках всех трех сред, определенных в данном руководстве. ##### Системные объекты: усилить разрешения по умолчанию для внутренних системных объектов (например символических ссылок) Этот параметр политики определяет степень влияния списка управления доступом на уровне пользователей (DACL) по умолчанию на объекты и помогает защитить объекты, которые могут быть найдены и совместно использованы несколькими процессами. Для увеличения степени влияния списка DACL можно использовать значение по умолчанию **Включен**, которое позволяет пользователям, не являющимся администраторами, читать совместно используемые объекты, но не изменять объекты, созданные другими пользователями. Параметру **Системные объекты: усилить разрешения по умолчанию для внутренних системных объектов (например символических ссылок)** имеет значение по умолчанию **Включен** в базовых политиках всех трех сред, определенных в данном руководстве. #### Параметры системы **Таблица 4.26. Параметры безопасности: рекомендации по настройке параметров системы**
Параметр Среда устаревших клиентов Среда корпоративных клиентов Специальная безопасная среда с ограниченной функциональностью
Параметры системы: необязательные подсистемы Нет Нет Нет
Параметры системы: использовать правила сертификатов для исполняемых файлов Windows для политик ограниченного использования программ Не определен Отключен Включен
##### Параметры системы: необязательные подсистемы Этот параметр политики определяет подсистемы, используемые для поддержки приложений в среде. В Windows Server 2003 этот параметр политики имеет по умолчанию значение **POSIX**. Для отключения подсистемы POSIX параметру **Параметры системы: необязательные подсистемы** присваивается значение **Нет** в базовых политиках всех трех сред, определенных в данном руководстве. ##### Параметры системы: использовать правила сертификатов для исполняемых файлов Windows для политик ограниченного использования программ Этот параметр политики определяет, нужно ли обрабатывать цифровые сертификаты, если включены политики ограниченного использования программ, а пользователь или процесс пытается запустить файл с расширением EXE. Этот параметр включает или отключает правила сертификатов (тип правил политик ограниченного использования программ). Благодаря политикам ограниченного использования программ можно создать правило сертификатов, разрешающее или запрещающее выполнение программ, подписанных с использованием технологии Authenticode®, на основе цифрового сертификата, сопоставленного с программой. Если требуется активировать правила сертификатов в политиках ограниченного использования программ, этот параметр необходимо включить. В среде SSLF параметру **Параметры системы: использовать правила сертификатов для исполняемых файлов Windows для политик ограниченного использования программ** присваивается значение **Включен**. Однако из-за возможного ухудшения производительности в среде EC ему присваивается значение **Отключен**, а в среде LC — **Не определен**. [](#mainsection)[К началу страницы](#mainsection) ### Журнал событий В журнал событий записываются события, происходящие на компьютере, а в журнал безопасности — события аудита. Контейнер журнала событий групповой политики используется для определения атрибутов журналов событий приложений, безопасности и системы, таких как максимальный размер журнала, права доступа для каждого журнала, а также параметры и методы сохранения. Параметры журналов событий приложений, безопасности и системы настраиваются в базовой политике рядовых серверов и применяются ко всем рядовым серверам в домене. В Windows Server 2003 с пакетом обновления 1 параметры журнала событий можно настроить в следующем разделе редактора объектов групповой политики: **Конфигурация компьютера\\Параметры Windows\\Параметры безопасности\\Журнал событий** В данном разделе описаны рекомендованные настройки параметров журнала событий в базовых политиках рядовых серверов для всех трех сред, определенных в данном руководстве. Обзорные сведения о настройках, рекомендованных в этом разделе, см. в рабочей книге Microsoft Excel «Параметры безопасности Windows Server 2003», входящей в версию данного руководства, которую можно загрузить из Интернета. Сведения о конфигурации по умолчанию и подробное описание каждого параметра см. в дополнительном руководстве [Угрозы и меры противодействия: параметры безопасности в Windows Server 2003 и Windows XP](http://go.microsoft.com/fwlink/?linkid=15159) по адресу http://go.microsoft.com/fwlink/?LinkId=15159 (на английском языке). В таблице ниже приведены рекомендации по настройке параметров журнала событий для всех трех сред, определенных в данном руководстве. Дополнительные сведения о каждом параметре приведены в подразделах, следующих за таблицей. **Таблица 4.27. Рекомендации по настройке параметров журнала событий**
Параметр Среда устаревших клиентов Среда корпоративных клиентов Специальная безопасная среда с ограниченной функциональностью
Максимальный размер журнала приложений 16 384 КБ 16 384 КБ 16 384 КБ
Максимальный размер журнала безопасности 81 920 КБ 81 920 КБ 81 920 КБ
Максимальный размер системного журнала 16 384 КБ 16 384 КБ 16 384 КБ
Запретить доступ локальной группы гостей к журналу приложений Включен Включен Включен
Запретить доступ локальной группы гостей к журналу безопасности Включен Включен Включен
Запретить доступ локальной группы гостей к системному журналу Включен Включен Включен
Сохранение событий в журнале приложений По необходимости По необходимости По необходимости
Сохранение событий в журнале безопасности По необходимости По необходимости По необходимости
Сохранение событий в системном журнале По необходимости По необходимости По необходимости
#### Максимальный размер журнала приложений Этот параметр политики задает максимальный размер журнала событий приложений, который не может превышать 4 ГБ. Однако использовать такой размер не рекомендуется из-за возможной фрагментации памяти, которая приводит к снижению производительности системы и надежности регистрации событий. Требования к размеру журнала приложений зависят от функций платформы и от необходимости накопления записей журнала о событиях приложений. Параметр **Максимальный размер журнала приложений** имеет значение по умолчанию **16384 КБ** в базовых политиках всех трех сред, определенных в данном руководстве. #### Максимальный размер журнала безопасности Этот параметр политики задает максимальный размер журнала событий безопасности, который не может превышать 4 ГБ. На контроллерах домена и автономных серверах размер журнала безопасности должен составлять не менее 80 МБ, чтобы в нем можно было хранить достаточный объем сведений для проведения аудита. При настройке этого параметра политики на других компьютерах следует учитывать такие факторы, как частота просмотра журнала, объем свободного места на дисках и т. д. Параметру **Максимальный размер журнала безопасности** присваивается значение **81920 КБ** в базовых политиках всех трех сред, определенных в данном руководстве. #### Максимальный размер системного журнала Этот параметр политики задает максимальный размер журнала системных событий, который не может превышать 4 ГБ. Однако использовать такой размер не рекомендуется из-за возможной фрагментации памяти, которая приводит к снижению производительности системы и надежности регистрации событий. Требования к размеру системного журнала зависят от функций платформы и от необходимости накопления записей журнала. Параметр **Максимальный размер системного журнала** имеет значение по