Глава 11. Роль сервера служб сертификации
Опубликовано 20 апреля 2007 г.
На этой странице
Обзор
Параметры политики аудита
Назначение прав пользователя
Параметры безопасности
Параметры журнала событий
Дополнительные параметры реестра
Дополнительные параметры безопасности
Создание политики с помощью мастера настройки безопасности
Заключение
Обзор
В данной главе приведены рекомендации по укреплению безопасности серверов под управлением Microsoft® Windows Server™* 2003 с пакетом обновления 1 (SP1), на которых работают службы сертификации Майкрософт. Глава содержит все необходимые сведения по обеспечению безопасности серверов такого типа. Однако в ней не описаны ни способы создания защищенной инфраструктуры служб сертификации, ни процесс развертывания центров сертификации. Эти вопросы подробно рассматриваются в документации по Windows Server *2003. Сведения по данным вопросам можно найти также в пакете Windows Server 2003 Resource Kit и в документах на веб-узле Майкрософт. Дополнительные сведения см. в руководстве: Защита беспроводных сетей с помощью служб сертификации по адресу http://go.microsoft.com/fwlink/?LinkId=14843 (на английском языке).
Параметры, описанные в данной главе, настраиваются и применяются с помощью групповой политики. Объект групповой политики (GPO), дополняющий базовую политику рядовых серверов (MSBP), можно связать с подразделениями, использующими серверы центров сертификации, для выполнения необходимых изменений параметров безопасности для данной роли сервера. В данной главе рассматриваются параметры политик, отличающиеся от параметров базовой политики рядовых серверов.
Такие параметры собраны в добавочном шаблоне групповой политики, применяемом к подразделениям, использующим серверы центров сертификации. Некоторые из описываемых в этой главе параметров нельзя применить с помощью групповой политики. Для этих параметров приведены подробные сведения по их настройке вручную.
Имя файла шаблона безопасности для сервера центра сертификации в среде EC — EC-CA Server.inf. Это добавочный шаблон сервера центра сертификации. Он применяется при создании объекта групповой политики, связанного с подразделениями, использующими серверы центров сертификации в данной среде. Пошаговые инструкции, описывающие создание подразделений и групповых политик, приведены в главе 2 «Способы укрепления безопасности Windows Server 2003». В главе также содержатся инструкции по импорту шаблонов безопасности в каждый объект групповой политики.
Дополнительные сведения о параметрах политики MSBP см. в главе 4 «Базовая политика рядовых серверов». Дополнительные сведения о параметрах по умолчанию см. в руководстве Угрозы и меры противодействия: параметры безопасности в системах Windows Server 2003 и Windows XP*, *которое можно загрузить по адресу * *http://go.microsoft.com/fwlink/?LinkId=15159 (на английском языке).
Примечание. Параметры безопасности, рекомендуемые для роли сервера служб сертификации, проверены только для среды корпоративных клиентов. По этой причине сведения об атаках типа «отказ в обслуживании» (DoS) не включены в эту главу. Данное руководство содержит такие сведения для большинства других ролей серверов.
Можно установить службы Microsoft IIS на некоторые из серверов служб сертификации с целью распространения этими серверами сертификатов и списков отзыва сертификатов. Службы IIS используются также для размещения веб-страниц заявок на сертификат, что позволяет клиентам, отличным от Microsoft Windows®, подавать заявки на сертификаты. Прежде чем следовать указаниям, приведенным в главе, убедитесь, что понимаете действия по безопасной установке служб IIS, описанные в главе 9 «Роль веб-сервера» данного руководства. При установке служб IIS на центры сертификации убедитесь, что шаблон настройки безопасности, описанный в главе 9, применяется к серверам служб сертификации до настройки параметров, рекомендуемых в данной главе.
Примечание. В упрощенных средах сервер выдающего центра сертификации может использоваться для размещения веб-сервера и выдачи сертификатов, а также служить центром загрузки списков отзыва сертификатов. Однако для укрепления безопасности центров сертификации рекомендуется использовать отдельный веб-сервер в собственной среде.
