Поделиться через

Руководство по безопасности Windows Server 2003

Глава 5. Базовая политика контроллеров домена

Опубликовано 20 апреля 2007 г.

На этой странице

Обзор Параметры политики аудита Параметры назначения прав пользователя Параметры безопасности Параметры журнала событий Группы с ограниченным доступом Дополнительные параметры безопасности Создание политики с помощью мастера настройки безопасности Заключение

Обзор

Обеспечение безопасности серверной роли контроллера домена — одна из самых важных задач в любой среде с компьютерами с Microsoft® Windows Server™ 2003 с пакетом обновления 1 и службой каталогов Active Directory®. Любые сбои в работе контроллера домена и нарушения его защиты в такой среде могут серьезно повлиять на функционирование клиентских компьютеров, серверов и приложений, которые используют контроллеры домена для проверки подлинности, реализации групповой политики и как центральный каталог LDAP.

Ввиду важности контроллеров домена их всегда следует размещать в физически защищенных местах, доступных только квалифицированным сотрудникам административной службы. Если контроллеры домена находятся в незащищенных местах, таких как филиалы компаний, настроив некоторые параметры безопасности, можно уменьшить потенциальный ущерб от физических угроз.

Базовая политика контроллеров домена

В отличие от политик других серверных ролей, которые будут описаны позднее, групповая политика для серверной роли контроллера домена является базовой, как и базовая политика рядовых серверов, определенная в главе 4 «Базовая политика рядовых серверов». Базовая политика контроллеров домена связана с подразделением контроллеров домена и имеет более высокий приоритет, чем политика контроллеров домена по умолчанию. Параметры, входящие в базовую политику контроллеров домена, позволяют повысить общую безопасность всех контроллеров домена в любой среде.

Базовая политика контроллеров домена мало чем отличается от базовой политики рядовых серверов. Таким образом, чтобы полностью разобраться со многими параметрами базовой политики контроллеров домена, следует повторить материал, изложенный в главе 4 «Базовая политика рядовых серверов». В данной главе описываются только те параметры базовой политики контроллеров домена, которые отличаются от параметров базовой политики рядовых серверов.

Шаблоны контроллеров домена специально разработаны для удовлетворения требований, предъявляемых к безопасности в трех средах, определенных в данном руководстве. В таблице ниже указаны прилагаемые к данному руководству файлы INF для контроллеров домена в средах устаревших клиентов (LC), корпоративных клиентов (EC) и специальной безопасной среды с ограниченной функциональностью (SSLF). Например, файл шаблона безопасности для среды корпоративных клиентов называется EC-Domain Controller.inf.