умолчанию **16384 КБ** в базовых политиках всех трех сред, определенных в данном руководстве. #### Запретить доступ локальной группы гостей к журналу приложений Этот параметр политики определяет, запрещен ли гостям доступ к журналу событий приложений. В Windows Server 2003 с пакетом обновления 1 гостевой доступ по умолчанию запрещен на всех компьютерах. Таким образом, на работу компьютеров с конфигурацией по умолчанию этот параметр не влияет. Но поскольку считается, что параметр **Запретить доступ локальной группы гостей к журналу приложений** обеспечивает дополнительную защиту без побочных эффектов, ему присваивается значение **Включен** в базовых политиках всех трех сред, определенных в данном руководстве. **Примечание**. Этот параметр отсутствует в объекте локальной политики компьютера. #### Запретить доступ локальной группы гостей к журналу безопасности Этот параметр политики определяет, запрещен ли гостям доступ к журналу событий безопасности. Для доступа к журналу безопасности пользователю должно быть назначено право **Управление аудитом и журналом безопасности** (не рассматриваемое в данном руководстве). Таким образом, на работу компьютеров с конфигурацией по умолчанию этот параметр не влияет. Но поскольку считается, что параметр **Запретить доступ локальной группы гостей к журналу безопасности** обеспечивает дополнительную защиту без побочных эффектов, ему присваивается значение **Включен** в базовых политиках всех трех сред, определенных в данном руководстве. **Примечание**. Этот параметр отсутствует в объекте локальной политики компьютера. #### Запретить доступ локальной группы гостей к системному журналу Этот параметр политики определяет, запрещен ли гостям доступ к системному журналу событий. В Windows Server 2003 с пакетом обновления 1 гостевой доступ по умолчанию запрещен на всех компьютерах. Таким образом, на работу компьютеров с конфигурацией по умолчанию этот параметр не влияет. Но поскольку считается, что параметр **Запретить доступ локальной группы гостей к системному журналу** обеспечивает дополнительную защиту без побочных эффектов, ему присваивается значение **Включен** в базовых политиках всех трех сред, определенных в данном руководстве. **Примечание**. Этот параметр отсутствует в объекте локальной политики компьютера. #### Сохранение событий в журнале приложений Этот параметр политики определяет способ перезаписи журнала приложений. Если события, хранящиеся в журнале приложений, могут пригодиться для использования в суде или для устранения неполадок, журнал приложений необходимо регулярно архивировать. Если события перезаписываются по мере необходимости, в журнале всегда будут храниться самые недавние события, хотя при этом могут утрачиваться более старые сведения. Параметру **Сохранение событий в журнале приложений** присваивается значение **По необходимости** в базовых политиках всех трех сред, определенных в данном руководстве. #### Сохранение событий в журнале безопасности Этот параметр политики определяет способ перезаписи журнала безопасности. Если события, хранящиеся в журнале безопасности, могут пригодиться для использования в суде или для устранения неполадок, журнал безопасности необходимо регулярно архивировать. Если события перезаписываются по мере необходимости, в журнале всегда будут храниться самые недавние события, хотя при этом могут утрачиваться более старые сведения. Параметру **Сохранение событий в журнале безопасности** присваивается значение **По необходимости** в базовых политиках всех трех сред, определенных в данном руководстве. #### Сохранение событий в системном журнале Этот параметр политики определяет способ перезаписи системного журнала. Если события, хранящиеся в системном журнале, могут пригодиться для использования в суде или для устранения неполадок, системный журнал необходимо регулярно архивировать. Если события перезаписываются по мере необходимости, в журнале всегда будут храниться самые недавние события, хотя при этом могут утрачиваться более старые сведения. Параметру **Сохранение событий в системном журнале** присваивается значение **По необходимости** в базовых политиках всех трех сред, определенных в данном руководстве. [](#mainsection)[К началу страницы](#mainsection) ### Дополнительные параметры реестра Для файлов базовых шаблонов безопасности, не определенных в файле административного шаблона (расширение ADM), который по умолчанию используется в трех описываемых средах безопасности, были созданы дополнительные записи реестра (также называемые *значениями реестра*). Файлы ADM определяют политики и ограничения для рабочего стола, оболочки и системы безопасности Windows Server 2003. Для автоматизации изменения эти параметры реестра встроены в шаблоны безопасности (в разделе «Параметры безопасности»). При удалении политики эти записи реестра не удаляются автоматически вместе с ней; их нужно вручную изменить с помощью средства редактирования реестра, такого как Regedt32.exe. Во всех трех средах используются одинаковые записи реестра. Дополнительные записи реестра, описываемые в данном руководстве, добавляются в редакторе конфигураций безопасности (SCE). Для добавления этих записей нужно изменить файл Sceregvl.inf (в папке **%windir%\\inf**) и заново зарегистрировать файл Scecli.dll file. В указанных ранее оснастках и средствах исходные и дополнительные записи безопасности отображаются в разделе **Локальные политики\\Безопасность**. На всех компьютерах, на которых будут редактироваться шаблоны безопасности и групповые политики, описываемые в данном руководстве, нужно будет обновить файл Sceregvl.inf и заново зарегистрировать файл** **Scecli.dll. Сведения об обновлении этих файлов см. в дополнительном руководстве [Угрозы и меры противодействия: параметры безопасности в системах Windows Server 2003 и Windows XP](http://go.microsoft.com/fwlink/?linkid=15159), которое можно загрузить по адресу http://go.microsoft.com/fwlink/?LinkId=15159 (на английском языке). В данном разделе приводятся только обзорные сведения о дополнительных параметрах реестра, подробно описанных в указанном руководстве. Сведения о параметрах по умолчанию и подробное описание каждого параметра, упоминаемого в этом разделе, см. в дополнительном руководстве *Угрозы и меры противодействия: параметры безопасности в Windows* *Server* *2003 и Windows* *XP*. #### Защита от сетевых атак Атаки типа «отказ в обслуживании» (DoS) — это сетевые атаки, призванные пользователей сети доступа к компьютеру или конкретной службе на нем. Защититься от таких атак непросто. Для этого на компьютерах, работающих под управлением Windows Server 2003 с пакетом обновления 1 и открытых для атак злоумышленников, нужно обеспечить своевременную установку исправлений безопасности и усилить защиту стека протоколов TCP/IP. В конфигурации по умолчанию стек протоколов TCP/IP оптимизирован для обработки стандартного трафика интрасети. Если компьютер подключен непосредственно к Интернету, рекомендуется усилить защиту стека TCP/IP от атак типа «отказ в обслуживании». Значения реестра, приведенные в следующей таблице, можно добавить в файл шаблона в разделе **HKEY\_LOCAL\_MACHINE\\System\\CurrentControlSet\\Services\\Tcpip\\Parameters\\** . **Таблица 4.28. Рекомендации по настройке параметров TCP/IP в реестре**
Параметр реестра Тип Среда устаревших клиентов Среда корпоративных клиентов Специальная безопасная среда с ограниченной функциональностью
EnableICMPRedirect DWORD 0 0 0
SynAttackProtect DWORD 1 1 1
EnableDeadGWDetect DWORD 0 0 0
KeepAliveTime DWORD 300 000 300 000 300 000
