Руководство по безопасности Windows Server 2003

Глава 7. Роль файлового сервера

Опубликовано 20 апреля 2007 г.

На этой странице

Обзор Параметры политики аудита Назначение прав пользователя Параметры безопасности Параметры журнала событий Дополнительные параметры безопасности Создание политики с помощью мастера настройки безопасности Заключение

Обзор

Укрепление безопасности файловых серверов с Microsoft® Windows Server™ 2003 с пакетом обновления 1 (SP1) может стать трудной задачей, поскольку важнейшие службы, предоставляемые этими серверами, требуют использования протоколов SMB (Server Message Block) и CIFS (Common Internet File System). Эти протоколы могут обеспечивать раскрытие информации пользователям, не прошедшим проверку подлинности, поэтому их обычно отключают в системах Windows с высоким уровнем безопасности. Однако отключение этих протоколов может вызвать трудности с доступом пользователей и администраторов к файловым серверам.

Большинство параметров политик в данной главе настраивается и применяется посредством групповой политики. Объект групповой политики, дополняющий базовую политику рядовых серверов, может быть соотнесен с соответствующими подразделениями, содержащими файловые серверы, для обеспечения необходимых параметров безопасности для данной роли сервера. В данной главе рассматриваются параметры политик, отличающиеся от параметров базовой политики рядовых серверов.

Данные параметры политик по возможности объединяются и включаются в добавочный объект групповой политики, применяемый к подразделению файловых серверов. Некоторые из параметров, рассматриваемых в данной главе, нельзя применить посредством групповой политики. В этой главе также содержатся дополнительные сведения о настройке таких параметров политик вручную.

В следующей таблице содержатся названия шаблонов безопасности файловых серверов для трех сред, определенных в настоящем руководстве. Данные шаблоны содержат параметры для добавочного шаблона файлового сервера, который, в свою очередь, используется для создания нового объекта групповой политики, соотносимого с подразделением файловых серверов в соответствующей среде. Пошаговые инструкции по созданию подразделений и групповых политик и последующему импорту соответствующего шаблона безопасности в объект групповой политики содержатся в главе 2 «Механизмы укрепления безопасности Windows Server 2003».

Таблица 7.1. Шаблоны безопасности файлового сервера

Среда устаревших клиентов	Среда корпоративных клиентов	Специальная безопасная среда с ограниченной функциональностью
LC-File Server.inf	EC-File Server.inf	SSLF-File Server.inf