Таблица 5.1. Базовые шаблоны безопасности контроллеров домена

Среда устаревших клиентов Среда корпоративных клиентов Специальная безопасная среда с ограниченной функциональностью
LC-Domain Controller.inf EC-Domain Controller.inf SSLF-Domain Controller.inf
**Примечание**. Сопоставление неправильно настроенного объекта групповой политики (GPO) с подразделением контроллеров домена может крайне отрицательно сказаться на работе домена. Будьте очень внимательны при импорте этих шаблонов безопасности и проверяйте правильность настройки всех импортируемых параметров политики при сопоставлении объекта групповой политики с подразделением контроллеров домена. [](#mainsection)[К началу страницы](#mainsection) ### Параметры политики аудита Параметры политики аудита контроллеров домена почти не отличаются от параметров базовой политики рядовых северов. Дополнительные сведения см. в главе 4 «Базовая политика рядовых серверов». Эти параметры в базовой политике контроллеров домена гарантируют, что на контроллерах домена будут сохраняться все необходимые сведения аудита безопасности. **Таблица 5.2. Рекомендации по настройке параметров политики аудита**
Параметр Среда устаревших клиентов Среда корпоративных клиентов Специальная безопасная среда с ограниченной функциональностью
Аудит доступа к службе каталогов Нет аудита Нет аудита Отказ
#### Аудит доступа к службе каталогов Этот параметр политики определяет необходимость аудита доступа пользователей к объекту Active Directory, имеющему собственный системный список управления доступом (SACL). Определяя параметр **Аудит доступа к службе каталогов**, можно задать аудит успехов или неудач либо отключить аудит всех типов событий. При аудите успехов запись аудита создается, когда пользователь успешно получает доступ к объекту Active Directory с заданным списком SACL. При аудите неудач запись аудита создается, когда пользователь неудачно пытается получить доступ к объекту Active Directory с заданным списком SACL. Если включить параметр **Аудит доступа к службе каталогов** в базовой политике контроллеров домена и настроить списки SACL для объектов каталога, в журналы безопасности на контроллерах домена может добавляться большое количество записей. Включать этот параметр следует только в том случае, если записываемые в журнал сведения действительно нужны. В средах LC и EC параметру **Аудит доступа к службе каталогов** присваивается значение **Нет аудита**. В среде SSLF он настраивается для регистрации событий **Отказ**. В таблице ниже указаны важные события безопасности, которые регистрируются в журнале безопасности при заданном параметре **Аудит доступа к службе каталогов**. **Таблица 5.3. События доступа к службе каталогов**
Код события Описание события
Код Описание
566 Выполнена общая операция над объектом.
[](#mainsection)[К началу страницы](#mainsection) ### Параметры назначения прав пользователя В базовой политике контроллеров домена им назначается ряд прав пользователя. Некоторые параметры прав пользователя по умолчанию в ней изменены для повышения безопасности контроллеров домена во всех трех средах, определенных в данном руководстве. В этом разделе приводятся рекомендации по настройке прав пользователя в базовой политике контроллеров домена для тех случаев, когда она отличается от базовой политики рядовых серверов. Обзорные сведения о параметрах, рекомендованных в этом разделе, см. в рабочей книге Microsoft Excel® «Параметры безопасности Windows Server 2003», прилагаемой к версии данного руководства, которую можно загрузить из Интернета. В следующей таблице приведены рекомендации по настройке прав пользователя в базовой политике контроллеров домена. Дополнительные сведения о каждом параметре приведены в подразделах, следующих за таблицей. **Таблица 5.4. Рекомендации по настройке прав пользователя**
Параметр Среда устаревших клиентов Среда корпоративных клиентов Специальная безопасная среда с ограниченной функциональностью
Доступ к компьютеру из сети Не определен Не определен «Администраторы», «Прошедшие проверку», «КОНТРОЛЛЕРЫ ДОМЕНА ПРЕДПРИЯТИЯ»
Добавление рабочих станций к домену Не определен Не определен «Администраторы»
Локальный вход в систему «Администраторы», «Операторы сервера», «Операторы архива» «Администраторы», «Операторы сервера», «Операторы архива» «Администраторы»
Разрешать вход в систему через службу терминалов «Администраторы» «Администраторы» «Администраторы»
Изменение системного времени «Администраторы», «ЛОКАЛЬНАЯ СЛУЖБА» «Администраторы», «ЛОКАЛЬНАЯ СЛУЖБА» «Администраторы», «ЛОКАЛЬНАЯ СЛУЖБА»
Разрешение доверия к учетным записям компьютеров и пользователей при делегировании Не определен Не определен «Администраторы»
Загрузка и выгрузка драйверов устройств «Администраторы» «Администраторы» «Администраторы»
Восстановление файлов и каталогов «Администраторы» «Администраторы» «Администраторы»
Завершение работы системы «Администраторы» «Администраторы» «Администраторы»
#### Доступ к компьютеру из сети Этот параметр политики определяет пользователей и группы, которым разрешено подключаться к контроллеру домена по сети. Это необходимо для выполнения ряда сетевых операций, в том числе репликации Active Directory между контроллерами домена, отправки запросов проверки подлинности от пользователей и компьютеров контроллерам домена и доступа к общим папкам и принтерам. Несмотря на то, что разрешения, назначенные группе безопасности **Все** в Windows Server 2003 с пакетом обновления 1, больше не предоставляют доступа к системе анонимным пользователям, его все же можно предоставить гостевым группам и учетным записям с помощьюэтой группы безопасности. Поэтому в базовой политике контроллеров домена для среды SSLF группа безопасности **Все** лишена права пользователя **Доступ к компьютеру из сети**. Это обеспечивает дополнительную защиту от атак, направленных на получение гостевого доступа к домену. В средах LC и EC этому параметру политики присваивается значение **Не определен**. #### Добавление рабочих станций к домену Этот параметр политики определяет, какие пользователи могут добавлять рабочие станции к определенному домену. Чтобы он вступил в силу, его нужно назначить пользователю в политике контроллеров домена по умолчанию. Пользователь, которому назначено это право, может добавить к домену до 10 рабочих станций. Пользователи, которым назначено право **Создание объектов-компьютеров** для подразделения или контейнера компьютеров в Active Directory, могут добавить к домену неограниченное число компьютеров независимо от того, назначено ли им право **Добавление рабочих станций к домену**. По умолчанию все пользователи из группы **Прошедшие проверку** могут добавить до 10 учетных записей компьютеров к домену Active Directory. Эти учетные записи компьютеров создаются в контейнере компьютеров. В сетях Windows *участниками безопасности* называются пользователи, группы или компьютеры, которым автоматически назначаются идентификаторы безопасности для управления доступом к ресурсам. В домене Active Directory каждая учетная запись компьютера является полноценным участником безопасности, способным проверять подлинность ресурсов домена и получать к ним доступ. Однако в некоторых организациях иногда желательно ограничить количество компьютеров в среде Active Directory, чтобы можно было согласованно следить за ними, настраивать их и администрировать. Если пользователям разрешено добавлять компьютеры к домену, следить за компьютерами и управлять ими сложнее. Кроме того, при этом пользователи могут выполнять действия, которые труднее отслеживать из-за имеющейся у пользователей возможности несанкционированно создавать дополнительные компьютеры домена. Поэтому в базовой политике контроллеров домена для среды SSLF право пользователя **Добавление рабочих станций к домену** назначается только группе **Администраторы**. В средах LC и EC этому параметру политики присваивается значение **Не определен**. #### Локальный вход в систему Этот параметр политики определяет пользователей, которым разрешается начинать интерактивные сеансы работы на контроллере домена. Пользователи, не имеющие этого права, могут удаленно начинать интерактивные сеансы работы на контроллере домена, если им назначено право **Разрешать вход в систему через службу терминалов**. Число учетных записей, которым