Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Обзор
Обновлено 27 декабря 2005 г.
Обновленное Руководство по безопасности ОС Windows Server 2003 предоставляет конкретные рекомендации по увеличению безопасности компьютеров, которые работают под управлением ОС Microsoft® Windows Server™ 2003 с пакетом обновлений 1 (SP1), в трех различных корпоративных средах: в среде с поддержкой устаревших операционных систем, таких как Windows NT® 4.0 и Windows® 98, в среде с ОС Windows 2000 и операционными системами Windows более новых версий, а также в среде с высочайшими требованиями к безопасности, в которой для обеспечения максимальной безопасности допускается даже значительное сокращение доступных для клиентов функций и управляемости. В руководстве эти три среды соответственно обозначаются средой унаследованных клиентов (LC), средой уровня ПК на предприятии (EC) и средой с повышенной безопасностью и ограниченными возможностями (SSLF).
Инструкции по повышению безопасности компьютеров в этих трех средах предназначены для группы серверов с различными ролями. Описанные в руководстве меры и прилагаемые средства предусматривают, что каждый сервер имеет одну роль. Если в среде некоторые серверы должны сочетать несколько ролей, вы можете настроить шаблоны безопасности, содержащиеся в загружаемой версии руководства, для создания подходящей комбинации служб и средств обеспечения безопасности. В этом руководстве рассматриваются следующие роли серверов:
Контроллеры доменов, которые также предоставляют службу DNS
Инфраструктурные серверы, которые предоставляют службы WINS и DHCP.
Файловые серверы.
Серверы печати.
Веб-серверы, использующие службы Microsoft Internet Information Services (IIS).
Серверы для служб проверки подлинности в Интернете (IAS).
Серверы для служб сертификации.
Граничные серверы.
Авторы постарались создать понятную структуру руководства и обеспечить удобный доступ к информации, чтобы можно было быстро найти нужные сведения и определить, какие параметры подходят для компьютеров в вашей организации. Несмотря на то что это руководство предназначено для крупных предприятий, большое количество содержащейся в нем информации относится к организациям любого размера.
Чтобы наиболее эффективно воспользоваться изложенным материалом, руководство необходимо прочитать полностью. Также для вас могут быть полезны сведения, приведенные в руководстве Угрозы и меры противодействия: параметры безопасности в Windows Server 2003 и Windows XP(EN).
На этой странице
Для кого предназначено это руководство Обзор руководства Связанные ресурсы Поделитесь своим мнением Консультации и услуги по поддержке
Для кого предназначено это руководство
Данное руководство предназначено в первую очередь для консультантов, специалистов в сфере безопасности, системных разработчиков и специалистов по информационным технологиям, ответственных за планирование инфраструктуры, использование приложений и развертывание Windows Server 2003. Оно не предназначено для пользователей домашних компьютеров.
Специалистам в сфере безопасности и ИТ-разработчикам может потребоваться более подробная информация о параметрах безопасности, которые рассмотрены в этом руководстве. Дополнительная информация приведена в сопроводительном руководстве Угрозы и меры противодействия: параметры безопасности в Windows Server 2003 и Windows XP(EN).
Обзор руководства
Глава 1. Введение в руководство по безопасности ОС Windows Server 2003
Эта глава содержит общий обзор Руководства по безопасности ОС Windows Server 2003, а также краткий обзор каждой главы. В ней также описаны среда унаследованных клиентов (LC), среда уровня ПК на предприятии (EC) и среда с повышенной безопасностью и ограниченными возможностями (SSLF), а также используемые в них компьютеры.
Глава 2. Механизмы повышения безопасности ОС Windows Server 2003
Эта глава содержит обзор основных механизмов, используемых в этом руководстве для повышения безопасности ОС Windows Server 2003 с пакетом обновлений 1 (SP1) — мастер настройки безопасности (Security Configuration Wizard, SCW) и групповую политику Active Directory. В ней объясняется, как SCW предоставляет интерактивную среду для создания, управления и проверки политик безопасности для компьютеров под управлением Windows Server 2003, выполняющих различные серверные роли. В этой главе также оцениваются возможности SCW в контексте трех сред, описанных в главе 1.
Следующая часть этой главы содержит подробное описание модели Active Directory, модели организационных подразделений (OU), объектов групповой политики (GPO), модели административной группы и политики домена. Эти темы рассматриваются в контексте трех сред, описанных в главе 1, чтобы продемонстрировать идеальную безопасную законченную среду.
В конце этой главы приведено подробное объяснение того, как это руководство сочетает лучшие функции SCW и традиционные подходы на основе объектов GPO для повышения безопасности ОС Windows Server 2003 с пакетом обновлений 1 (SP1).