Дополнительные сведения о параметрах безопасности в политике MSBP см. в главе 4 «Базовая политика рядовых серверов». Сведения обо всех параметрах политики по умолчанию см. в дополнительном руководстве [Угрозы и меры противодействия: параметры безопасности в системах Windows Server 2003 и Windows XP](http://go.microsoft.com/fwlink/?linkid=15159)*, *которое можно загрузить по адресу* *http://go.microsoft.com/fwlink/?LinkId=15159 (на английском языке). [](#mainsection)[К началу страницы](#mainsection) ### Параметры политики аудита Параметры политики аудита для файловых серверов в трех рассматриваемых в данном руководстве средах, настраиваются с помощью базовой политики рядовых серверов (MSBP). Дополнительные сведения о политике MSBP см. в главе 4 «Базовая политика рядовых серверов». Параметры MSBP активируют ведение журнала параметров аудита безопасности на всех файловых серверах. [](#mainsection)[К началу страницы](#mainsection) ### Назначение прав пользователя Параметры назначения прав пользователя для файловых серверов в трех рассматриваемых в данном руководстве средах настраиваются с помощью базовой политики рядовых серверов. Дополнительные сведения о политике MSBP см. в главе 4 «Базовая политика рядовых серверов». Параметры MSBP обеспечивают однородную настройку всех соответствующих назначений прав пользователя на всех файловых серверах. [](#mainsection)[К началу страницы](#mainsection) ### Параметры безопасности Параметры безопасности для файловых серверов в трех рассматриваемых в данном руководстве средах, настраиваются с помощью базовой политики рядовых серверов. Дополнительные сведения о политике MSBP см. в главе 4 «Базовая политика рядовых серверов». Параметры базовой политики рядовых серверов обеспечивают единообразную настройку всех соответствующих параметров безопасности на всех файловых серверах. [](#mainsection)[К началу страницы](#mainsection) ### Параметры журнала событий Параметры журнала событий для файловых серверов в трех рассматриваемых в данном руководстве средах настраиваются с помощью базовой политики рядовых серверов. Дополнительные сведения о политике MSBP см. в главе 4 «Базовая политика рядовых серверов». [](#mainsection)[К началу страницы](#mainsection) ### Дополнительные параметры безопасности Хотя параметры безопасности, применяемые MSBP, значительно улучшают безопасность файловых серверов, в данном разделе рассматриваются некоторые дополнительные факторы. Следует также учесть, что параметры, описанные в данном разделе, нельзя реализовать с помощью групповой политики. Их внедрение необходимо выполнять вручную на всех файловых серверах. #### Обеспечение безопасности известных учетных записей Операционная система Windows Server 2003 с пакетом обновления 1 (SP1) содержит ряд встроенных учетных записей пользователей, которые нельзя удалить, но можно переименовать. Две самые известные встроенные учетные записи Windows Server 2003 — «Гость» и «Администратор». На рядовых серверах и контроллерах домена учетная запись гостя по умолчанию отключена и включать ее не рекомендуется. Многие вредоносные программы для получения несанкционированного доступа к серверу в первую очередь пытаются использовать встроенную учетную запись администратора. Поэтому следует переименовать встроенную учетную запись «Администратор» и изменить ее описание, чтобы предотвратить нарушение безопасности удаленных серверов злоумышленниками, пытающимися использовать эту широко известную учетную запись. Эффективность такого переименования в последние годы снизилась из-за появления средств атаки, указывающих при обращении к серверу идентификатор безопасности (SID) встроенной учетной записи администратора. По идентификатору безопасности определяется настоящее имя учетной записи, после чего делается попытка несанкционированного доступа. Идентификатор безопасности — это число, однозначно определяющее каждого пользователя, группу, учетную запись компьютера или сеанс входа в систему при работе в сети. Изменить идентификатор безопасности этой встроенной учетной записи невозможно. Однако оперативные группы организации смогут с легкостью отслеживать попытки атак на учетную запись администратора, если ей будет присвоено уникальное имя. **Чтобы укрепить безопасность известных учетных записей на файловом сервере, выполните следующие действия:** - Переименуйте учетные записи администратора и гостя и затем измените пароли, подбирая длинные и сложные сочетания, на каждом домене и сервере. - Для каждого сервера назначайте разные пароли и имена учетных записей. При использовании одинаковых паролей и имен учетных записей злоумышленник, получив доступ к одному из рядовых серверов, сможет получить доступ и к другим. - Чтобы предотвратить идентификацию учетной записи по ее описанию, смените описание. - Храните записи сделанных изменений в безопасном месте. **Примечание**. Встроенную учетную запись администратора можно переименовать с помощью групповой политики. Данный параметр не был внедрен ни в один из шаблонов безопасности, содержащихся в настоящем руководстве, так как каждая организация должна выбрать уникальное имя для данной учетной записи. Однако во всех трех средах, описанных в