разрешается использовать консоли контроллера домена, следует ограничить ради предотвращения несанкционированного доступа к файловым системам и системным службам контроллера домена. Пользователь, которому предоставлен доступ к консоли контроллера домена, может злоупотребить уязвимостями компьютера и нарушить безопасность всего домена или леса. По умолчанию на контроллерах домена право пользователя **Локальный вход в систему** назначается группам **Операторы учета**, **Операторы архива**, **Операторы печати** и **Операторы сервера**. Членам этих групп не нужна возможность входа в систему контроллера домена для выполнения задач управления, и они должны быть способны выполнять свои задачи с других рабочих станций. Выполнять задачи обслуживания на контроллерах домена должны только члены группы **Администраторы**. Если право пользователя **Локальный вход в систему** назначено только группе **Администраторы**, физический и интерактивный доступ к контроллеру домена имеют только надежные компетентные пользователи, что повышает безопасность среды. Поэтому в базовой политике контроллеров домена для среды SSLF право пользователя **Локальный вход в систему** назначается только группе **Администраторы**. В средах LC и EC это право назначается группам **Операторы сервера** и **Операторы архива**. #### Разрешать вход в систему через службу терминалов Этот параметр политики определяет пользователей, которым разрешается входить в систему на контроллере домена с помощью подключения к удаленному рабочему столу. Число учетных записей, которым разрешается получать доступ к консолям контроллера домена через службу терминалов, следует ограничить ради предотвращения несанкционированного доступа к файловым системам и системным службам контроллера домена. Пользователь, которому предоставлен доступ к консоли контроллера домена через службу терминалов, может злоупотребить уязвимостями компьютера и нарушить безопасность всего домена или леса. Если право пользователя **Разрешать вход в систему через службу терминалов** назначено только группе **Администраторы**, интерактивный доступ к контроллеру домена имеют только надежные компетентные пользователи, что повышает безопасность среды. По этой причине в базовой политике контроллеров домена право пользователя **Разрешать вход в систему через службу терминалов** назначается только группе **Администраторы** во всех трех средах, определенных в данном руководстве. Хотя по умолчанию для входа в систему контроллера домена через службу терминалов необходим административный доступ, настроив этот параметр политики, можно улучшить защиту от случайных или умышленных действий, которые могут нарушить безопасность сети. Ради дополнительного укрепления безопасности в базовой политике контроллеров домена учетная запись администратора по умолчанию лишена права **Разрешать вход в систему через службу терминалов**. Это блокирует попытки злоумышленников удаленно получить доступ к контроллеру домена с помощью учетной записи администратора по умолчанию. Дополнительные сведения об этом параметре политики см. в главе 4 «Базовая политика рядовых серверов». #### Изменение системного времени Этот параметр политики определяет, какие пользователи могут изменять время на внутренних часах компьютера. Однако для изменения часового пояса или других отображаемых характеристик системного времени это право не требуется. Синхронизация системного времени крайне важна для работы службы Active Directory. Процессы репликации Active Directory и создания билетов проверки подлинности, используемые протоколом проверки подлинности Kerberos, требуют, чтобы время было синхронизировано во всей среде. Несоответствие времени на разных контроллерах домена в среде может нарушить нормальную работу служб домена. Если изменять системное время могут только администраторы, вероятность того, что показания системных часов на контроллере домена окажутся неправильными, будет сведена к минимуму. Право изменять системное время на контроллерах домена имеют по умолчанию только члены группы **Операторы сервера**. Из-за проблем, которые могут возникнуть после неправильного изменения показаний часов контроллера домена членами этой группы, в базовой политике контроллеров домена для всех трех сред, определенных в данном руководстве, право пользователя **Изменение системного времени** назначается только группе **Администраторы** и учетной записи **Локальная служба**. Дополнительные сведения о службе времени Microsoft Windows® см. в [Техническом руководстве по службе времени Windows](http://technet.microsoft.com/ru-ru/library/cc773061.aspx), доступном по адресу http://technet2.microsoft.com/WindowsServer/rus/Library/a0fcd250-e5f7-41b3-b0e8-240f8236e2101033.mspx (на английском языке). #### Разрешение доверия к учетным записям компьютеров и пользователей при делегировании Этот параметр политики определяет, кто из пользователей может изменять параметр **Делегирование разрешено** для объектов пользователей или компьютеров в Active Directory. Делегирование проверки подлинности используется многоуровневыми приложениями с архитектурой «клиент-сервер». Оно позволяет службе на внешнем сервере (например приложению) использовать учетные данные клиента при выполнении проверки подлинности для службы на внутреннем сервере (например, для базы данных). Чтобы такая проверка подлинности была возможна, и на клиенте, и на сервере должны использоваться учетные записи, доверие к которым при делегировании разрешено. Неправильное применение этого права пользователя может позволить пользователям, не имеющим соответствующих полномочий, выдавать себя за других пользователей в сети. Злоумышленник может воспользоваться этим правом для получения доступа к сетевым ресурсам под видом другого пользователя, что может затруднить анализ происшествий в сфере безопасности. На контроллерах домена в среде SSLF право пользователя **Разрешение доверия к учетным записям компьютеров и пользователей при делегировании** назначается только группе **Администраторы**. В средах LC и EC этому параметру политики присваивается значение **Не определен**. **Примечание**. Хотя в политике контроллеров домена по умолчанию это право пользователя назначается группе **Администраторы**, в базовой политике контроллеров домена это право реализуется только в среде SSLF, потому что данная политика первоначально была основана на базовой политике рядовых серверов. В базовой политике рядовых серверов этому параметру присваивается значение NULL. #### Загрузка и выгрузка драйверов устройств Этот параметр политики определяет, какие пользователи могут загружать и выгружать драйверы устройств, и необходим для загрузки и выгрузки драйверов устройств, поддерживающих технологию Plug and Play. Небрежное управление драйверами устройств на контроллерах домена повышает вероятность того, что нормальная работа контроллеров домена будет нарушена из-за ошибок или вредоносных программ. Если право загружать и выгружать драйверы устройств предоставить в базовой политике контроллеров домена только самым надежным пользователям, вероятность нарушения безопасности контроллеров домена с помощью драйверов устройств будет сведена к минимуму. По умолчанию право пользователя **Загрузка и выгрузка драйверов устройств** назначается группе **Операторы печати**. Как уже говорилось, создавать общие принтеры на контроллерах домена не рекомендуется, поэтому членам группы **Операторы печати** возможность загрузки и выгрузки драйверов устройств не нужна. Таким образом, в базовой политике контроллеров домена во всех трех средах, определенных в данном руководстве, право пользователя **Загрузка и выгрузка драйверов устройств** назначается только группе **Администраторы**. #### Восстановление файлов и каталогов Этот параметр политики определяет пользователей, которые могут обойти разрешения на работу с файлами и каталогами при их восстановлении. Владельцем объекта может быть назначен любой действительный участник безопасности. Учетная запись, которой разрешено восстанавливать файлы и каталоги в файловой системе контроллера домена, может легко изменять исполняемые файлы. Злоумышленники могут использовать это не только для нарушения работы контроллера домена, но и для взлома защиты домена или всего леса. По умолчанию право пользователя **Восстановление