Службы IIS используются для размещения страниц заявок на сертификат, а также для распространения сертификатов и загрузки списков отзыва сертификатов для клиентов, отличных от Windows. Корпорация Майкрософт не рекомендует установку служб IIS на сервер корневого центра сертификации. По возможности не устанавливайте службы IIS на серверы выдающих и промежуточных центров сертификации. Безопаснее разместить веб-центры загрузки сертификатов и списки отзыва сертификатов на отдельном сервере, чем на сервере центра сертификации. Не обязательно разрешать доступ к центру сертификации пользователям, как внутренним, так и внешним, получающим списки отзыва сертификатов и сведения о цепочках сертификатов. Однако нельзя запретить пользователям доступ к серверу центра сертификации в случае, если на нем размещен центр загрузки.
К началу страницы
Параметры политики аудита
В руководстве для среды корпоративных клиентов показано, как с помощью политики MSBP настраиваются параметры политики аудита для серверов служб сертификатов. Дополнительные сведения о политике MSBP см. в главе 4 «Базовая политика рядовых серверов». Параметры политики MSBP обеспечивают ведение журнала аудита на всех серверах служб сертификации с записью всех относящихся к безопасности данных.
К началу страницы
Назначение прав пользователя
Параметры назначения прав пользователя для сервера служб сертификации среды корпоративных клиентов также настраиваются с помощью базовой политики рядовых серверов (MSBP). Дополнительные сведения о политике MSBP см. в главе 4 «Базовая политика рядовых серверов». Параметры политики MSBP обеспечивают единообразную настройку доступа к серверам служб сертификации всего предприятия.
К началу страницы
Параметры безопасности
Раздел групповой политики, содержащий параметры безопасности, предназначен для включения и отключения различных параметров безопасности компьютера, таких как параметры цифровой подписи данных, имена учетных записей администратора и гостя, доступ к дисководу гибких дисков, доступ к дисководу для компакт-дисков и приглашения входа в систему.
В Windows Server 2003 параметры безопасности можно настроить в следующем разделе редактора объектов групповой политики:
Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\
Локальные политики\Параметры безопасности
Ниже в таблице содержатся рекомендуемые значения параметров безопасности для роли сервера служб сертификации среды корпоративных клиентов. Подробные сведения о значениях этих параметров приведены в тексте, следующем за таблицей.
Таблица 11.1. Рекомендуемые значения параметров безопасности
| Системная криптография: использовать FIPS-совместимые алгоритмы для шифрования, хэширования и подписывания |
Включен |
#### Системная криптография: использовать FIPS-совместимые алгоритмы для шифрования, хэширования и подписывания
Этот параметр политики определяет, поддерживает ли поставщик безопасности TLS/SSL только комплект шифров TLS\_RSA\_WITH\_3DES\_EDE\_CBC\_SHA. Наличие такого комплекта шифров означает, что поставщик поддерживает клиентскую и серверную части только для протокола TLS.
Поставщик безопасности TLS/SSL использует следующие алгоритмы:
- алгоритм тройной DES (3DES) для шифрования TLS-трафика;
- алгоритм открытого ключа RSA, названный по именам создателей — Райвеста, Шамира и Адельмана (Rivest, Shamir, Adelman), для обмена TLS-ключами и проверки подлинности (технология шифрования с открытым ключом RSA разработана компанией RSA Data Security, Inc.);
- алгоритм хеширования SHA-1 для хеширования протокола TLS.
Для службы шифрованной файловой системы (EFS) поставщик безопасности TLS/SSL поддерживает только алгоритм Triple DES, с помощью которого шифруются файлы, хранящиеся в файловой системе NTFS. В системах Windows 2000 и Windows XP без пакетов обновления для шифрования файлов служба EFS по умолчанию использует алгоритм DESX. Но в системе Windows XP с пакетом обновления 1 (SP1) и в более поздних версиях, а также в системе Windows Server 2003 по умолчанию используется стандарт AES с 256-разрядным ключом.
При включении этого параметра безопасности компьютеры с данной серверной ролью будут использовать для шифрования, хеширования и подписывания наиболее защищенные алгоритмы из доступных. Применение таких алгоритмов снижает вероятность раскрытия и использования зашифрованных и подписанных данных при несанкционированном доступе.
Поэтому параметру **Системная криптография: использовать FIPS-совместимые алгоритмы для шифрования,** **хэширования,** **и подписывания** для среды корпоративных клиентов присвоено значение **Включен**.