DisableIPSourceRouting DWORD 2 2 2
TcpMaxConnectResponseRetransmissions DWORD 2 2 2
TcpMaxDataRetransmissions DWORD 3 3 3
PerformRouterDiscovery DWORD 0 0 0
#### Другие параметры реестра В следующей таблице приведены рекомендации по настройке других параметров реестра, не уникальных для протоколов TCP/IP. Дополнительные сведения о каждом параметре приведены в подразделах, следующих за таблицей. **Таблица 4.29. Рекомендации по настройке других параметров реестра**
Параметр реестра Тип Среда устаревших клиентов Среда корпоративных клиентов Специальная безопасная среда с ограниченной функциональностью
MSS: (NoNameReleaseOnDemand) разрешить компьютеру пропускать запросы на освобождение имени NetBIOS за исключением запросов от WINS-серверов DWORD 1 1 1
MSS: (NtfsDisable8dot3NameCreation) разрешить компьютеру не создавать имена файлов в формате 8.3 (рекомендуется) DWORD 0 0 1
MSS: (NoDriveTypeAutoRun) отключить автозапуск для всех дисков (рекомендуется) DWORD 0xFF 0xFF 0xFF
MSS: (ScreenSaverGracePeriod) время в секундах до истечения периода отсрочки для экранной заставки (рекомендуется 0) Строка 0 0 0
MSS: (WarningLevel) пороговое значение (в процентах) для журнала событий безопасности, при котором система выдаст предупреждение DWORD 90 90 90
MSS: (SafeDllSearchMode) включить безопасный режим поиска DLL (рекомендуется) DWORD 1 1 1
MSS: (AutoReboot) разрешить автоматический перезапуск Windows после сбоя системы (рекомендуется во всех случаях за исключением сред с высоким уровнем безопасности) DWORD 1 1 0
MSS: (AutoAdminLogon) включить автоматический вход в систему (не рекомендуется) DWORD 0 0 0
MSS: (AutoShareWks) включить административные общие ресурсы (рекомендуется во всех случаях за исключением сред с высоким уровнем безопасности) DWORD 1 1 0
MSS: (DisableSavePassword) предотвращать сохранение паролей удаленного доступа (рекомендуется) DWORD 1 1 1
MSS: (NoDefaultExempt) включить исключение NoDefaultExempt для фильтрации IPSec (рекомендуется) DWORD 3 3 3
##### Настройка безопасности освобождения имени NetBIOS: разрешить компьютеру пропускать запросы на освобождение имени NetBIOS за исключением запросов от WINS-серверов В редакторе конфигураций безопасности эта запись выглядит следующим образом: **MSS: (NoNameReleaseOnDemand) разрешить компьютеру пропускать запросы на освобождение имени NetBIOS за исключением запросов от WINS-серверов**. NetBIOS поверх TCP/IP — это сетевой протокол, который (помимо других возможностей) позволяет легко разрешать имена NetBIOS, зарегистрированные на компьютерах с операционной системой Windows, в IP-адреса, заданные на этих компьютерах. Этот параметр определяет, освобождает ли компьютер имя NetBIOS при получении запроса на освобождение имени. Это значение реестра можно добавить в файл шаблона в разделе **HKEY\_LOCAL\_MACHINE\\System\\CurrentControlSet\\Services\\Netbt\\Parameters\\** . ##### Отключение автоматического создания имен файлов в формате 8.3: разрешить компьютеру не создавать имена файлов в формате 8.3 В редакторе конфигураций безопасности эта запись выглядит следующим образом: **MSS: (NtfsDisable8dot3NameCreation) разрешить компьютеру не создавать имена файлов в формате 8.3 (рекомендуется)**. В Windows Server 2003 с пакетом обновления 1 имена файлов в формате 8.3 поддерживаются ради обеспечения обратной совместимости с 16-разрядными приложениями. Соглашение об именах файлов вида 8.3 — это формат, позволяющий использовать имена файлов длиной не более восьми знаков. Это значение реестра можно добавить в файл шаблона в разделе **HKEY\_LOCAL\_MACHINE\\System\\CurrentControlSet\\Control\\FileSystem\\** . ##### Отключение автозапуска: отключить автозапуск для всех дисков В редакторе конфигураций безопасности эта запись выглядит следующим образом: **MSS: (NoDriveTypeAutoRun) отключить автозапуск для всех дисков (рекомендуется)**. При автозапуске чтение данных с диска на компьютере начинается сразу же после вставки носителя. Благодаря этому, например, при вставке носителя немедленно начинается установка программы или воспроизведение звука. Это значение реестра можно добавить в файл шаблона в разделе **HKEY\_LOCAL\_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\** . ##### Немедленная защита экранной заставки паролем: время в секундах до истечения периода отсрочки для экранной заставки (рекомендуется 0) В редакторе конфигураций безопасности эта запись выглядит следующим образом: **MSS: (ScreenSaverGracePeriod) время в секундах до истечения периода отсрочки для экранной заставки (рекомендуется 0)**. Windows включает период отсрочки между запуском экранной заставки и фактической автоматической блокировкой консоли, если включена блокировка при запуске экранной заставки. Это значение реестра можно добавить в файл шаблона в разделе **HKEY\_LOCAL\_MACHINE\\Software\\Microsoft\\Windows NT\\CurrentVersion\\** **Winlogon\\** . ##### Предупреждение о заполнении журнала безопасности: пороговое значение (в процентах) для журнала событий безопасности, при котором система выдаст предупреждение В редакторе конфигураций безопасности эта запись выглядит следующим образом: **MSS: (WarningLevel) пороговое значение (в процентах) для журнала событий безопасности, при котором система выдаст предупреждение**. Этот параметр появился в пакете обновления 3 для Windows 2000. Если он задан, при достижении журналом безопасности указанного пользователем размера в журнал вносится запись аудита безопасности. Например, если этому параметру реестра присвоено значение 90, то при заполнении журнала безопасности на 90 процентов в него будет внесена следующая запись с идентификатором события 523: «Журнал событий безопасности заполнен на 90 процентов». **Примечание**. Если для журнала задан параметр **Затирать старые события по необходимости** или **Затирать события старее x дней**, это событие не создается. Это значение реестра можно добавить в файл шаблона безопасности в разделе **HKEY\_LOCAL\_MACHINE\\ SYSTEM\\CurrentControlSet\\Services\\Eventlog\\Security\\** . ##### Включение безопасного режима поиска DLL: включить безопасный режим поиска DLL (рекомендуется) В редакторе конфигураций безопасности эта запись выглядит следующим образом: **MSS: (SafeDllSearchMode) включить безопасный режим поиска DLL (рекомендуется)**. Порядок поиска библиотек DLL, необходимых запущенным процессам, можно задать одним из двух способов: - сначала производится поиск по системному пути, затем — в текущей рабочей папке; - сначала производится поиск в текущей рабочей папке, затем — по системному пути. Этому параметру реестра присваивается значение 1, при котором сначала производится поиск по системному пути, а затем — в текущей рабочей папке. Если присвоить этому параметру значение 0, сначала будет производиться поиск в текущей рабочей папке, а затем — по системному пути. Это значение реестра можно добавить в файл шаблона в разделе **HKEY\_LOCAL\_MACHINE\\ SYSTEM\\CurrentControlSet\\Control\\Session Manager\\** . ##### Автоматическая перезагрузка: разрешить автоматический перезапуск Windows после сбоя системы В редакторе конфигураций безопасности эта запись выглядит следующим образом: **MSS: (AutoReboot) разрешить автоматический перезапуск Windows после сбоя системы** **(рекомендуется во всех случаях за исключением сред с высоким уровнем безопасности)**. Если этот параметр включен, серверу разрешается автоматически выполнять перезагрузку после критических сбоев. По умолчанию он включен, что на серверах с высокими требованиями к безопасности нежелательно. Это значение реестра можно добавить в файл шаблона в разделе **HKEY\_LOCAL\_MACHINE\\System\\CurrentControlSet\\Control\\CrashControl\\.