файлов и каталогов** назначается группам **Операторы сервера** и **Операторы архива**. Если лишить эти группы данного права и назначить его только группе **Администраторы**, вероятность нарушения безопасности контроллера домена из-за неправильных изменений файловой системы будет снижена. Таким образом, в базовой политике контроллеров домена во всех трех средах, определенных в данном руководстве, право пользователя **Восстановление файлов и каталогов** назначается только группе **Администраторы**. #### Завершение работы системы Этот параметр политики определяет, какие пользователи могут завершать работу локального компьютера. Злоумышленники, имеющие возможность завершать работу контроллеров домена, способны легко устроить атаку типа «отказ в обслуживании», которая может серьезно нарушить работу всего домена или леса. Хакер может использовать это право для повышения уровня прав учетной записи на контроллере домена при перезапуске служб. Успешное повышение уровня прав ставит под угрозу безопасность домена или всего леса. По умолчанию право пользователя **Завершение работы системы** назначается группам **Администраторы**, **Операторы сервера**, **Операторы печати** и **Операторы архива**. В средах с высокими требованиями к безопасности ни одна из этих групп за исключением группы **Администраторы** не нуждается в данном праве для выполнения административных задач. Поэтому в базовой политике контроллеров домена во всех трех средах, определенных в данном руководстве, право пользователя **Завершение работы системы** назначается только группе **Администраторы**. [](#mainsection)[К началу страницы](#mainsection) ### Параметры безопасности Большинство параметров безопасности контроллеров домена не отличаются от аналогичных параметров в базовой политике рядовых серверов. Дополнительные сведения см. в главе 4 «Базовая политика рядовых серверов». Различия параметров базовой политики рядовых серверов и базовой политики контроллеров домена описаны в следующих разделах. #### Параметры контроллеров домена **Таблица 5.5. Параметры безопасности: рекомендации по настройке параметров контроллеров домена**
Параметр Среда устаревших клиентов Среда корпоративных клиентов Специальная безопасная среда с ограниченной функциональностью
Разрешить операторам сервера задавать выполнение заданий по расписанию Отключен Отключен Отключен
Требование цифровой подписи для LDAP-сервера Не определен Не определен Требуется цифровая подпись
Запретить изменение пароля учетных записей компьютера Отключен Отключен Отключен
##### Контроллер домена: разрешить операторам сервера задавать выполнение заданий по расписанию Этот параметр политики определяет, разрешено ли членам группы **Операторы сервера** запускать задания при помощи средства создания расписаний «AT». Параметру **Контроллер домена: разрешить операторам сервера задавать выполнение заданий по расписанию** присваивается значение **Отключен** в базовой политике контроллеров домена во всех трех средах, определенных в данном руководстве. В большинстве организаций настройка этого параметра политики не приводит к значительным изменениям. Пользователи, в том числе члены группы **Операторы сервера**, все равно могут создавать задания с помощью мастера планирования заданий, но они будут выполняться в контексте учетной записи, с которой пользователь прошел проверку подлинности при настройке задания. **Примечание**. Учетную запись службы «AT» можно изменить таким образом, чтобы выбиралась учетная запись, отличная от учетной записи «ЛОКАЛЬНАЯ СИСТЕМА». Для изменения учетной записи выберите в меню «Служебные» пункт **Назначенные задания** и щелкните папку **Стандартные**. Затем выберите в меню **Дополнительно** пункт **Учетная запись службы «AT»**. ##### Контроллер домена: требование цифровой подписи для LDAP-сервера Этот параметр политики определяет, требует ли LDAP-сервер подпись до ее согласования с LDAP-клиентами. Неподписанный и незашифрованный сетевой трафик уязвим для атак «злоумышленник в середине», при которых хакер перехватывает пакеты, передаваемые сервером клиенту, изменяет их и отправляет измененные пакеты клиенту. На LDAP-сервере это позволяет злоумышленнику заставить LDAP-клиент принимать решения, основанные на ложных записях каталога LDAP. Если все контроллеры домена работают под управлением Windows 2000 или Windows Server 2003, присвойте параметру **Контроллер домена: требование цифровой подписи для LDAP-сервера** значение **Требуется цифровая подпись**. В противном случае оставьте значение **Не определен**, которое присваивается данному параметру в базовой политике контроллеров домена для сред LC и EC. В базовой политике контроллеров домена для среды SSLF этому параметру политики присваивается значение **Требуется цифровая подпись**, потому что все компьютеры в этой среде работают под управлением Windows 2000 или Windows Server 2003. ##### Контроллер домена: запретить изменение пароля учетных записей компьютера Этот параметр политики определяет, будут ли контроллеры домена отклонять запросы компьютеров, входящих в домен, на изменение паролей их учетных записей. Если включить этот параметр политики на всех контроллерах домена в домене, пароли учетных записей компьютеров на членах домена нельзя будет изменить, из-за чего они будут более уязвимы для атак. Таким образом, в базовой политике контроллеров домена во всех трех средах, определенных в данном руководстве, параметру **Контроллер домена: запретить изменение пароля учетных записей компьютера** присваивается значение **Отключен**. #### Параметры сетевой безопасности **Таблица 5.6. Параметры безопасности: рекомендации по настройке параметров сетевой безопасности**
Параметр Среда устаревших клиентов Среда корпоративных клиентов Специальная безопасная среда с ограниченной функциональностью
Не хранить хэш-значения LAN Manager при следующей смене пароля Включен Включен Включен
#### Сетевая безопасность: не хранить хэш-значения LAN Manager при следующей смене пароля Этот параметр политики определяет, будут ли храниться хэш-значения LAN Manager (LM) для новых паролей при изменении пароля. Хэш LM относительно ненадежен и уязвим для атак в сравнении с более криптостойким хэшем Windows NT®. По этой причине в базовой политике контроллеров домена во всех трех средах, определенных в данном руководстве, параметр **Сетевая безопасность: не хранить хэш-значения LAN Manager при следующей смене пароля** включен. **Примечание**. Включение этого параметра может привести к ошибкам в работе старых операционных систем и некоторых приложений сторонних разработчиков. Например, в системах Windows 95 и Windows 98 будут происходить ошибки, если в них не установлено расширение клиента Active Directory. Кроме того, при включении данного параметра политики нужно изменить пароли всех учетных записей. [](#mainsection)[К началу страницы](#mainsection) ### Параметры журнала событий Параметры журнала событий на контроллерах домена не отличаются от аналогичных параметров в базовой политике рядовых серверов. Дополнительные сведения см. в главе 4 «Базовая политика рядовых серверов». Базовые параметры в базовой политике контроллеров домена гарантируют, что на контроллерах домена будут сохраняться все необходимые сведения аудита безопасности, включая сведения о доступе к службе каталогов. [](#mainsection)[К началу страницы](#mainsection) ### Группы с ограниченным доступом Как было сказано в предыдущей главе, параметр **Группы с ограниченным доступом** позволяет управлять членством групп в Windows Server 2003 с пакетом обновления 1 (SP1) с помощью групповой политики Active Directory. При определении групп, для которых следует ограничить доступ, прежде всего нужно проанализировать требования организации. Во всех трех средах, описанных в данном руководстве, группы **Операторы сервера** и **Операторы архива** являются на контроллерах домена группами с ограниченным доступом. Хотя члены групп **Операторы сервера** и **Операторы архива** имеют более ограниченные права, чем члены группы **Администраторы**, они все равно обладают широкими возможностями. **Примечание.** Если в организации используются какие-либо из этих групп, следует тщательно контролировать членство в них и отказаться от выполнения рекомендаций по настройкегрупп с ограниченным доступом. Если организация добавляет пользователей в группу «Пользователи сервера», можно реализовать необязательные разрешения на работу с файловой системой, описанные в предыдущей главе в разделе «Защита файловой системы». **Таблица 5.7. Рекомендации по настройке групп с ограниченным доступом**
Локальная группа Среда устаревших клиентов Среда корпоративных клиентов Специальная безопасная среда с ограниченной функциональностью