**Примечание**. Клиентские компьютеры, на которых включен этот параметр политики, не смогут обмениваться данными с использованием протоколов шифрования и цифровой подписи с серверами, не поддерживающими данные алгоритмы. Клиентские компьютеры сети, на которых такие алгоритмы недоступны, не смогут взаимодействовать с серверами, требующими поддержки этих алгоритмов для работы в сети. Например, многие веб-серверы на основе Apache не настроены для поддержки TLS. При включении этого параметра необходимо настроить обозреватель Internet Explorer для работы с TLS. Для этого выберите в меню **Сервис** обозревателя Internet Explorer пункт **Свойства обозревателя**, в открывшемся диалоговом окне **Свойства обозревателя** щелкните вкладку **Дополнительно**, а затем в списке **Параметры** установите флажок **Использовать TLS 1.0**. Можно также настроить этот параметр с помощью групповых политик или пакета администрирования Internet Explorer.
[](#mainsection)[К началу страницы](#mainsection)
### Параметры журнала событий
Параметры журнала событий сервера служб сертификации для среды корпоративных клиентов настраиваются с помощью политики MSBP. Дополнительные сведения о политике MSBP см. в главе 4 «Базовая политика рядовых серверов».
[](#mainsection)[К началу страницы](#mainsection)
### Дополнительные параметры реестра
Для поддержки файла шаблона EC-CA Server.inf созданы дополнительные параметры реестра. Эти записи отсутствуют в файлах административного шаблона (файлы с расширением ADM) для среды корпоративных клиентов. Файлы административного шаблона задают системные политики и ограничения для рабочего стола, оболочки и параметров безопасности Windows* *Server* *2003 с пакетом обновления 1 (SP1).
Дополнительные параметры реестра настраиваются в шаблоне безопасности для автоматического применения. При удалении добавочной групповой политики служб сертификации ее параметры не удаляются автоматически. Их необходимо изменить вручную с помощью программы редактирования реестра, например Regedt32.exe.
В системе Windows Server 2003 записи реестра можно настроить в следующем разделе редактора объектов групповой политики:
**MACHINE\\SYSTEM\\CurrentControlSet\\Services\\CertSvc\\Configuration**
[](#mainsection)[К началу страницы](#mainsection)
### Дополнительные параметры безопасности
Ниже представлены списки управления доступом (ACL), которые можно назначить с помощью групповой политики. Однако эти списки не включены в шаблоны безопасности, описанные в данном руководстве, так как пути к базе данных и журналам могут различаться для каждого сервера. Например, сервер служб сертификации может иметь диски C:\\, D:\\ и E:\\. Подробные сведения о настройке таких параметров политики вручную приведены в следующем разделе.
#### Списки управления доступом к файловой системе
Злоумышленник может просматривать, редактировать и удалять файлы, не защищенные с помощью списков управления доступом. Несанкционированный доступ к файлам возможен как локально, так и по сети. Списки управления доступом применяются для защиты файлов, однако шифрование обеспечивает намного более надежную защиту файлов, доступ к которым необходим лишь одному пользователю.
В следующей таблице приведены списки управления доступом к файловым системам серверов служб сертификации на основе Windows* *Server* *2003 в среде корпоративных клиентов. В этой среде серверы служб сертификации используют каталог **D:\\CertSrv** для размещения базы данных сертификатов. Журналы базы данных хранятся по умолчанию в папке **%SystemRoot%\\system32\\CertLog**. Можно переместить журналы с системного диска на другой физический диск, являющийся зеркальным, например **E:\\CertLog**. Размещение базы данных и журналов на разных физических дисках не является требованием безопасности, однако рекомендуется для повышения отказоустойчивости и производительности. В таблице ниже приведены стандартные списки управления доступом для папок **%SystemRoot%\\system32\\CertLog** и **%SystemRoot%\\system32\\CertSrv**, которые по умолчанию используются для установки служб сертификации.
**Таблица 11.2. Списки управления доступом к файловой системе**
| %SystemRoot%\system32\CertLog (включая вложенные папки) |
Администраторы (полный доступ)
Система (полный доступ) |
| %SystemRoot%\system32\CertSrv (включая вложенные папки) |
Администраторы (полный доступ)
Система (полный доступ)
Пользователи (чтение и выполнение, просмотр содержимого папки, чтение) |
| D:\CertLog |
Администраторы (полный доступ)
Система (полный доступ) |
| D:\CertSrv |
Администраторы (полный доступ)
Система (полный доступ)
Пользователи (чтение и выполнение, просмотр содержимого папки, чтение) |
Центры сертификации требуют особой защиты, поэтому для папок служб сертификации, перечисленных в предыдущей таблице, включен аудит файлов. В следующей таблице приведены значения записей аудита.