** ##### Автоматический вход в систему: включить автоматический вход в систему В редакторе конфигураций безопасности эта запись выглядит следующим образом: **MSS: (AutoAdminLogon) включить автоматический вход в систему** **(не рекомендуется)**. По умолчанию этот параметр отключен, и включать его на серверах не следует практически никогда. Дополнительные сведения см. в статье базы знаний Майкрософт [Автоматизация входа в систему на компьютере под управлением Windows XP](http://support.microsoft.com/default.aspx?kbid=315231) (на английском языке), доступной по адресу http://support.microsoft.com/default.aspx?kbid=315231. Это значение реестра можно добавить в файл шаблона в разделе **HKEY\_LOCAL\_MACHINE\\Software\\Microsoft\\Windows NT\\CurrentVersion\\** **Winlogon\\.**      ##### Административные общие ресурсы: включить административные общие ресурсы В редакторе конфигураций безопасности эта запись выглядит следующим образом: **MSS: (AutoShareWks) включить административные общие ресурсы** **(рекомендуется во всех случаях за исключением сред с высоким уровнем безопасности)**. Если на сервере активен сетевой модуль Windows, система Windows по умолчанию создает скрытые административные общие ресурсы, что на серверах с высокими требованиями к безопасности нежелательно. Это значение реестра можно добавить в файл шаблона в разделе **HKEY\_LOCAL\_MACHINE\\System\\CurrentControlSet\\Services\\RasMan\\Parameters\\.** ##### Отключение сохранения паролей: предотвращать сохранение паролей удаленного доступа В редакторе конфигураций безопасности эта запись выглядит следующим образом: **MSS: (DisableSavePassword) предотвращать сохранение паролей удаленного доступа** **(рекомендуется)**. По умолчанию система Windows предлагает возможность сохранять пароли удаленного доступа и VPN-подключений, что на сервере нежелательно. Это значение реестра можно добавить в файл шаблона в разделе **HKEY\_LOCAL\_MACHINE\\System\\CurrentControlSet\\Services\\LanmanServer\\** **Parameters\\.** ##### Включение протокола IPSec для защиты трафика Kerberos RSVP: включить исключение NoDefaultExempt для фильтрации IPSec В редакторе конфигураций безопасности эта запись выглядит следующим образом: **MSS: (NoDefaultExempt) включить исключение NoDefaultExempt для фильтрации IPSec** **(рекомендуется)**. Исключения по умолчанию для фильтров политики IPsec описаны в интерактивной справке по Microsoft Windows Server 2003. Эти фильтры позволяют функционировать протоколам IKE (Internet Key Exchange) и Kerberos. Эти фильтры также позволяют сигнализировать о качестве обслуживания (RSVP), когда безопасность трафика обеспечивается IPsec, и о трафике, безопасность которого не может обеспечиваться IPsec, таком как трафик многоадресной и широковещательной рассылок. Это значение реестра можно добавить в файл шаблона в разделе **HKEY\_LOCAL\_MACHINE\\System\\CurrentControlSet\\Services\\IPSEC\\.** [](#mainsection)[К началу страницы](#mainsection) ### Группы с ограниченным доступом Группы с ограниченным доступом позволяют управлять членством в группах с помощью политик и предотвращать умышленное или случайное использование групп с правами пользователя, предоставляющими широкие возможности. При определении групп, для которых следует ограничить доступ, прежде всего нужно проанализировать требования организации. Во всех трех средах, определенных в данном руководстве, группы **Операторы архива** и **Опытные пользователи** являются группами с ограниченным доступом. Хотя члены групп **Операторы архива** и **Опытные пользователи** имеют более ограниченные права, чем члены группы **Администраторы**, эти права все же предоставляют широкие возможности. **Примечание.** Если в организации используются какие-либо из этих групп, следует тщательно контролировать членство в них и отказаться от выполнения рекомендаций по настройке групп с ограниченным доступом. Если организация добавляет пользователей в группу «Опытные пользователи», можно использовать необязательные разрешения на работу с файловой системой, описанные в следующем разделе, «Защита файловой системы». В Windows Server 2003 с пакетом обновления 1 параметр «Группы с ограниченным доступом» можно настроить в следующем разделе редактора объектов групповой политики: **Конфигураця компьютера\\Конфигурация Windows\\Параметры безопасности\\Группы с ограниченным доступом\\** Администраторы могут настраивать группы с ограниченным доступом, добавляя нужные группы непосредственно в базовую политику рядовых серверов. Если для группы ограничен доступ, можно определить ее члены и любые другие группы, к которым она относится. Если члены группы не указаны, доступ для группы остается полностью ограниченным. [](#mainsection)[К началу страницы](#mainsection) ### Защита файловой системы Файловая система NTFS совершенствовалась с каждым выпуском новой системы Microsoft Windows, и разрешения на работу с ней, действующие по умолчанию, отвечают требованиям большинства организаций. Параметры, описываемые в этом разделе, являются необязательными и ориентированы на организации, которые не используют группы с ограниченным доступом, но желают реализовать дополнительный уровень защиты серверов. Параметры безопасности файловой системы можно настроить в следующем разделе редактора объектов групповой политики: **Конфигурация компьютера\\Конфигурация Windows\\Параметры безопасности\\Файловая система** **Примечание**. Перед изменением действующих по умолчанию параметров безопасности файловой системы в крупной организации изменения следует тщательно протестировать в лабораторной среде. Крупные изменения разрешений на работу с файлами могут потребовать полного восстановления конфигурации компьютеров. В большинстве случаев разрешения на работу с файлами, действующие по умолчанию в системе Windows Server 2003 с пакетом обновления 1, изменять не требуется. Однако если в организации не планируется блокировать членство группы **Опытные пользователи** с помощью функции групп с ограниченным доступом или предполагается включить параметр **Доступ к сети: разрешать применение разрешений для всех к анонимным пользователям**, можно использовать необязательные разрешения, указанные в следующем абзаце. Они очень специфичны и налагают дополнительные ограничения на работу с некоторыми средствами, которые злоумышленник с повышенными привилегиями может использовать для дальнейшего проведения атак на компьютер или сеть. Имейте в виду, что эти изменения нельзя осуществить сразу для нескольких папок или корневой папки системного тома. Такой способ изменения разрешений сопряжен с высоким риском и мог бы нарушать стабильность работы компьютера. Все указанные ниже файлы хранятся в папке **%SystemRoot%\\System32\\**, и всем им назначены разрешения **Администраторы: полный доступ** **и** **Система: полный доступ**. - regedit.exe - arp.exe - at.exe - attrib.exe - cacls.exe - debug.exe - edlin.exe - eventcreate.exe - eventtriggers.exe - ftp.exe - nbtstat.exe - net.exe - net1.exe - netsh.exe - netstat.exe - nslookup.exe - ntbackup.exe - rcp.exe - reg.exe - regedt32.exe - regini.exe - regsvr32.exe - rexec.exe - route.exe - rsh.exe - sc.exe - secedit.exe - subst.exe - systeminfo.exe - telnet.exe - tftp.exe - tlntsvr.exe Ради удобства пользователей эти необязательные разрешения уже настроены в шаблоне безопасности **Optional-File-Permissions.inf**, прилагаемом к версии данного руководства, которую можно загрузить из Интернета. [](#mainsection)[К началу