данном руководстве, параметр **Учетные записи: переименование учетной записи администратора** можно настроить так, чтобы учетным записям администраторов были присвоены другие имена. Этот параметр политики является одним из параметров безопасности объекта групповой политики. #### Защита учетных записей служб Без необходимости не настраивайте службы на запуск в контексте безопасности учетной записи домена. Имея физический доступ к серверу, пароли учетной записи домена очень просто получить, выгрузив секретные данные из LSA. Дополнительные сведения об укреплении безопасности учетных записей служб см. в [руководстве по планированию обеспечения безопасности служб и служебных учетных записей](http://go.microsoft.com/fwlink/?linkid=41311) по адресу http://go.microsoft.com/fwlink/?LinkId=41311 (на английском языке). [](#mainsection)[К началу страницы](#mainsection) ### Создание политики с помощью мастера настройки безопасности Для настройки необходимых параметров безопасности при создании политики сервера следует использовать как мастер настройки безопасности (SCW), так и шаблоны безопасности, включенные в загружаемую версию данного руководства. При создании собственной политики пропустите разделы «Параметры реестра» и «Политика аудита». Соответствующие параметры будут взяты из шаблонов безопасности для выбранной среды. Такой способ настройки гарантирует, что элементы политики, содержащиеся в шаблонах, будут иметь более высокий приоритет по сравнению с элементами, заданными с помощью мастера настройки безопасности. Все настройки следует выполнять на компьютере с вновь установленной операционной системой, чтобы избежать переноса устаревших параметров или приложений из прежних конфигураций. При возможности, следует установить операционную систему на компьютер, оборудование которого соответствует использовавшемуся для внедрения, чтобы обеспечить максимальную совместимость. Компьютер с заново установленной операционной системой называется *контрольным компьютером*. **Чтобы создать политику файлового сервера, выполните следующие действия.** 1. Установите систему Windows Server 2003 с пакетом обновления 1 (SP1) на новый контрольный компьютер. 2. Установите на компьютер мастер настройки безопасности. Откройте для этого панель управления, дважды щелкните значок «Установка и удаление программ» и выберите вариант «Установка компонентов Windows». 3. Подключите компьютер к домену, который выполнит применение всех параметров безопасности родительских подразделений. 4. Установите и настройте только обязательные приложения, которые будут установлены на все серверы, выполняющие данную роль. Примерами могут служить службы, определяемые ролью, агенты программного обеспечения и управления, агенты внешних хранилищ, а также антивирусные и антишпионские программы. 5. Запустите графический интерфейс пользователя мастера настройки безопасности, выберите пункт **Создать новую политику** и укажите контрольный компьютер. 6. Убедитесь в том, что обнаруженные роли серверов (например роль файлового сервера) подходят для среды. 7. Убедитесь в том, что обнаруженные функции клиента подходят для среды. 8. Убедитесь в том, что обнаруженные административные возможности подходят для среды. 9. Убедитесь в том, что найдены все дополнительные службы, необходимые для выполнения базовых функций, например агенты внешних хранилищ и антивирусные программы. 10. Определите порядок работы со службами, которые не были указаны при создании политики. Для обеспечения дополнительной безопасности можно установить этот параметр политики в значение **Отключен**. Прежде чем развертывать конфигурацию в рабочей сети, ее необходимо протестировать, так как могут возникнуть проблемы, если на рабочих серверах запущены дополнительные службы, не продублированные на контрольном компьютере. 11. Убедитесь в том, что в разделе «Безопасность сети» снят флажок **Пропустить этот раздел**, затем нажмите кнопку **Далее**. Соответствующие порты и приложения, определенные ранее, настраиваются в качестве исключений брандмауэра Windows. 12. В разделе «Параметры реестра» установите флажок **Пропустить этот раздел** и нажмите кнопку **Далее**. Данные параметры политики импортируются из прилагаемого файла с расширением INF. 13. В разделе «Политика аудита» установите флажок **Пропустить этот раздел** и нажмите кнопку **Далее**. Данные параметры политики импортируются из прилагаемого файла с расширением INF. 14. Включите соответствующие шаблоны безопасности (например EC-File Server.inf). 