Таблица 11.3. Файл служб сертификации и параметры аудита реестра
| %SystemRoot%\system32\CertLog |
Отказ |
Все (полный доступ) |
| %SystemRoot%\system32\CertSrv |
Успех |
Все (изменение) |
| D:\CertSrv |
Успех |
Все (изменение) |
| D:\CertLog |
Успех |
Все (изменение) |
Такие параметры политики позволят регистрировать все случаи отказа в доступе (на чтение или изменение) для любого пользователя, а также любое успешное изменение данных.
#### Обеспечение безопасности известных учетных записей
В системе Windows* *Server* *2003 с пакетом обновления 1 (SP1) имеется несколько встроенных учетных записей, которые нельзя удалить, но можно переименовать. Две самые известные встроенные учетные записи Windows* *Server* *2003 — «Гость» и «Администратор».
На рядовых серверах и контроллерах домена учетная запись гостя по умолчанию отключена и включать ее не рекомендуется. Многие вредоносные программы для получения несанкционированного доступа к серверу в первую очередь пытаются использовать встроенную учетную запись администратора. Поэтому следует переименовать встроенную учетную запись администратора и изменить ее описание для предотвращения попыток получения несанкционированного доступа к удаленному серверу с помощью этой хорошо известной учетной записи.
Эффективность такого переименования в последние годы снизилась из-за появления средств атаки, указывающих при обращении к серверу идентификатор безопасности (SID) встроенной учетной записи администратора. По идентификатору безопасности определяется настоящее имя учетной записи, после чего делается попытка несанкционированного доступа. Идентификатор безопасности — это число, однозначно определяющее каждого пользователя, группу, учетную запись компьютера или сеанс входа в систему при работе в сети. Изменить идентификатор безопасности этой встроенной учетной записи невозможно. Однако оперативные группы организации смогут с легкостью отслеживать попытки атак на учетную запись администратора, если ей будет присвоено уникальное имя.
**Защита известных учетных записей на серверах центров сертификации**
- Переименуйте учетные записи администратора и гостя в каждом домене и на каждом сервере, используйте длинные и сложные пароли.
- Для каждого сервера назначайте разные пароли и имена учетных записей. При использовании одинаковых паролей и имен учетных записей злоумышленник, получив доступ к одному из рядовых серверов, сможет получить доступ и к другим.
- Чтобы предотвратить идентификацию учетной записи по ее описанию, смените описание.
- Сохраните записи о произведенных изменениях в безопасном месте.
**Примечание**. Встроенную учетную запись администратора можно переименовать с помощью групповой политики. Данный параметр политики не был реализован ни в одном из шаблонов безопасности, содержащихся в настоящем руководстве, так как каждая организация должна сама выбрать уникальное имя для данной учетной записи. Переименовать учетную запись администратора в среде предприятия можно с помощью параметра **Учетные записи: переименовать учетную запись администратора**. Этот параметр политики является одним из параметров безопасности объекта групповой политики.
#### Защита учетных записей служб
Без необходимости не настраивайте службы на запуск в контексте безопасности учетной записи домена. Имея физический доступ к серверу, пароли учетной записи домена очень просто получить, выгрузив секретные данные из LSA. Дополнительные сведения об укреплении безопасности учетных записей служб см. в [руководстве по планированию обеспечения безопасности служб и служебных учетных записей](http://go.microsoft.com/fwlink/?linkid=41311) по адресу http://go.microsoft.com/fwlink/?LinkId=41311 (на английском языке).
[](#mainsection)[К началу страницы](#mainsection)
### Создание политики с помощью мастера настройки безопасности
Для настройки необходимых параметров безопасности при создании политики сервера следует использовать как мастер настройки безопасности (SCW), так и шаблоны безопасности, включенные в загружаемую версию данного руководства.
При создании собственной политики пропустите разделы «Параметры реестра» и «Политика аудита». Соответствующие параметры будут взяты из шаблонов безопасности для выбранной среды. Такой способ настройки гарантирует, что элементы политики, содержащиеся в шаблонах, будут иметь более высокий приоритет по сравнению с элементами, заданными с помощью мастера настройки безопасности.
Все настройки следует выполнять на компьютере с вновь установленной операционной системой, чтобы избежать переноса устаревших параметров или приложений из прежних конфигураций. Для обеспечения максимальной совместимости старайтесь использовать оборудование, аналогичное тому, которое будет применяться при развертывании. Компьютер с заново установленной операционной системой называется *контрольным компьютером*.