Операторы архива Нет членов Нет членов Нет членов
Операторы сервера Нет членов Нет членов Нет членов
В Windows Server 2003 с пакетом обновления 1 (SP1) параметр **Группы с ограниченным доступом** можно настроить в следующем разделе редактора объектов групповой политики: **Конфигурация компьютера\\Конфигурация Windows\\Параметры безопасности\\Группы с ограниченным доступом\\** Чтобы настроить группы с ограниченным доступом для объекта групповой политики, администраторы могут добавить нужные группы непосредственно в узел **Группы с ограниченным доступом** пространства имен объекта групповой политики. Если для группы ограничен доступ, можно определить ее членов и любые другие группы, к которым она относится. Если члены группы не указаны, группа остается полностью закрытой. Доступ для групп можно ограничить только с помощью шаблонов безопасности. **Просмотр или изменение групп с ограниченным доступом** 1. Откройте консоль управления шаблонами безопасности. **Примечание**. По умолчанию консоль управления шаблонами безопасности не добавляется в меню «Администрирование». Чтобы добавить ее, запустите консоль управления (mmc.exe) и добавьте надстройку «Шаблоны безопасности». 2. Дважды щелкните каталог с конфигурационным файлом, а затем — конфигурационный файл. 3. Дважды щелкните элемент **Группы с ограниченным доступом**. 4. Щелкните элемент **Группы с ограниченным доступом** правой кнопкой мыши. 5. Выберите пункт **Добавить группу**. 6. Нажмите кнопку **Обзор**, а затем **Размещение**, выберите места, которые нужно просмотреть, и нажмите кнопку **ОК**. **Примечание**. Как правило, после этого локальный компьютер отображается в начале списка. 7. Введите имя группы в поле **Введите имена объектов для выбора** и нажмите кнопку **Проверить имена**. — или — Нажмите кнопку **Дополнительно**, а затем **Найти**, чтобы просмотреть список всех доступных групп. 8. Выберите группы, для которых нужно ограничить доступ, и нажмите кнопку **ОК**. 9. Нажмите кнопку **ОК** в диалоговом окне **Добавление групп**, чтобы закрыть его. В средах LC и EC все члены — пользователи и группы — удалены из групп **Операторы сервера** и **Операторы архива**, чтобы полностью закрыть для них доступ. В среде SSLF все члены удалены также из группы **Пользователи удаленного рабочего стола**. Корпорация Майкрософт рекомендует ограничивать доступ для всех встроенных групп, которые не предполагается использовать в организации. **Примечание**. Конфигурация групп с ограниченным доступом, описанная в данном разделе, очень проста. Системы Windows XP с пакетом обновления 1 и 2 и Windows Server 2003 поддерживают более сложные схемы. Дополнительные сведения см. в статье базы знаний Майкрософт [Изменения работы пользовательских локальных групп в контексте групп с ограниченным доступом](http://support.microsoft.com/default.aspx?kbid=810076) по адресу http://support.microsoft.com/default.aspx?kbid=810076 (на английском языке). [](#mainsection)[К началу страницы](#mainsection) ### Дополнительные параметры безопасности В этом разделе описаны изменения, которые необходимо вручную внести в базовую политику контроллеров домена, а также дополнительные параметры и защитные меры, которые нельзя реализовать через групповую политику. #### Сопоставление уникальных групп безопасности с правами пользователя вручную Большинство прав пользователя, назначаемых с помощью базовой политики контроллеров домена, настроены в шаблонах безопасности, прилагаемых к данному руководству. Однако некоторые учетные записи и группы безопасности нельзя включить в эти шаблоны, так как их идентификаторы безопасности (SID) различаются для каждого домена Windows Server 2003. Права пользователей, которые следует настроить вручную, указаны в таблице ниже. **Внимание**! Таблица ниже содержит значения для встроенной учетной записи администратора. Не следует путать эту учетную запись со встроенной группой безопасности **Администраторы**. Если с какими-либо из следующих прав запрета доступа, будет сопоставлена группа безопасности **Администраторы**, для исправления этой ошибки нужно будет выполнить локальный вход в систему. Кроме того, если встроенная учетная запись администратора была переименована в соответствии с рекомендациями, приведенными в главе 4, при ее сопоставлении со следующими правами пользователя нужно убедиться в том, что выбрана действительно переименованная учетная запись. **Таблица 5.8. Права пользователя, назначаемые вручную**
Параметр Среда устаревших клиентов Среда корпоративных клиентов Специальная безопасная среда с ограниченной функциональностью
Отказ в доступе к компьютеру из сети Встроенная учетная запись администратора, Support_388945a0, Учетная запись гостя, все учетные записи служб, не относящихся к операционной системе Встроенная учетная запись администратора, Support_388945a0, Учетная запись гостя, все учетные записи служб, не относящихся к операционной системе Встроенная учетная запись администратора, Support_388945a0, Учетная запись гостя, все учетные записи служб, не относящихся к операционной системе
Отказ во входе в систему в качестве пакетного задания Support_388945a0 и учетная запись гостя Support_388945a0 и учетная запись гостя Support_388945a0 и учетная запись гостя
Запретить вход в систему через службу терминалов Встроенная учетная запись администратора; все учетные записи служб, не относящихся к операционной системе Встроенная учетная запись администратора; все учетные записи служб, не относящихся к операционной системе Встроенная учетная запись администратора; все учетные записи служб, не относящихся к операционной системе
**Внимание**! К понятию «все учетные записи служб, не относящихся к операционной системе» относятся учетные записи служб, используемые на предприятии для определенных приложений, КРОМЕ таких учетных записей как «ЛОКАЛЬНАЯ СИСТЕМА», «ЛОКАЛЬНАЯ СЛУЖБА» и «СЕТЕВАЯ СЛУЖБА». Эти встроенные учетные записи используются операционной системой. #### Службы каталогов Контроллеры домена с Windows Server 2003 с пакетом обновления 1 (SP1) хранят данные каталогов и управляют взаимодействием пользователей и доменов, в том числе процессами входа пользователей в систему, проверки подлинности и поиска данных в каталогах. ##### Перемещение файлов баз данных и журналов Active Directory Для поддержания целостности и надежности каталогов необходимо защищать базу данных Active Directory и ее файлы журналов. Файлы Ntds.dit, Edb.log и Temp.edb можно переместить из папки по умолчанию в другое место. Это помогает скрыть их от злоумышленника на тот случай, если безопасность контроллера домена будет нарушена. Если переместить их с системного тома на отдельный физический диск, это к тому же повысит производительность контроллера домена. Поэтому на контроллерах домена рекомендуется перемещать файлы базы данных и журналов Active Directory на чередующийся или чередующийся зеркальный том диска, не содержащий операционной системы. Это относится ко всем трем средам, рассматриваемым в данном руководстве. ##### Изменение размера файлов журналов Active Directory Для эффективного контроля и поддержания целостности, надежности и готовности среды Active Directory необходимо собирать релевантные сведения в адекватном объеме на всех контроллерах домена в среде. Выполнение этой задачи можно облегчить, увеличив максимальный размер файлов журналов. Дополнительные сведения в журналах могут помочь администраторам в проведении аудита при реагировании на атаки хакеров. Во всех трех средах, рассматриваемых в данном руководстве, максимальный размер файлов журналов службы каталогов и службы репликации файлов рекомендуется увеличить на контроллерах домена со значения по умолчанию (512 КБ) до 16 МБ. ##### Использование программы Syskey На контроллерах домена сведения о паролях хранятся в службе Active Directory. Программы взлома паролей часто используются для проведения атак на базу данных диспетчера учетных записей безопасности (SAM) или службы каталогов с целью получения паролей учетных записей пользователей. Программа System Key (Syskey) обеспечивает дополнительную защиту от таких программ, работающих в автономном режиме. Для защиты паролей учетных записей, хранящихся в базе данных SAM на контроллере домена, программа Syskey использует алгоритмы надежного шифрования данных. **Таблица 5.9. Режимы работы программы Syskey**
Параметр программы System Key Уровень безопасности Описание