Глава 3. Политика домена
В этой главе описаны параметры шаблонов безопасности и дополнительные меры для политик уровня домена в трех средах, описанных в главе 1. В этой главе не концентрируется внимание на какой-либо конкретной серверной роли. В ней приведены сведения об определенных политиках и параметрах, используемых для политик домена верхнего уровня.
Глава 4. Базовая политика для используемых серверов
В этой главе описывается разработка базовой политики для используемых серверов (MSBP) для серверных ролей, описанных далее в этом руководстве.
Глава 5. Базовая политика для контроллера домена
Серверная роль контроллера домена является одной из самых важных ролей для обеспечения безопасности любой среды Active Directory, в которой используются компьютеры под управлением Windows Server 2003 с пакетом обновлений 1 (SP1). Ошибка или компромиссное решение при настройке безопасности контроллера домена может нанести значительный ущерб клиентским компьютерам, серверам и приложениям, использующим контроллеры домена для проверки подлинности, групповой политики и центрального облегченного протокола службы каталогов (LDAP). В трех средах, рассматриваемых в данном руководстве, контроллеры домена также предоставляют службы DNS.
Глава 6. Роль инфраструктурного сервера
В этой главе ролью инфраструктурного сервера является роль, которая предоставляет службы DHCP или WINS. В данной главе приведены сведения о настройке параметров безопасности, не применяемых базовой политикой для используемых серверов (MSBP), для инфраструктурных серверов под управлением Windows Server 2003 с пакетом обновлений 1 (SP1).
Глава 7. Роль файлового сервера
Эта глава посвящена повышению безопасности компьютеров, используемых в качестве файловых серверов. В ней также объясняется, почему этот процесс является сложной задачей. Для самых базовых функций, предоставляемых файловыми серверами, требуются протоколы, связанные с Windows NetBIOS, а также Server Message Block (SMB) и Common Internet File System (CIFS). Протоколы SMB и CIFS обычно используются для предоставления доступа пользователям, прошедшим проверку подлинности, но при неправильной настройке параметров безопасности они могут предоставить ценную информацию несанкционированным пользователям или хакерам. Вследствие данной угрозы эти протоколы часто отключаются в средах с высоким уровнем безопасности. В этой главе описана настройка параметров безопасности, не применяемых политикой MSBP, для файловых серверов под управлением Windows Server 2003 с пакетом обновлений 1 (SP1).
Глава 8. Роль сервера печати
Эта глава посвящена серверам печати. Аналогично файловым серверам для самых базовых функций, предоставляемых серверами печати, требуются протоколы, связанные с Windows NetBIOS, а также SMB и CIFS. Как было указано ранее, протоколы SMB и CIFS часто отключаются в средах с высоким уровнем безопасности. В этой главе описано, как повысить безопасность сервера печати под управлением Windows Server 2003 с пакетом обновлений 1 (SP1) такими способами, которые не применяются политикой MSBP.
Глава 9. Роль веб-сервера
В этой главе описано, почему для обеспечения всесторонней безопасности веб-узлов и приложений требуется защитить весь сервер IIS (в том числе каждый веб-узел и приложение, которое находится на сервере IIS) от клиентских компьютеров в среде. Веб-узлы и приложения также должны быть защищены от других веб-узлов и приложений, расположенных с ними на сервере IIS. В этой главе описаны приемы по обеспечению этих мер для используемых в среде серверов IIS под управлением Windows Server 2003 с пакетом обновлений 1 (SP1).
Глава 10. Роль сервера IAS
Серверы проверки подлинности в Интернете (Internet Authentication Server, IAS) предоставляют протокол проверки подлинности Remote Authentication Dial-In User Services (RADIUS), который основан на стандартах и предназначен для проверки подлинности клиентов, осуществляющих удаленный доступ к сетям. В этой главе описана настройка параметров безопасности, не применяемых политикой MSBP, для серверов IAS под управлением Windows Server 2003 с пакетом обновлений 1 (SP1).
Глава 11. Роль сервера для служб сертификации
Службы сертификации предоставляют услуги по шифрованию и управлению сертификатами, которые требуются для создания инфраструктуры с открытым ключом (PKI) в серверной среде. В этой главе описана настройка параметров безопасности, не применяемых политикой MSBP, для серверов служб сертификации под управлением Windows Server 2003 с пакетом обновлений 1 (SP1).
Глава 12. Роль граничного сервера
Граничные серверы доступны для клиентских компьютеров через Интернет. В этой главе описано, как эти доступные для всех системы могут быть атакованы большим количеством пользователей, которые при желании могут быть абсолютно анонимными. Многие организации не связывают инфраструктуру домена с Интернетом, поэтому в этой главе рассматривается повышение безопасности отдельных компьютеров под управлением ОС Windows Server 2003 с пакетом обновлений 1 (SP1), которые не входят в состав домена на базе Active Directory.