страницы](#mainsection) ### Дополнительные параметры безопасности Хотя большинство описанных в этом руководстве мер по усилению защиты базовых серверов основаны на использовании групповой политики, некоторые параметры сложно или невозможно задать с помощью групповой политики. Подробное описание всех мер противодействия, упомянутых в этом разделе, см. дополнительном руководстве [Угрозы и меры противодействия: параметры безопасности в Windows Server 2003 и Windows XP](http://go.microsoft.com/fwlink/?linkid=15159), которое доступно по адресу http://go.microsoft.com/fwlink/?LinkId=15159. #### Усиление защиты вручную В этом разделе рассказано о том, как для каждой среды безопасности, определенной в данном руководстве, вручную реализовать некоторые дополнительные меры обеспечения безопасности (такие как защита учетных записей). ##### Сопоставление уникальных групп безопасности с правами пользователя вручную Большинство рекомендованных групп безопасности для назначения прав пользователя настроены в шаблонах безопасности, прилагаемых к данному руководству. Однако некоторые права невозможно включить в шаблоны безопасности, потому что идентификаторы безопасности конкретных групп безопасности уникальны для различных доменов Windows Server 2003. Проблема заключается в том, что относительный идентификатор (RID), который является частью идентификатора безопасности, уникален. Эти права указаны в следующей таблице. **Внимание!** Следующая таблица включает параметры, задаваемые для встроенной учетной записи администратора. Это встроенная учетная запись пользователя, а *не* группа безопасности **Администраторы**. Если с какими-либо из следующих прав, отказывающих в выполнении тех или иных действий, будет сопоставлена группа безопасности **Администраторы**, для исправления этой ошибки нужно будет выполнить локальный вход в систему. Следует также отметить, что встроенная учетная запись администратора может иметь другое имя, если она была переименована в соответствии с данным ранее советом. При сопоставлении этой учетной записи с любыми из следующих прав пользователя убедитесь в том, что выбрана переименованная учетная запись администратора. **Таблица 4.30. Права пользователя, назначаемые вручную**
Название параметра в пользовательском интерфейсе Среда устаревших клиентов Среда корпоративных клиентов Среда специализированной безопасности с ограниченной функциональностью
Отказ в доступе к компьютеру из сети Встроенная учетная запись администратора; Support_388945a0; «Гость»; все учетные записи служб не операционной системы Встроенная учетная запись администратора; Support_388945a0; «Гость»; все учетные записи служб не операционной системы Встроенная учетная запись администратора; Support_388945a0; «Гость»; все учетные записи служб не операционной системы
Отказ во входе в качестве пакетного задания Support_388945a0 и «Гость» Support_388945a0 и «Гость» Support_388945a0 и «Гость»
Запретить вход в систему через службу терминалов Встроенная учетная запись администратора; «Гости»; Support_388945a0; «Гость»; все учетные записи служб не операционной системы Встроенная учетная запись администратора; «Гости»; Support_388945a0; «Гость»; все учетные записи служб не операционной системы Встроенная учетная запись администратора; «Гости»; Support_388945a0; «Гость»; все учетные записи служб не операционной системы
**Важно**. Все учетные записи служб не операционной системы представляют собой учетные записи служб, используемые конкретными приложениями в среде организации. В их число не входят встроенные учетные записи операционной системы «Локальная система», «Локальная служба» и «Сетевая служба». Чтобы вручную добавить указанные группы безопасности в базовую политику рядовых серверов для среды корпоративных клиентов, сделайте следующее. **Сопоставление групп безопасности с правами пользователя** В оснастке «Active Directory — пользователи и компьютеры» щелкните правой кнопкой мыши подразделение рядовых серверов и выберите пункт **Свойства**. 1. На вкладке «Групповая политика» выберите базовую политику рядовых серверов для среды корпоративных клиентов, чтобы изменить связанный с ней объект групповой политики. 2. Выберите базовую политику рядовых серверов для среды корпоративных клиентов и нажмите кнопку «Изменить». 3. В окне «Групповая политика» щелкните узел «Конфигурация компьютера\\Конфигурация Windows\\Параметры безопасности\\Локальные политики\\Назначение прав пользователя», чтобы сопоставить уникальные группы безопасности из приведенной выше таблицы с каждым правом. 4. Закройте измененную групповую политику. 5. Закройте окно свойств подразделения рядовых серверов. 6. Выполните принудительную репликацию между контроллерами домена, чтобы политика вступила в силу на всех этих системах. Сделайте для этого следующее. 1. Откройте окно командной строки, введите команду **gpupdate /Force** и нажмите клавишу ВВОД, чтобы сервер обновил политику. 2. Перезагрузите сервер. 7. Проверьте по журналу событий, что групповая политика успешно загружена на сервер и что сервер может взаимодействовать с другими контроллерами домена. ##### Защита известных учетных записей Система Windows Server 2003 с пакетом обновления 1 включает ряд встроенных учетных записей пользователей, которые нельзя удалить, но можно переименовать. Одними из самых известных встроенных учетных записей в Windows Server 2003 являются учетные записи «Гость» и «Администратор». На рядовых серверах и контроллерах домена учетная запись «Гость» по умолчанию отключена. Изменять это не следует. Осуществляя первые попытки нарушения защиты сервера, многие хакеры и вредоносные программы используют встроенную учетную запись администратора. Для предотвращения этого имя и описание встроенной учетной записи администратора можно изменить. За последние годы важность этого уменьшилась из-за появления средств проведения атак, которые указывают идентификатор безопасности встроенной учетной записи администратора для определения ее настоящего имени и затем взламывают защиту сервера. Идентификатор безопасности — это значение, уникально идентифицирующее в сети каждого пользователя, группу, учетную запись компьютера и сеанс работы с системой. Изменить идентификатор безопасности встроенной учетной записи администратора невозможно. Однако попытки проведения атак на нее можно легко отслеживать, если присвоить ей уникальное имя. Чтобы защитить известные учетные записи в доменах и на серверах, сделайте следующее. - Переименуйте учетные записи «Администратор» и «Гость» и назначьте им длинные сложные пароли в каждом домене и на каждом сервере. - Используйте на каждом сервере разные имена и пароли. Если во всех доменах и на всех серверах используются одинаковые имена учетных записей и пароли, хакер, получивший доступ к одному рядовому серверу, сможет получить доступ ко всем остальным системам с такими же именами учетных записей и паролями. - Измените описания учетных записей, используемые по умолчанию, чтобы затруднить идентификацию учетных записей. - Сохраните сведения о внесенных изменениях в надежном месте. **Примечание**. Встроенную учетную запись администратора можно переименовать с помощью групповой политики. Соответствующий параметр не реализован в базовой политике потому, что в каждой организации следует выбрать уникальное имя для этой учетной записи. Однако во всех трех средах, определенных в данном руководстве, параметр **Учетные записи: переименование учетной записи администратора** можно настроить так, чтобы учетным записям администраторов были присвоены другие имена. Этот параметр входит в число