Режим 1. Создаваемый системой пароль, хранить ключ запуска на локальном диске Высокий В качестве системного ключа используется создаваемый компьютером случайный ключ, зашифрованная версия которого сохраняется на локальном компьютере. Этот вариант обеспечивает надежное шифрование паролей в реестре и позволяет пользователям перезапускать компьютер без обращения к администратору с тем, чтобы он ввел пароль или вставил дискету.
Режим 2. Создаваемый администратором пароль, пароль запуска Более высокий В качестве системного ключа используется создаваемый компьютером случайный ключ, зашифрованная версия которого сохраняется на локальном компьютере. Кроме того, ключ защищается паролем, который выбирает администратор. Пароль системного ключа запрашивается у пользователя в ходе запуска компьютера. На компьютере этот пароль не хранится.
Режим 3. Создаваемый системой пароль, хранить ключ запуска на дискете Самый высокий Используется создаваемый компьютером случайный ключ, который сохраняется на дискете. Дискета с системным ключом необходима для запуска компьютера и должна быть вставлена в дисковод при отображении соответствующего приглашения в ходе запуска компьютера. На компьютере системный ключ не хранится.
Программа Syskey используется на всех серверах Windows Server 2003 с пакетом обновления 1 (SP1) в режиме 1 (зашифрованный ключ). С точки зрения безопасности это на первый взгляд кажется благоразумным. Однако при работе в режиме 1 программа Syskey позволяет злоумышленникам читать и изменять содержимое каталога, что делает контроллер домена легкой мишенью для злоумышленников, имеющих физический доступ к нему. Есть много причин рекомендовать использовать программу Syskey в режиме 2 (консольный пароль) или режиме 3 (хранение пароля Syskey на дискете) на всех контроллерах домена, подвергающихся физическим угрозам. Однако необходимость перезапускать контроллеры домена затрудняет использование программы Syskey в режиме 2 или 3. Чтобы можно было воспользоваться преимуществами дополнительной защиты, обеспечиваемой этими режимами, в среде необходимо реализовать соответствующие операционные процессы для удовлетворения конкретных требований к доступности контроллеров домена. Управление паролями Syskey или дискетами может быть довольно сложным, особенно в филиалах компаний. Например, если менеджерам филиала или локальным администраторам раз за разом приходится приезжать ночью в офис, чтобы ввести пароли или вставить дискету в дисковод для предоставления пользователям доступа к системе, связанные с этим расходы могут оказаться неприемлемо высокими. Такие строгие требования могут значительно затруднить выполнение соглашений об уровне обслуживания в контексте доступности систем. С другой стороны, чтобы централизованное ИТ-отделение могло предоставлять пароли Syskey удаленно, необходимо дополнительное оборудование. Некоторые изготовители оборудования предлагают дополнительные решения, обеспечивающие удаленный доступ к консолям сервера. Наконец, при утрате пароля Syskey или дискеты перезапустить контроллер домена будет невозможно. Нет никакого способа, позволяющего восстановить контроллер домена в такой ситуации. При утрате пароля Syskey или дискеты контроллер домена необходимо настраивать заново. Тем не менее, если реализованы соответствующие операционные процедуры, программа Syskey позволяет надежнее защитить важные данные каталогов на контроллерах домена. По этим причинам на контроллерах домена без надежной физической защиты рекомендуется использовать программу Syskey в режиме 2 или 3. Это относится к контроллерам доменов во всех трех средах, описанных в данном руководстве. **Чтобы создать или обновить системный ключ, выполните следующие действия.** 1. Нажмите кнопку **Пуск**, выберите пункт **Выполнить**, введите **syskey** и нажмите кнопку **ОК**. 2. Установите переключатель в положение **Шифрование включено** и нажмите кнопку **Обновить**. 3. Выберите в появившемся окне нужный вариант и нажмите кнопку **ОК**. #### Служба DNS, интегрированная в Active Directory Рекомендуется использовать во всех трех средах, описанных в данном руководстве, службу DNS, интегрированную в Active Directory. Одной из причин этого является то, что интеграция зон Active Directory упрощает обеспечение безопасности DNS-инфраструктуры в среде со службой DNS, интегрированной в Active Directory, в сравнении со средой, в которой служба DNS, интегрированная в Active Directory, не используется. ##### Защита DNS-серверов В любой среде Active Directory крайне важно обеспечить безопасность DNS-серверов. В следующих разделах приводятся рекомендации и указания по поводу того, как это сделать. При проведении атаки на DNS-сервер одной из целей злоумышленника может быть получение контроля над данными DNS, возвращаемыми в ответ на запросы DNS-клиентов. Если хакер контролирует эти данные, он может тайно перенаправить клиентские системы на неавторизованные компьютеры. Примерами атак этого типа могут служить подделка IP-адресов и заброс ложных данных в кэш. При подделке IP-адресов пересылаемому пакету назначается IP-адрес авторизованного пользователя ради получения доступа к компьютеру или сети. Заброс ложных данных в кэш — это атака, при которой неавторизованный узел передает ложные сведения о другом узле, записываемые в кэш DNS-сервера. В результате клиенты перенаправляются к неавторизованным компьютерам. Если клиентам разрешено взаимодействовать с неавторизованными компьютерами, пользователи этих компьютеров могут попытаться получить доступ к сведениям, хранящимся на клиентских системах. Не все атаки направлены на подделку DNS-серверов. При некоторых атаках типа «отказ в обслуживании» злоумышленники могут попытаться изменить записи DNS на подлинных DNS-серверах, чтобы клиентам в ответ на их запросы предоставлялись неверные адреса. Если DNS-сервер будет возвращать неверные адреса, клиенты и серверы не смогут обнаружить ресурсы, нужные для их работы, такие как контроллеры домена, веб-серверы или общие папки. Поэтому маршрутизаторы, используемые в трех средах, определенных в данном руководстве, настраиваются для отбрасывания поддельных IP-пакетов. Это помогает бороться с подделкой IP-адресов DNS-серверов другими компьютерами. ##### Настройка безопасных динамических обновлений **Клиентская служба DNS** в Windows Server 2003 с пакетом обновления 1 поддерживает динамические обновления DNS, что позволяет клиентским компьютерам добавлять записи DNS непосредственно в базу данных. Если сервер динамической службы DNS настроен для приема незащищенных обновлений, злоумышленник может отправить ему вредоносные или несанкционированные обновления с клиентского компьютера, поддерживающего протокол динамического обновления DNS. Как минимум, злоумышленник может добавить ложные записи в базу данных DNS. В худшем случае злоумышленник может перезаписать или удалить подлинные записи в базе данных DNS. Такой злоумышленник может добиться следующих результатов: - **Направить клиентские системы на неавторизованные контроллеры доменов**. Когда клиент отправляет запрос DNS, чтобы определить адрес контроллера домена, DNS-сервер с нарушенной защитой может в соответствии с указаниями злоумышленника возвратить ему адрес неавторизованного сервера. Затем при помощи других атак, не связанных с DNS, злоумышленник может добиться передачи клиентом конфиденциальных сведений на неавторизованный сервер. - **Отправить в ответ на запрос DNS неверный адрес**. В этом случае клиенты и серверы не смогут найти друг друга. Если клиент не может найти сервер, ему не удается получить доступ к каталогу. Если контроллер домена не может найти другой контроллер домена, репликация каталогов останавливается, что приводит к отказу в обслуживании, влияющему на пользователей во всем лесу. - **Создать условия для отказа в