Во время создания политики сервера из списка обнаруженных ролей можно удалить роль файлового сервера. Эта роль часто бывает настроена на серверах, где она не нужна, и может представлять угрозу безопасности. Если на сервере требуется роль файлового сервера, ее можно включить при настройке другой политики, описанной ниже.
**Создание политики сервера служб сертификации**
1. Установите систему Windows Server 2003 с пакетом обновления 1 (SP1) на новый контрольный компьютер.
2. Установите на компьютер мастер настройки безопасности. Откройте для этого панель управления, дважды щелкните значок «Установка и удаление программ» и выберите вариант «Установка компонентов Windows».
3. Подключите компьютер к домену, который выполнит применение всех параметров безопасности родительских подразделений.
4. Установите и настройте только обязательные приложения, которые будут установлены на все серверы, выполняющие данную роль. Примерами могут служить службы, определяемые ролью, агенты программного обеспечения и управления, агенты внешних хранилищ, а также антивирусные и антишпионские программы.
5. Запустите графический интерфейс пользователя мастера настройки безопасности, выберите пункт **Создать новую политику** и укажите контрольный компьютер.
6. Убедитесь в том, что обнаруженные роли сервера (например роль сервера служб сертификации) подходят для вашей среды.
7. Убедитесь в том, что обнаруженные функции клиента подходят для среды.
8. Убедитесь в том, что обнаруженные административные возможности подходят для среды.
9. Убедитесь в том, что найдены все дополнительные службы, необходимые для выполнения базовых функций, например агенты внешних хранилищ и антивирусные программы.
10. Определите порядок работы со службами, которые не были указаны при создании политики. Для обеспечения дополнительной безопасности можно установить этот параметр политики в значение **Отключен**. Прежде чем развертывать конфигурацию в рабочей сети, ее необходимо протестировать, так как могут возникнуть проблемы, если на рабочих серверах запущены дополнительные службы, не продублированные на контрольном компьютере.
11. Убедитесь в том, что в разделе «Безопасность сети» снят флажок **Пропустить этот раздел**, затем нажмите кнопку **Далее**. Соответствующие порты и приложения, определенные ранее, настраиваются в качестве исключений брандмауэра Windows.
12. В разделе «Параметры реестра» установите флажок **Пропустить этот раздел** и нажмите кнопку **Далее**. Данные параметры политики импортируются из прилагаемого файла с расширением INF.
13. В разделе «Политика аудита» установите флажок **Пропустить этот раздел** и нажмите кнопку **Далее**. Данные параметры политики импортируются из прилагаемого файла с расширением INF.
14. Выберите соответствующий шаблон безопасности (например EC-CA Server.inf).
15. Сохраните политику в файле с подходящим именем (например Certificate Services.xml).
#### Проверка политики с помощью мастера настройки безопасности
После создания и сохранения политики корпорация Майкрософт настоятельно рекомендует развернуть ее в тестовой среде. В идеале тестовые серверы должны иметь такое же оборудование и программное обеспечение, как и рабочие серверы. Это позволит обнаружить и устранить возможные проблемы, например присутствие непредусмотренных служб, затребованных определенными устройствами.
Для тестирования политики используются два способа. Можно воспользоваться встроенными функциями развертывания мастера настройки безопасности или развернуть политики с помощью объекта групповой политики.
Приступая к созданию политик, следует рассмотреть возможность использования встроенных средств развертывания мастера настройки безопасности. Принудительно отправить политику на отдельный сервер можно с помощью мастера настройки безопасности, для группы серверов можно использовать средство Scwcmd. Встроенный метод развертывания позволяет легко откатить развернутые политики с помощью мастера настройки безопасности. Данная функция может быть очень полезна при внесении множественных изменений в политики в ходе тестирования.
Цель тестирования политик — удостовериться, что применение той или иной политики к серверам не повлияет негативно на их основные функции. После применения настроек следует проверить базовые возможности компьютера. Например, если сервер настроен как центр сертификации, следует удостовериться, что клиенты смогут запрашивать и загружать сертификаты, списки отзыва сертификатов и т. д.
По окончании работы с настройкой политик, следует использовать команду Scwcmd (см. процедуру ниже) для преобразования политик в объекты групповой политики.