Глава 13. Заключение
Заключительная глава этого руководства содержит краткую информацию о материале, представленном в предыдущих главах.
Приложение А. Средства и форматы обеспечения безопасности
Несмотря на то что в Руководстве по безопасности ОС Windows Server 2003 рассматривается использование SCW для создания политик, которые затем преобразовываются в шаблоны безопасности и объекты групповой политики, существуют различные другие средства и форматы данных, которые могут использоваться для дополнения или замены этой методики. Это приложение содержит краткий список этих средств и форматов.
Приложение Б. Ключевые параметры, на которые следует обратить внимание
В Руководстве по безопасности ОС Windows Server 2003 описаны многие меры и параметры обеспечения безопасности, однако необходимо знать некоторые, наиболее важные из них. В этом приложении рассматриваются параметры, которые оказывают наибольшее влияние на безопасность компьютеров под управлением ОС Windows Server 2003 с пакетом обновлений 1 (SP1).
Приложение В. Краткая информация о настройке шаблонов безопасности
Это приложение содержит рабочий лист Microsoft Excel® «Параметры безопасности руководства по безопасности ОС Windows Server 2003»(EN), который прилагается к средствам и шаблонам в загружаемой версии(EN). Этот лист является всесторонним справочным документом в компактном, удобном формате и содержит информацию обо всех рекомендуемых параметрах для трех сред, рассматриваемых в данном руководстве.
Приложение Г. Тестирование руководства по безопасности ОС Windows Server 2003
Руководство по безопасности ОС Windows Server 2003 содержит большое количество информации о повышении безопасности серверов под управлением ОС Windows Server 2003 с пакетом обновлений 1 (SP1), но читателю рекомендуется регулярно проверять параметры и убеждаться в их действенности, прежде чем внедрять какие-либо из них в рабочую среду.
Это приложение содержит инструкции по созданию подходящей тестовой среды, которую можно использовать для обеспечения успешного внедрения рекомендуемых параметров в рабочую среду. Она помогает выполнять необходимую проверку и использовать для этого минимальное количество ресурсов.
Средства и шаблоны
Чтобы облегчить анализ, тестирование и проведение рекомендованных мероприятий, в состав загружаемой версии руководства включен набор шаблонов безопасности, сценариев и дополнительных инструментов. Шаблоны безопасности представляют собой текстовые файлы, которые можно импортировать в состав групповой политики домена или использовать на локальном компьютере с помощью оснастки «Анализ и настройка безопасности» консоли управления Microsoft Management Console (MMC). Соответствующие инструкции находятся в главе 2 «Механизмы повышения безопасности ОС Windows Server 2003». Прилагаемые к этому руководству сценарии включают в себя сценарии для создания и связывания объектов групповой политики, а также тестовые сценарии, используемые для проверки рекомендуемых мер.
Связанные ресурсы
Для получения дополнительных сведений о параметрах безопасности, описанных в этом руководстве, загрузите сопутствующее руководство Угрозы и меры противодействия: параметры безопасности в Windows Server 2003 и Windows XP(EN), а также Руководство по безопасности ОС Windows XP(EN). Информация о других решениях по обеспечению безопасности(EN), предоставленная группой Microsoft Solutions for Security and Compliance (MSSC).
Поделитесь своим мнением
Группа Microsoft Solutions for Security and Compliance (MSSC) будет рада узнать ваше мнение об этом и других решениях по обеспечению безопасности.
У вас есть свое мнение? Сообщите нам его в веб-дневнике, посвященном решениям по обеспечению безопасности для ИТ-специалистов (Security Solutions Blog for the IT Professional)(EN).
Либо отправьте нам свои комментарии по следующему адресу: SecWish@microsoft.com. Мы часто отвечаем на сообщения, которые приходят по этому адресу.
С нетерпением ожидаем ваших комментариев.
Консультации и услуги по поддержке
Доступны многие услуги для помощи организациям в обеспечении безопасности. Воспользуйтесь следующими ссылками, чтобы найти необходимые услуги.
Для получения информации о партнерах со статусом Microsoft Gold Certified Partner, технических образовательных центрах и партнерах, сертифицированных корпорацией Майкрософт, а также о продуктах независимых разработчиков программного обеспечения, использующих технологии Майкрософт, выполните поиск на веб-узле Microsoft Resource Directory(EN).
Чтобы найти консалтинговые услуги и услуги по поддержке, которые соответствуют потребностям вашей организации, посетите веб-узел Microsoft Services(EN).
Загрузка
Получить руководство по безопасности ОС Windows Server 2003(EN)
Уведомления об обновлениях
Подпишитесь на получение информации об обновлениях и выпусках новых продуктов(EN)
Обратная связь