параметров безопасности объекта групповой политики. ##### Защита учетных записей служб Никогда не настраивайте службу для выполнения в контексте безопасности учетной записи домена, если этого можно избежать. При получении физического доступа к серверу пароли учетных записей домена можно легко узнать, создав дамп секретных данных LSA. Дополнительные сведения об обеспечении безопасности учетных записей служб см. в [Руководстве по планированию обеспечения безопасности служб и учетных записей служб](http://go.microsoft.com/fwlink/?linkid=41311) (на английском языке) по адресу http://go.microsoft.com/fwlink/?LinkId=41311. ##### Файловая система NTFS Разделы дисков с файловой системой NTFS поддерживают списки управления доступом (ACL) на уровнях файлов и папок. Файловые системы FAT и FAT32 списки управления доступом не поддерживают. FAT32 — это версия файловой системы FAT, которая создает по умолчанию кластеры значительно меньшего размера и поддерживает жесткие диски объемом до 2 ТБ. Файловая система FAT32 поддерживается в операционных системах Windows 95 OSR2, Windows 98, Microsoft Windows Me, Windows 2000, Windows XP Professional и Windows Server 2003. Во всех разделах дисков на всех серверах следует создать файловую систему NTFS. Для преобразования разделов FAT в NTFS используйте программу преобразования, но помните, что для преобразованных дисков она настраивает списки управления доступом как **Все: полный доступ**. На компьютерах под управлением Windows 2003 Server с пакетом обновления 1 следует локально применить два следующих шаблона безопасности с целью настройки используемых по умолчанию списков управления доступом файловой системы для рядовых серверов и контроллеров домена соответственно: - **%windir%\\inf\\defltsv.inf** - **%windir%\\inf\\defltdc.inf** **Примечание**. При преобразовании сервера в контроллер домена применяются действующие по умолчанию параметры безопасности контроллера домена. Все разделы дисков на серверах во всех трех средах, определенных в данном руководстве, отформатированы как разделы NTFS, чтобы можно было управлять безопасностью файлов и каталогов с помощью списков управления доступом. ##### Параметры служб терминалов Параметр **Установить уровень шифрования для клиентских подключений** определяет уровень шифрования клиентских подключений служб терминалов в среде. Значение **Высокий**, при котором используется 128-разрядное шифрование, предотвращает прослушивание сеансов служб терминалов с помощью анализатора пакетов. Некоторые старые версии клиентов служб терминалов не поддерживают этот уровень шифрования. Если сеть содержит такие клиенты, задайте для отправляемых и принимаемых данных самый высокий уровень шифрования, поддерживаемый клиентом. Настроить этот параметр можно в следующем разделе редактора объектов групповой политики: **Конфигурация компьютера\\Административные шаблоны\\Компоненты Windows\\** **Службы терминалов\\Шифрование и безопасность** **Таблица 4.31. Рекомендации по настройке уровня шифрования клиентских подключений**
Название параметра в пользовательском интерфейсе Среда устаревших клиентов Среда корпоративных клиентов Специальная безопасная среда с ограниченной функциональностью
Установить уровень шифрования для клиентских подключений Высокий Высокий Высокий
Три возможных уровня шифрования описаны в таблице ниже. **Таблица 4.32. Уровни шифрования подключений служб терминалов**
Уровень шифрования Описание
Высокий Данные, отправляемые клиентом серверу и сервером клиенту, шифруются с использованием надежного 128-разрядного алгоритма. Используйте этот уровень, если сервер терминалов работает в среде, включающей только 128-разрядные клиенты (такие как клиенты удаленного рабочего стола). Клиенты, не поддерживающие этот уровень шифрования, не смогут подключаться к серверу терминалов.
Совместимый с клиентским Данные, пересылаемые между клиентом и сервером, шифруются с максимальной разрядностью ключа, поддерживаемой клиентом. Используйте этот уровень, если сервер терминалов работает в среде, в состав которой входят разные или устаревшие клиенты.
Низкий Данные, отправляемые клиентом серверу, шифруются с использованием 56-разрядного алгоритма. Внимание! Данные, отправляемые сервером клиенту, не шифруются.

Отчеты об ошибках

Таблица 4.33. Рекомендации по настройке параметров регистрации ошибок

Параметр Среда устаревших клиентов Среда корпоративных клиентов Специальная безопасная среда с ограниченной функциональностью
Отключить отчеты об ошибках Windows Включен Включен Включен
Данная служба помогает корпорации Майкрософт отслеживать и устранять ошибки. Эту службу можно настроить на создание отчетов об ошибках операционной системы, компонентов Windows или программ. Она имеется только в системах Windows XP Professional и Windows Server 2003. Служба **отчетов об ошибках** может уведомить корпорацию Майкрософт об ошибках через Интернет или сохранить сведения о них во внутренней общей папке. Хотя отчеты об ошибках могут содержать важные и даже конфиденциальные сведения, политика конфиденциальности корпорации Майкрософт гарантирует, что корпорация Майкрософт не будет использовать эти сведения ненадлежащим образом. Однако посторонние могут перехватить и просмотреть эти данные, так как они передаются по протоколу HTTP открытым текстом. Параметр **Отключить отчеты об** **ошибках Windows** позволяет разрешить или запретить службе регистрации ошибок передавать какие-либо данные. В системе Windows Server 2003 этот параметр политики можно настроить в следующем разделе редактора объектов групповой политики: **Конфигурация компьютера\\Административные шаблоны\\Система\\Управление связью через Интернет\\Параметры связи через Интернет** Присвойте параметру **Отключить отчеты об** **ошибках Windows** значение **Включен** в базовой политике контроллеров домена для всех трех сред, определенных в данном руководстве. ##### Включение поддержки создания дампов памяти вручную Система Windows Server 2003 с пакетом обновления 1 поддерживает функцию, которая позволяет остановить работу компьютера и создать файл Memory.dmp. Включать эту функцию необходимо явным образом, но ее использование на всех серверах в организации может быть нецелесообразным. Если на некоторых серверах целесообразно создавать дампы памяти, можете выполнить действия, описанные в статье [Функция Windows позволяет создать файл Memory.dmp с помощью клавиатуры](http://support.microsoft.com/default.aspx?kbid=244139) по адресу http://support.microsoft.com/default.aspx?kbid=244139 (на английском языке). **Внимание!