Дополнительные сведения о тестировании политик мастера настройки безопасности см. в [руководстве по развертыванию мастера настройки безопасности](http://technet.microsoft.com/ru-ru/library/cc776871.aspx) по адресу http://technet2.microsoft.com/WindowsServer/rus/Library/5254f8cd-143e-4559-a299-9c723b3669461033.mspx**(на английском языке) и в [документации по мастеру настройки безопасности](http://go.microsoft.com/fwlink/?linkid=43450) по адресу http://go.microsoft.com/fwlink/?linkid=43450 (на английском языке).
#### Преобразование и развертывание политики
После всестороннего тестирования политики выполните следующие действия для ее преобразования в объект групповой политики и последующего развертывания.
1. введите в командной строке команду
```
scwcmd transform /p:<путь\_к\_политике.xml> /g:<отображаемое\_имя\_GPO>
```
и нажмите клавишу ВВОД. Пример.
**Примечание.** Строка разбита на несколько строк для удобства чтения. Однако при использовании в системе необходимо ввести команду одной строкой без разрывов.
```
scwcmd transform /p:"C:\\Windows\\Security\\msscw\\Policies\\ Службы сертификатов.xml" /g:"Политика служб сертификатов"
```
**Примечание**. В приведенном примере текст, который необходимо ввести в командную строку, разбит на две части в связи с ограничениями экрана. Этот текст следует вводить одной строкой.
2. Используйте консоль управления групповыми политиками для сопоставления созданного объекта групповой политики соответствующему подразделению.
Если файл политики безопасности для мастера настройки безопасности содержит параметры брандмауэра Windows, то для успешного завершения этой процедуры брандмауэр Windows должен быть запущен на локальном компьютере. Чтобы запустить брандмауэр Windows, откройте панель управления и выберите пункт **Брандмауэр Windows**.
Выполните окончательную проверку правильности значений параметров объекта групповых политик. Для завершения процедуры подтвердите, что значения параметров установлены правильно и функциональные возможности не изменились.
[](#mainsection)[К началу страницы](#mainsection)
### Заключение
В главе описаны параметры политики, применяемые для укрепления безопасности серверов служб сертификации, работающих под управлением Windows Server 2003 с пакетом обновления 1 (SP1) в среде корпоративных клиентов. Эти параметры настроены и применены с помощью объекта групповой политики, дополняющего базовую политику рядовых серверов. Объекты групповой политики можно сопоставить соответствующим подразделениям, использующим серверы служб сертификации, для обеспечения дополнительной безопасности.
#### Дополнительные сведения
Ниже приведены ссылки на разделы, содержащие дополнительные сведения об укреплении безопасности серверов служб сертификации, работающих под управлением Windows Server 2003 с пакетом обновления 1 (SP1).
- Для получения общего представления об инфраструктуре открытого ключа (PKI) и возможностях служб сертификации Windows* *2000 см. статью [Введение в инфраструктуру открытого ключа ОС Windows 2000](http://www.microsoft.com/technet/archive/windows2000serv/evaluate/featfunc/pkiintro.mspx) по адресу www.microsoft.com/technet/archive/windows2000serv/
evaluate/featfunc/pkiintro.mspx (на английском языке).
- Дополнительные сведения о возможностях PKI в системах Windows* *Server* *2003 и Windows* *XP см. в статье [Дополнительные возможности PKI в системах Windows XP Professional и Windows Server 2003](http://www.microsoft.com/technet/prodtechnol/winxppro/plan/pkienh.mspx) по адресу www.microsoft.com/technet/prodtechnol/winxppro/plan/pkienh.mspx (на английском языке).
- Общие сведения об основных понятиях PKI содержатся также в статье [Инфраструктура открытого ключа](http://technet.microsoft.com/ru-ru/library/cc757327.aspx) по адресу http://technet2.microsoft.com/WindowsServer/rus/Library/32aacfe8-83af-4676-a45c-75483545a9781033.mspx (на английском языке).
**Загрузить**
[Загрузить руководство по безопасности Windows Server 2003 (на английском языке)](http://go.microsoft.com/fwlink/?linkid=14846)
**Уведомления об обновлении**
[Подпишитесь, чтобы вовремя узнавать об обновлениях и новых выпусках](http://go.microsoft.com/fwlink/?linkid=54982)
**Обратная связь**
[Присылайте свои комментарии и предложения.](mailto:secwish@microsoft.com?subject=windows%20server%202003%20security%20guide)
[](#mainsection)[К началу страницы](#mainsection)