обслуживании**. Хранение на сервере крупного файла зоны, заполненного бессмысленными записями или включающего большое количество записей, замедляющих репликацию, может привести к исчерпанию свободного места на диске сервера. Использование безопасных динамических обновлений DNS гарантирует, что запросы на регистрацию будут обрабатываться только в том случае, если они получены от настоящих клиентов в лесу Active Directory. Это значительно затрудняет злоумышленнику нарушение целостности DNS-сервера. По этим причинам во всех трех средах, определенных в данном руководстве, DNS-серверы Active Directory настраиваются так, чтобы принимать только безопасные динамические обновления. ##### Ограничение передач зоны авторизованными системами Зоны имеют большое значение в DNS, поэтому они должны быть доступны более чем с одного DNS-сервера в сети. Это необходимо для обеспечения адекватной доступности и отказоустойчивости системы, обслуживающей запросы разрешения имен. Если зону обслуживают дополнительные серверы, для репликации и синхронизации всех копий зоны для каждого сервера, обслуживающего зону, необходимо выполнить передачу зоны. Кроме того, DNS-сервер, который не ограничивает число узлов, способных запросить передачу зоны, уязвим перед передачей всей зоны DNS любому, кто ее запросит. Это можно легко сделать с помощью таких программ, как Nslookup.exe. Подобные средства могут предоставить доступ к набору данных DNS всего домена, в том числе к сведениям о том, какие узлы выполняют функции контроллеров домена или веб-серверов, интегрированных в каталог, либо обслуживают базы данных Microsoft SQL Server™. Поэтому во всех трех средах, определенных в данном руководстве, для DNS-серверов, интегрированных в Active Directory, разрешается передача зон, но ограничивается диапазон компьютеров, которые могут запрашивать передачу зоны. ##### Изменение размера журнала событий и журнала службы DNS Для эффективного контроля и обслуживания службы DNS необходимо собирать сведения в адекватном объеме на всех контроллерах домена в среде. Чтобы администраторы могли эффективно проводить аудит в случае атаки, можно увеличить максимальный размер файла журнала службы DNS. Во всех трех средах, описанных в данном руководстве, максимальный размер файла журнала службы DNS рекомендуется увеличить на контроллерах домена по меньшей мере до 16 МБ. Кроме того, следует убедиться в том, что для службы DNS задан параметр **Затирать старые события по необходимости**; это позволяет хранить в журнале больше записей. #### Обеспечение безопасности известных учетных записей Операционная система Windows Server 2003 с пакетом обновления 1 (SP1) содержит ряд встроенных учетных записей пользователей, которые нельзя удалить, но можно переименовать. Две самые известные встроенные учетные записи Windows Server 2003 — «Гость» и «Администратор». На рядовых серверах и контроллерах домена учетная запись гостя по умолчанию отключена и включать ее не рекомендуется. Многие вредоносные программы для получения несанкционированного доступа к серверу в первую очередь пытаются использовать встроенную учетную запись администратора. Поэтому следует переименовать встроенную учетную запись «Администратор» и изменить ее описание, чтобы предотвратить нарушение безопасности удаленных серверов злоумышленниками, пытающимися использовать эту широко известную учетную запись. Эффективность такого переименования в последние годы снизилась из-за появления средств атаки, указывающих при обращении к серверу идентификатор безопасности (SID) встроенной учетной записи администратора. По идентификатору безопасности определяется настоящее имя учетной записи, после чего делается попытка несанкционированного доступа. Идентификатор безопасности — это число, однозначно определяющее каждого пользователя, группу, учетную запись компьютера или сеанс входа в систему при работе в сети. Изменить идентификатор безопасности этой встроенной учетной записи невозможно. Однако оперативные группы организации смогут с легкостью отслеживать попытки атак на учетную запись администратора, если ей будет присвоено уникальное имя. Чтобы защитить известные учетные записи в доменах и на серверах, выполняйте приведенные ниже рекомендации. - Переименуйте учетные записи администратора и гостя в каждом домене и на каждом сервере, используйте длинные и сложные пароли. - Для каждого сервера назначайте разные пароли и имена учетных записей. При использовании одинаковых паролей и имен учетных записей злоумышленник, получив доступ к одному из рядовых серверов, сможет получить доступ и к остальным системам, где используется то же сочетание имени и пароля. - Чтобы предотвратить идентификацию учетной записи по ее описанию, смените описание. - Храните записи сделанных изменений в безопасном месте. **Примечание**. Встроенную учетную запись администратора можно переименовать с помощью групповой политики. Данный параметр политики не был реализован ни в одном из шаблонов безопасности, содержащихся в настоящем руководстве, так как каждая организация должна сама выбрать уникальное имя для данной учетной записи. Однако во всех трех средах, описанных в данном руководстве, параметр **Учетные записи: переименование учетной записи администратора** можно настроить так, чтобы учетным записям администраторов были присвоены другие имена. Этот параметр политики является одним из параметров безопасности объекта групповой политики. #### Защита учетных записей служб Без необходимости не настраивайте службы на запуск в контексте безопасности учетной записи домена. Имея физический доступ к серверу, пароли учетной записи домена очень просто получить, выгрузив секретные данные из LSA. Дополнительные сведения об укреплении безопасности учетных записей служб см. в [руководстве по планированию обеспечения безопасности служб и служебных учетных записей](http://go.microsoft.com/fwlink/?linkid=41311) по адресу http://go.microsoft.com/fwlink/?LinkId=41311 (на английском языке). #### Параметры служб терминалов **Таблица 5.10. Рекомендации по настройке параметров служб терминалов**
Параметр по умолчанию Среда устаревших клиентов Среда корпоративных клиентов Специальная безопасная среда с ограниченной функциональностью
Установить уровень шифрования для клиентских подключений Высокий Высокий Высокий
Параметр **Установить уровень шифрования для клиентских подключений** определяет уровень шифрования клиентских подключений служб терминалов в среде. Значение **Высокий**, при котором используется 128-разрядное шифрование, предотвращает прослушивание сеансов служб терминалов с помощью анализатора пакетов. Некоторые старые версии клиентов служб терминалов не поддерживают этот уровень шифрования. Если сеть содержит такие клиенты, задайте для отправляемых и принимаемых данных самый высокий уровень шифрования, поддерживаемый клиентом. В базовой политике контроллеров домена во всех трех средах, рассматриваемых в данном руководстве, параметру **Установить уровень шифрования для клиентских подключений** присваивается значение **Включен** и выбирается **Высокий** уровень шифрования. В системе Windows Server 2003 этот параметр политики можно настроить в следующем разделе редактора объектов групповой политики: **Конфигурация компьютера\\Административные шаблоны\\Компоненты Windows\\** **Службы терминалов\\Шифрование и безопасность** Три возможных уровня шифрования описаны в таблице ниже. **Таблица 5.11. Уровни шифрования подключений служб терминалов**
Уровень шифрования Описание
Высокий Данные, отправляемые клиентом серверу и сервером клиенту, шифруются с использованием надежного 128-разрядного алгоритма. Используйте этот уровень, если сервер терминалов работает в среде, содержащей только 128-разрядные клиенты (такие как клиенты удаленного рабочего стола). Клиенты, не поддерживающие этот уровень шифрования, не смогут подключаться к серверу терминалов.
Совместимый с клиентским Данные, пересылаемые между клиентом и сервером, шифруются с максимальной разрядностью ключа, поддерживаемой клиентом. Используйте этот уровень, если сервер терминалов работает в среде, в состав которой входят разные или устаревшие клиенты.
Низкий Данные, отправляемые клиентом серверу, шифруются с использованием 56-разрядного алгоритма. Внимание! Данные, отправляемые сервером клиенту, не шифруются.