** При копировании содержимого памяти на диск в соответствии с процессом, описанным в указанной статье, в файл Memory.dmp могут быть включены конфиденциальные данные. В идеале все серверы должны быть защищены от несанкционированного физического доступа. Если дамп памяти создается на сервере, который подвергается риску физического взлома защиты, не забудьте удалить файл дампа после устранения неполадок. #### Создание базовой политики с помощью мастера настройки безопасности Для развертывания необходимых параметров безопасности нужно сначала создать базовую политику рядовых серверов. Для этого нужно использовать мастер настройки безопасности и шаблоны безопасности, прилагаемые к версии данного руководства, которую можно загрузить из Интернета. При создании собственной политики пропустите разделы «Параметры реестра» и «Политика аудита». Соответствующие параметры будут взяты из шаблонов безопасности для выбранной среды. Такой способ настройки гарантирует, что элементы политики, содержащиеся в шаблонах, будут иметь более высокий приоритет по сравнению с элементами, заданными с помощью мастера настройки безопасности. Все настройки следует выполнять на компьютере с вновь установленной операционной системой, чтобы избежать переноса устаревших параметров или приложений из прежних конфигураций. Для обеспечения максимальной совместимости старайтесь использовать оборудование, аналогичное тому, которое будет применяться при развертывании. Компьютер с заново установленной операционной системой называется *контрольным компьютером*. В ходе создания базовой политики рядовых серверов из списка обнаруженных ролей можно удалить роль файлового сервера. Эта роль часто бывает настроена на серверах, где она не нужна, и может представлять угрозу безопасности. Если на сервере требуется роль файлового сервера, ее можно включить при настройке другой политики, описанной ниже. **Создание базовой политики рядовых серверов** 1. Установите систему Windows Server 2003 с пакетом обновления 1 (SP1) на новый контрольный компьютер. 2. Установите компонент мастера настройки безопасности. Для этого откройте окно «Панель управления», выберите пункт «Установка и удаление программ» и щелкните пункт «Установка компонентов Windows». 3. Присоедините компьютер к домену. 4. Установите и настройте только обязательные приложения, которые будут использоваться на каждом сервере в среде. В их число могут входить агенты программного обеспечения и управления, агенты внешних хранилищ, а также антивирусные и антишпионские программы. 5. Запустите графический интерфейс пользователя мастера настройки безопасности, выберите пункт **Создать новую политику** и укажите контрольный компьютер. 6. Удалите из списка обнаруженных ролей роль файлового сервера. 7. Убедитесь в том, что обнаруженные роли сервера подходят для среды. 8. Убедитесь в том, что обнаруженные функции клиента подходят для среды. 9. Убедитесь в том, что обнаруженные административные возможности подходят для среды. 10. Убедитесь в том, что найдены все дополнительные службы, необходимые для выполнения базовых функций, например агенты внешних хранилищ и антивирусные программы. 11. Определите порядок работы со службами, которые не были указаны при создании политики. Для обеспечения дополнительной безопасности можно установить этот параметр политики в значение **Отключен**. Прежде чем развертывать конфигурацию в рабочей сети, ее необходимо протестировать, так как могут возникнуть проблемы, если на рабочих серверах запущены дополнительные службы, не продублированные на контрольном компьютере. 12. Убедитесь в том, что в разделе «Безопасность сети» снят флажок **Пропустить этот раздел**, затем нажмите кнопку **Далее**. Соответствующие порты и приложения, определенные ранее, настраиваются в качестве исключений брандмауэра Windows. 13. В разделе «Параметры реестра» установите флажок **Пропустить этот раздел** и нажмите кнопку **Далее**. Данные параметры политики импортируются из прилагаемого файла с расширением INF. 14. В разделе «Политика аудита» установите флажок **Пропустить этот раздел** и нажмите кнопку **Далее**. Данные параметры политики импортируются из прилагаемого файла с расширением INF. 15. Включите соответствующий шаблон безопасности (например EC-Member Server Baseline.inf). 16. Сохраните политику с подходящим именем (например Member Server Baseline.xml). #### Проверка политики с помощью мастера настройки безопасности После создания и сохранения политики, настоятельно рекомендуется развернуть ее в тестовой среде. В идеале тестовые серверы должны включать то же оборудование и конфигурацию программного обеспечения, что и рабочие серверы. Это позволит обнаружить и устранить возможные проблемы, например присутствие непредусмотренных служб, затребованных определенными устройствами. Для тестирования политики используются два способа. Можно воспользоваться встроенными функциями развертывания мастера настройки безопасности или развернуть политики с помощью объекта групповой политики. Приступая к созданию политик, следует рассмотреть возможность использования встроенных средств развертывания мастера настройки безопасности. Принудительно отправить политику на отдельный сервер можно с помощью мастера настройки безопасности, для группы серверов можно использовать средство Scwcmd. Встроенный метод развертывания делает возможным откат примененных политик с помощью мастера настройки безопасности. Данная функция может быть очень полезна при внесении множественных изменений в политики в ходе тестирования. Цель тестирования политик — удостовериться, что применение той или иной политики к серверам не повлияет негативно на их основные функции. После применения настроек, следует проверить базовую функциональность компьютера. Например, если сервер настроен как центр сертификации, следует удостовериться, что клиенты смогут запрашивать и загружать сертификаты, списки отзыва сертификатов и т. д. По окончании работы с настройкой политик, следует использовать команду Scwcmd (см. процедуру ниже) для преобразования политик в объекты групповой политики. Дополнительные сведения о тестировании политик мастера настройки безопасности см. в [руководстве по развертыванию для мастера настройки безопасности](http://technet.microsoft.com/ru-ru/library/cc776871.aspx) по адресу http://technet2.microsoft.com/WindowsServer/rus/Library/5254f8cd-143e-4559-a299-9c723b3669461033.mspx (на английском языке) и в [документации по мастеру настройки безопасности](http://go.microsoft.com/fwlink/?linkid=43450) по адресу http://go.microsoft.com/fwlink/?linkid=43450 (на английском языке). #### Преобразование и развертывание политики После тщательного тестирования политики выполните следующие действия по преобразованию в объект групповой политики и развертыванию: 1. введите в командной строке команду ``` scwcmd transform /p:<путь\_к\_политике.xml> /g:<отображаемое\_имя\_GPO> ``` и нажмите клавишу ВВОД. Пример. **Примечание.** Строка разбита на несколько строк для удобства чтения. Однако при использовании в системе необходимо ввести команды одной строкой без разрывов. ``` scwcmd transform /p:"C:\\Windows\\Security\\msscw\\Policies\\ Member Server Baseline.xml" /g:"Member Server Baseline Policy" ``` **Примечание**. В приведенном примере текст, который необходимо ввести в командную строку, разбит на две части в связи с ограничениями экрана. Этот текст следует вводить одной строкой. 2. Используйте консоль управления групповыми политиками для сопоставления созданного объекта групповой политики соответствующему подразделению. Если файл политики безопасности для мастера настройки безопасности содержит параметры брандмауэра Windows, то для успешного завершения этой процедуры брандмауэр Windows должен быть запущен на локальном компьютере. Чтобы запустить брандмауэр Windows, откройте панель управления и выберите пункт **Брандмауэр Windows**. Выполните окончательную проверку правильности значений параметров объекта групповых политик. Для завершения процедуры подтвердите, что значения параметров установлены правильно и функциональные возможности не изменились. [](#mainsection)[К началу страницы](#mainsection) ### Заключение В этой главе описаны процедуры усиления защиты серверов, которые первоначально применяются ко всем серверам под управлением системы Windows Server 2003 с пакетом обновления 1 во всех трех средах безопасности, определенных в данном руководстве. В большинстве этих процедур для достижения целевого уровня безопасности создается уникальный шаблон безопасности для каждой среды безопасности, после чего он