15. Сохраните политику, присвоив ей подходящее имя (например File Server.xml). #### Проверка политики с помощью мастера настройки безопасности После создания и сохранения политики корпорация Майкрософт настоятельно рекомендует развернуть ее в тестовой среде. В идеале тестовые серверы должны иметь такое же оборудование и программное обеспечение, как и рабочие серверы. Это позволит обнаружить и устранить возможные проблемы, например присутствие непредусмотренных служб, затребованных определенными устройствами. Для тестирования политики используются два способа. Можно воспользоваться встроенными функциями развертывания мастера настройки безопасности или развернуть политики с помощью объекта групповой политики. Приступая к созданию политик, следует рассмотреть возможность использования встроенных средств развертывания мастера настройки безопасности. Принудительно отправить политику на отдельный сервер можно с помощью графического интерфейса пользователя мастера настройки безопасности, для группы серверов можно использовать средство Scwcmd. Встроенный метод развертывания позволяет легко откатить развернутые политики с помощью мастера настройки безопасности. Данная функция может быть очень полезна при внесении множественных изменений в политики в ходе тестирования. Цель тестирования политик — удостовериться, что применение той или иной политики к серверам не повлияет негативно на их основные функции. После применения настроек следует проверить базовые возможности компьютера. Например, если сервер настроен как центр сертификации, следует удостовериться, что клиенты смогут запрашивать и загружать сертификаты, списки отзыва сертификатов и т. д. По окончании работы с настройкой политик, следует использовать команду Scwcmd (см. процедуру ниже) для преобразования политик в объекты групповой политики. Дополнительные сведения о тестировании политик мастера настройки безопасности см. в [руководстве по развертыванию мастера настройки безопасности](http://technet.microsoft.com/ru-ru/library/cc776871.aspx) по адресу http://technet2.microsoft.com/WindowsServer/rus/Library/5254f8cd-143e-4559-a299-9c723b3669461033.mspx (на английском языке) и в [документации по мастеру настройки безопасности](http://go.microsoft.com/fwlink/?linkid=43450) по адресу http://go.microsoft.com/fwlink/?linkid=43450 (на английском языке). #### Преобразование и развертывание политики После всестороннего тестирования политики выполните следующие действия для ее преобразования в объект групповой политики и последующего развертывания. 1. введите в командной строке команду ``` scwcmd transform /p:<путь\_к\_политике.xml> /g:<отображаемое\_имя\_GPO> ``` и нажмите клавишу ВВОД. Пример. **Примечание.** Строка разбита на несколько строк для удобства чтения. Однако при использовании в системе необходимо ввести команду одной строкой без разрывов. ``` scwcmd transform /p:"C:\\Windows\\Security\\msscw\\Policies\\ File Server.xml" /g:"File Server Policy" ``` **Примечание**. В приведенном примере текст, который необходимо ввести в командную строку, разбит на две части в связи с ограничениями экрана. Этот текст следует вводить одной строкой. 2. Используйте консоль управления групповыми политиками для сопоставления созданного объекта групповой политики соответствующему подразделению. Если файл политики безопасности для мастера настройки безопасности содержит параметры брандмауэра Windows, то для успешного завершения этой процедуры брандмауэр Windows должен быть запущен на локальном компьютере. Чтобы запустить брандмауэр Windows, откройте панель управления и выберите пункт **Брандмауэр Windows**. Выполните окончательную проверку правильности значений параметров объекта групповых политик. Для этого необходимо подтвердить, что были установлены соответствующие параметры и функциональность не пострадала. [](#mainsection)[К началу страницы](#mainsection) ### Заключение В данной главе описаны параметры безопасности, которые можно использовать для настройки файловых серверов с Windows Server 2003 с пакетом обновления 1 (SP1) в трех средах, рассматриваемых в данном руководстве. Большинство параметров политик применяются через объект групповой политики (GPO), разработанный в качестве дополнения к MSBP. Объекты групповой политики могут быть связаны с соответствующими подразделениями, содержащими файловые серверы для обеспечения дополнительной безопасности. Некоторые параметры безопасности нельзя применить с использованием групповой политики. Для этих параметров политик представлены сведения о ручной настройке. #### Дополнительные сведения Следующие веб-узлы содержат дополнительные сведения по темам, связанным с укреплением безопасности файловых серверов с Windows Server 2003 с пакетом обновления 1 (SP1). - Дополнительные сведения о файловых серверах см. в статье [Технический обзор служб файлов Windows Server 2003](http://www.microsoft.com/windowsserver2003/techinfo/overview/file.mspx) по адресу www.microsoft.com/windowsserver2003/techinfo/overview/file.mspx (на английском языке). - Дополнительные сведения о распределенной файловой системе (DFS) и службе репликации файлов см. в [центре технологий распределенной файловой системы](http://www.microsoft.com/windowsserver2003/technologies/storage/dfs/default.mspx) по адресу www.microsoft.com/windowsserver2003/technologies/storage/dfs/default.mspx (на английском языке). **Загрузить** [Загрузить руководство по безопасности Windows Server 2003 (на английском языке)](http://go.microsoft.com/fwlink/?linkid=14846) **Уведомления об обновлении** [Подпишитесь, чтобы вовремя узнавать об обновлениях и новых выпусках.](http://go.microsoft.com/fwlink/?linkid=54982) **Обратная связь** [Присылайте свои комментарии и предложения.](mailto:secwish@microsoft.com?subject=windows%20server%202003%20security%20guide) [](#mainsection)[К началу страницы](#mainsection)