Отчеты об ошибках

Таблица 5.12. Рекомендации по настройке параметров отчетов об ошибках

Параметр Среда устаревших клиентов Среда корпоративных клиентов Специальная безопасная среда с ограниченной функциональностью
Отключить отчеты об ошибках Windows Включен Включен Включен
Данная служба помогает корпорации Майкрософт отслеживать и устранять ошибки. Эту службу можно настроить на создание отчетов об ошибках операционной системы, компонентов Windows или программ. Она имеется только в системах Windows XP Professional и Windows Server 2003. Служба **отчетов об ошибках** может уведомить корпорацию Майкрософт об ошибках через Интернет или сохранить сведения о них во внутренней общей папке. Хотя отчеты об ошибках могут содержать важные и даже конфиденциальные сведения, политика конфиденциальности корпорации Майкрософт гарантирует, что корпорация Майкрософт не будет использовать эти сведения ненадлежащим образом. Однако посторонние могут перехватить и просмотреть эти данные, так как они передаются по протоколу HTTP открытым текстом. Параметр **Отключить отчеты об** **ошибках Windows** позволяет разрешить или запретить службе **отчетов об ошибках** передавать какие-либо данные. В системе Windows Server 2003 этот параметр политики можно настроить в следующем разделе редактора объектов групповой политики: **Конфигурация компьютера\\Административные шаблоны\\Система\\Управление связью через Интернет\\Параметры связи через Интернет** Присвойте параметру **Отключить отчеты об** **ошибках Windows** значение **Включен** в базовой политике контроллеров домена для всех трех сред, определенных в данном руководстве. [](#mainsection)[К началу страницы](#mainsection) ### Создание политики с помощью мастера настройки безопасности Для развертывания необходимых параметров безопасности нужно создать базовую политику контроллеров домена с помощью мастера настройки безопасности и шаблонов безопасности, прилагаемых к версии данного руководства, которую можно загрузить из Интернета. При создании собственной политики пропустите разделы «Параметры реестра» и «Политика аудита». Соответствующие параметры политики будут взяты из шаблонов безопасности для выбранной среды. Такой способ настройки гарантирует, что элементы политики, содержащиеся в шаблонах, будут иметь более высокий приоритет по сравнению с элементами, заданными с помощью мастера настройки безопасности. Все настройки следует выполнять на компьютере с вновь установленной операционной системой, чтобы избежать переноса устаревших параметров или приложений из прежних конфигураций. При возможности, следует установить операционную систему на компьютер, оборудование которого соответствует использовавшемуся для внедрения, чтобы обеспечить максимальную совместимость. Компьютер с заново установленной операционной системой называется *контрольным компьютером*. **Создание базовой политики контроллеров домена** Для создания базовой политики контроллеров домена необходимо использовать компьютер, настроенный как контроллер домена. Можно использовать существующий контроллер домена или создать компьютер-образец и сделать его контроллером домена с помощью средства Dcpromo. Однако большинство организаций предпочитают не добавлять контроллер домена в рабочую среду, потому что это может нарушить политику безопасности. Если принято решение использовать существующий контроллер домена, не применяйте к нему никакие параметры с помощью мастера настройки безопасности и не изменяйте его конфигурацию. 1. Установите на компьютер мастер настройки безопасности. Откройте для этого панель управления, дважды щелкните значок «Установка и удаление программ» и выберите вариант «Установка компонентов Windows». 2. Запустите графический интерфейс пользователя мастера настройки безопасности, выберите пункт **Создать новую политику** и укажите контрольный компьютер. 3. Убедитесь в том, что обнаруженные роли сервера подходят для среды. Не удаляйте роль файлового сервера, потому что она необходима для правильной работы контроллеров домена. 4. Убедитесь в том, что обнаруженные функции клиента подходят для среды. 5. Убедитесь в том, что обнаруженные административные возможности подходят для среды. **Примечание**. Если среда содержит контроллеры домена на разных сайтах, убедитесь в том, что задан параметр **Почтовая репликация Active Directory**. 6. Убедитесь в том, что найдены все дополнительные службы, необходимые для выполнения базовых функций, например агенты внешних хранилищ и антивирусные программы. 7. Определите порядок работы со службами, которые не были указаны при создании политики. Для обеспечения дополнительной безопасности можно установить этот параметр политики в значение **Отключен**. Прежде чем развертывать конфигурацию в рабочей сети, ее необходимо протестировать, так как могут возникнуть проблемы, если на рабочих серверах запущены дополнительные службы, не продублированные на контрольном компьютере. 8. Убедитесь в том, что в разделе «Безопасность сети» снят флажок **Пропустить этот раздел**, затем нажмите кнопку **Далее**. Соответствующие порты и приложения, определенные ранее, настраиваются в качестве исключений брандмауэра Windows. **Примечание**. Убедитесь в том, что задан параметр **Порты, используемые системными RPC-приложениями**. 9. В разделе «Параметры реестра» установите флажок **Пропустить этот раздел** и нажмите кнопку **Далее**. Данные параметры политики импортируются из прилагаемого файла с расширением INF. 10. В разделе «Политика аудита» установите флажок **Пропустить этот раздел** и нажмите кнопку **Далее**. Данные параметры политики импортируются из прилагаемого файла с расширением INF. 11. Включите в политику подходящий шаблон безопасности (например EC-Domain Controller.inf). 12. Сохраните политику с подходящим именем (например Domain Controller.xml). #### Проверка политики с помощью мастера настройки безопасности После создания и сохранения политики, настоятельно рекомендуется развернуть ее в тестовой среде. В идеале тестовые серверы должны иметь такое же оборудование и программное обеспечение, как и рабочие серверы. Это позволит обнаружить и устранить возможные проблемы, например присутствие непредусмотренных служб, затребованных определенными устройствами. Для тестирования политики используются два способа. Можно воспользоваться встроенными функциями развертывания мастера настройки безопасности или развернуть политики с помощью объекта групповой политики. Приступая к созданию политик, следует рассмотреть возможность использования встроенных средств развертывания мастера настройки безопасности. Принудительно отправить политику на отдельный сервер можно с помощью мастера настройки безопасности, для группы серверов можно использовать средство Scwcmd. Встроенный метод развертывания делает возможным откат примененных политик с помощью мастера настройки безопасности. Данная функция может быть очень полезна при внесении множественных изменений в политики в ходе тестирования. Цель тестирования политик — удостовериться, что применение той или иной политики к серверам не повлияет негативно на их основные функции. После применения настроек следует проверить базовые возможности компьютера. Например, если сервер настроен как центр сертификации, следует удостовериться, что клиенты смогут запрашивать и загружать сертификаты, списки отзыва сертификатов и т. д. По окончании работы с настройкой политик, следует использовать команду Scwcmd (см. процедуру ниже) для преобразования политик в объекты групповой политики. Дополнительные сведения о тестировании политик мастера настройки безопасности см. в [руководстве по развертыванию для мастера настройки безопасности](http://technet.microsoft.com/ru-ru/library/cc776871.aspx) по адресу http://technet2.microsoft.com/WindowsServer/rus/Library/5254f8cd-143e-4559-a299-9c723b3669461033.mspx (на английском языке) и в [документации по мастеру настройки безопасности](http://go.microsoft.com/fwlink/?linkid=43450) по адресу http://go.microsoft.com/fwlink/?linkid=43450 (на английском языке). #### Преобразование и развертывание политики После всестороннего тестирования политики выполните следующие действия для ее преобразования в объект групповой политики и последующего развертывания. 1. введите в командной строке команду ``` scwcmd transform /p:<путь\_к\_политике.xml> /g:<отображаемое\_имя\_GPO> ``` и нажмите клавишу ВВОД. Пример. **Примечание.** Строка разбита на несколько строк для удобства чтения. Однако при использовании в системе необходимо ввести команды одной строкой без разрывов. ``` scwcmd transform /p:"C:\\Windows\\Security\\msscw\\Policies\\ Domain Controller.xml" /g:"Domain Controller Policy" ``` **Примечание**. В приведенном примере текст, который необходимо ввести в командную строку, разбит на две части в связи с ограничениями экрана. Этот текст следует вводить одной строкой. 2. Свяжите с помощью консоли управления групповыми политиками созданный объект групповой политики с подразделением контроллеров домена и переместите его выше политики контроллеров домена по умолчанию, чтобы назначить ему наивысший приоритет. Если файл политики безопасности для мастера настройки безопасности содержит параметры брандмауэра Windows, то для успешного завершения этой процедуры брандмауэр Windows должен быть запущен на локальном компьютере. Чтобы запустить брандмауэр Windows, откройте панель управления и выберите пункт **Брандмауэр Windows**. Помните, что для репликации созданного объекта групповой политики на все контроллеры доменов может потребоваться некоторое время, особенно если контроллеры доменов расположены на нескольких сайтах. Проверив, что репликация объекта групповой политики прошла успешно, выполните последнюю проверку: убедитесь в том, что нужные параметры политики вступили в силу, а функциональность систем не пострадала. [](#mainsection)[К началу страницы](#mainsection) ### Заключение В этой главе рассказано о том, как усилить защиту серверов контроллеров домена под управлением Windows Server 2003 с пакетом обновления 1 (SP1) в каждой из трех сред, описанных в данном руководстве. Большинство описанных в ней параметров политики настраиваются и применяются с помощью групповой политики. В этой главе также приведены сведения о том, как связать базовую политику контроллеров домена, дополняющую политику контроллеров домена по умолчанию, с подразделением контроллеров домена. Параметры базовой политики контроллеров домена позволяют повысить общую надежность защиты контроллеров домена в любой среде. Использование двух объектов групповой политики для обеспечения безопасности контроллеров домена позволяет оставить среду по умолчанию без изменений и упрощает устранение неполадок. Некоторые из описываемых в этой главе параметров нельзя применить с помощью групповой политики. Для этих параметров приведены инструкции по их настройке вручную. После настройки параметров безопасности контроллеров домена можно позаботиться об обеспечении безопасности других ролей сервера. Именно этому и посвящены следующие главы данного руководства. #### Дополнительные сведения Следующие ссылки указывают на материалы с дополнительными сведениями об усилении защиты контроллеров домена с Windows Server 2003 с пакетом обновления 1 (SP1). - Сведения об архитектуре систем корпорации Майкрософт см. в [архитектурных руководствах по корпоративным центрам данных](http://www.microsoft.com/resources/documentation/msa/edc/all/solution/en-us/pak/pag/default.mspx) по адресу www.microsoft.com/resources/documentation/msa/edc/all/solution/ en-us/pak/pag/default.mspx (на английском языке). - Сведения о том, как включить анонимный доступ к службе Active Directory, см. в статье базы знаний Майкрософт [Описание вариантов настройки разрешений в программе Dcpromo](http://support.microsoft.com/?kbid=257988) по адресу http://support.microsoft.com/?kbid=257988 (на английском языке). - Сведения о службе DNS в Windows 2000 см. в документе [Служба DNS в Windows 2000](http://www.microsoft.com/windows2000/techinfo/howitworks/communications/nameadrmgmt/w2kdns.asp) по адресу www.microsoft.com/technet/prodtechnol/windows2000serv/plan/ w2kdns2.mspx (на английском языке). - Дополнительные сведения о службе DNS в Windows 2000 см. в главе 6 интерактивной версии руководства по базовым сетевым технологиям TCP/IP в [наборе ресурсов по Windows 2000 Server](http://www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/w2rkbook/corenetwork.mspx) по адресу www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/w2rkbook/CoreNetwork.mspx (на английском языке). - Дополнительные сведения об изменении службы DNS в Windows Server 2003 см. в презентации PowerPoint [Изменения службы DNS в Windows Server 2003](http://download.microsoft.com/download/e/1/a/e1aba157-4983-480e-aae5-347b4a38ea52/changestodns.ppt) по адресу http://download.microsoft.com/download/e/1/a/e1aba157-4983-480e-aae5-347b4a38ea52/ChangestoDNS.ppt (на английском языке). - Дополнительные сведения об ограничении передачи трафика Active Directory см. в статье базы знаний Майкрософт [Ограничение передачи трафика репликации Active Directory определенным портом](http://support.microsoft.com/?kbid=224196) по адресу http://support.microsoft.com/?kbid=224196 (на английском языке). - Дополнительные сведения об ограничении передачи трафика службы репликации файлов см. в статье базы знаний Майкрософт [Ограничение передачи трафика службы репликации файлов определенным статическим портом](http://support.microsoft.com/?kbid=319553) по адресу http://support.microsoft.com/?kbid=319553 (на английском языке). - Дополнительные сведения о службе времени Windows см. в [Техническом руководстве по службе времени Windows](http://technet.microsoft.com/ru-ru/library/cc773061.aspx) по адресу http://technet2.microsoft.com/WindowsServer/rus/Library/a0fcd250-e5f7-41b3-b0e8-240f8236e2101033.mspx (на английском языке). - Дополнительные сведения о подделке IP-адресов см. в PDF-версии статьи [Введение в подделку IP-адресов](http://www.giac.org/practical/gsec/victor_velasco_gsec.pdf) по адресу www.giac.org/practical/gsec/Victor\_Velasco\_GSEC.pdf (на английском языке). **Загрузить** [Загрузить руководство по безопасности Windows Server 2003 (на английском языке)](http://go.microsoft.com/fwlink/?linkid=14846) **Уведомления об обновлении** [Подпишитесь, чтобы вовремя узнавать об обновлениях и новых выпусках](http://go.microsoft.com/fwlink/?linkid=54982) **Обратная связь** [Присылайте свои комментарии и предложения](mailto:secwish@microsoft.com?subject=windows%20server%202003%20security%20guide) [](#mainsection)[К началу страницы](#mainsection)
  • Last updated on