импортируется в объект групповой политики, связываемый с родительским подразделением рядового сервера. Однако некоторые из этих процедур усиления защиты невозможно выполнить с помощью групповой политики. Для соответствующих параметров в этой главе приведены инструкции по их настройке вручную. Кроме того, в ней описаны дополнительные действия, которые нужно выполнить для обеспечения максимальной безопасности конкретных серверных ролей. В число этих специфичных для серверных ролей действий входят как процедуры усиления защиты, так и процедуры, ослабляющие строгость настройки параметров безопасности в базовой политике безопасности. Эти изменения подробно рассматриваются в следующих главах данного руководства. #### Дополнительные сведения Приведенные ниже ссылки указывают на материалы с дополнительными сведениями об укреплении защиты серверов с Windows Server 2003 с пакетом обновления 1 (SP1). - Дополнительные сведения о параметрах безопасности Windows Server 2003 см. на странице [Описание параметров безопасности](http://technet.microsoft.com/ru-ru/library/cc739828.aspx) по адресу http://technet2.microsoft.com/WindowsServer/rus/Library/dd980ca3-f686-4ffc-a617-50c6240f55821033.mspx (на английском языке). - Дополнительные сведения о безопасности системы Windows Server 2003 см. в [Центре обеспечения безопасности Windows Server 2003](http://www.microsoft.com/technet/security/prodtech/windowsserver2003.mspx) по адресу www.microsoft.com/technet/security/prodtech/windowsserver2003.mspx (на английском языке). - Дополнительные сведения о политике аудита Windows Server 2003 см. на странице [Политика аудита](http://technet.microsoft.com/ru-ru/library/cc779526.aspx) по адресу http://technet2.microsoft.com/WindowsServer/rus/Library/6847e72b-9c47-42ab-b3e3-691addac9f331033.mspx (на английском языке). - Дополнительные сведения о службе Microsoft Operations Manager (MOM) см. на странице [Microsoft Operations Manager](http://www.microsoft.com/mom/) по адресу www.microsoft.com/mom/ (на английском языке). - Дополнительные сведения о правах пользователей в Windows Server 2003 см. на странице [Права пользователей](http://technet.microsoft.com/ru-ru/library/cc778337.aspx) по адресу http://technet2.microsoft.com/WindowsServer/rus/Library/589980fb-1a83-490e-a745-357750ced3d91033.mspx (на английском языке). - Дополнительные сведения о параметрах безопасности по умолчанию в Windows Server 2003 см. на странице [Различия параметров безопасности по умолчанию](http://technet.microsoft.com/ru-ru/library/cc772745.aspx) по адресу http://technet2.microsoft.com/WindowsServer/rus/Library/1494bf2c-b596-4785-93bb-bc86f8e548d51033.mspx (на английском языке). - Дополнительные сведения о защите служб терминалов Windows 2000 см. в статье [Защита служб терминалов Windows 2000](http://www.microsoft.com/technet/prodtechnol/win2kts/maintain/optimize/secw2kts.mspx) по адресу www.microsoft.com/technet/prodtechnol/win2kts/maintain/optimize/secw2kts.mspx (на английском языке). - Дополнительные сведения о защите стека протоколов TCP/IP в Windows Server 2003 см. в статье базы знаний Майкрософт [Защита стека протоколов TCP/IP от атак типа «отказ в обслуживании» в Windows Server 2003](http://support.microsoft.com/?kbid=324270) по адресу http://support.microsoft.com/?kbid=324270 (на английском языке). - Дополнительные сведения о настройке параметров безопасности для приложений Windows Sockets см. в статье базы знаний Майкрософт [Сервер Интернета недоступен из-за SYN-атак](http://support.microsoft.com/?kbid=142641) по адресу http://support.microsoft.com/?kbid=142641 (на английском языке). - Дополнительные сведения о расположении файлов ADM см. в статье базы знаний Майкрософт [Расположение файлов административных шаблонов (ADM) в Windows](http://support.microsoft.com/?kbid=228460) по адресу http://support.microsoft.com/?kbid=228460 (на английском языке). - Дополнительные сведения о настройке пользовательского интерфейса редактора конфигураций безопасности см. в статье базы знаний Майкрософт [Добавление пользовательских параметров реестра в редактор конфигураций безопасности](http://support.microsoft.com/?kbid=214752) по адресу http://support.microsoft.com/?kbid=214752 (на английском языке). - Дополнительные сведения о создании файлов пользовательских административных шаблонов в Windows см. в статье базы знаний Майкрософт [Создание пользовательских административных шаблонов в Windows 2000](http://support.microsoft.com/?kbid=323639) по адресу http://support.microsoft.com/?kbid=323639. См. также документ [Использование файлов административного шаблона с групповой политикой на основе реестра](http://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/management/gp/admtgp.mspx) по адресу www.microsoft.com/technet/prodtechnol/windowsserver2003/ technologies/management/gp/admtgp.mspx (на английском языке). - Дополнительные сведения о том, как гарантировать работоспособность параметров более защищенного уровня проверки подлинности LAN Manager в смешанной среде с компьютерами под управлением Windows 2000 и Windows NT 4.0, см. в статье базы знаний Майкрософт [Проблемы проверки подлинности в системе Windows 2000 с уровнями NTLM 2 выше двух в домене Windows NT 4.0](http://support.microsoft.com/?kbid=305379) по адресу http://support.microsoft.com/?kbid=305379 (на английском языке). - Дополнительные сведения о проверке подлинности NTLMv2 см. в статье базы знаний Майкрософт [Активизация проверки подлинности NTLM 2](http://support.microsoft.com/?kbid=239869) по адресу http://support.microsoft.com/?kbid=239869. - Дополнительные сведения о действующих по умолчанию параметрах служб Windows Server 2003 см. на странице [Параметры служб, действующие по умолчанию](http://technet.microsoft.com/ru-ru/library/cc785922.aspx) по адресу http://technet2.microsoft.com/WindowsServer/rus/Library/2b1dc6cf-2e34-4681-9aa6-8d0ffba2d3e31033.mspx (на английском языке). - Дополнительные сведения о реализации технологии смарт-карт см. в статье [Сделайте сеть более «интеллектуальной» с помощью смарт-карт](http://www.microsoft.com/technet/technetmag/issues/2005/01/smartcards/default.aspx) по адресу www.microsoft.com/technet/technetmag/issues/2005/01/SmartCards/default.aspx (на английском языке). - Дополнительные сведения о значении реестра, запрещающем анонимный доступ, и системе Windows 2000 см. в статье базы знаний Майкрософт [Значение реестра «RestrictAnonymous» может нарушить доверие домену Windows 2000](http://support.microsoft.com/?kbid=296405) http://support.microsoft.com/?kbid=296405 (на английском языке). - Дополнительные сведения о создании отчетов об ошибках см. на странице [Корпоративные отчеты об ошибках](http://www.microsoft.com/licensing/sa/default.mspx) по адресу www.microsoft.com/resources/satech/cer/ (на английском языке). - Сведения о сетевых портах, используемых приложениями корпорации Майкрософт, см. в статье базы знаний Майкрософт [Службы и сетевые порты в серверных системах Microsoft Windows](http://support.microsoft.com/kb/832017) по адресу http://support.microsoft.com/kb/832017. **Загрузить** [Загрузить руководство по безопасности Windows Server 2003 (на английском языке)](http://go.microsoft.com/fwlink/?linkid=14846) **Уведомления об обновлении** [Подпишитесь, чтобы вовремя узнавать об обновлениях и новых выпусках](http://go.microsoft.com/fwlink/?linkid=54982) **Обратная связь** [Присылайте свои комментарии и предложения.](mailto:secwish@microsoft.com?subject=windows%20server%202003%20security%20guide) [](#mainsection)[К началу страницы](#mainsection)