Шаблоны безопасности и анализ конфигурации защиты (Security Templates and Security Configuration Analysis), которые в NT4 Service Pack 4 были представлены как необязательный компонент, являются одними из лучших средств настройки защиты в инфраструктуре Windows 2000, особенно в сочетании с политиками групп.
Шаблоны безопасности – это структурированные списки настроек Windows 2000, связанных с безопасностью. Их можно редактировать и применять к системе одним нажатием клавиши мыши, не нужно отдельно искать и изменять каждую из сотен настроек. Кроме того, файлы шаблонов можно сравнить с текущими настройками данной системы, выяснить, какие параметры конфигурации совпадают с указанными в шаблоне, а какие – нет (это называется анализом конфигурации).
К шаблонам безопасности и анализу конфигурации защиты легче всего получить доступ, если открыть пустое окно консоли управления (Microsoft Management Console, MMC), а затем добавить в него приложения Security Templates (Шаблоны безопасности) и Security Configuration and Security Analysis (Конфигурация безопасности и анализ безопасности).
Ветвь Security Templates на левой панели окна MMC по умолчанию настроена на просмотр каталога \systemroot\security\templates, в котором обычно хранятся шаблоны безопасности Windows 2000. Шаблон безопасности представляет собой обыкновенный текстовый файл с расширением *.inf, содержащий настройки следующих групп параметров операционной системы.
Политики учетных записей (Account Policies). Эквивалентны настройкам политики безопасности Windows 2000 под тем же названием. Сюда входят политики выбора пароля, блокировки учетной записи и протокола Kerberos.
Локальные политики (Local Policies). Эквивалентны настройкам политики безопасности Windows 2000 под тем же названием. Сюда входят политики аудита, присвоения прав пользователю, политики для функций защиты (здесь находятся наиболее важные настройки).
Журнал событий (Event Log). Настройка журнала событий.
Ограниченные группы (Restricted Groups). Определяют настройки только для авторизированных членов групп, так что когда применяются эти правила, неуказанные пользователи не учитываются (применение этих правил через политики групп – хороший способ остановить взломщиков, которые создают учетные записи для черного хода в систему в группе администраторов домена или в какой-нибудь другой мощной группе).
Системные службы (System Services). Настройки этой группы определяют поведение служб во время запуска и разрешения на управление доступом (позволяют, например, отключать отдельные службы).
Реестр (Registry). Определяет настройки доступа к ключам реестра.
Файловая система (File System). Определяет настройки доступа к файловой системе.
Хотя описанные группы параметров не покрывают все стороны операционной системы Windows 2000, а возможности определять настройки, которых нет в шаблоне (например, добавить ключ реестра) ограничены, шаблоны безопасности представляют собой очень удобное средство для администраторов, которым постоянно приходится вручную поддерживать безопасную и целостную конфигурацию большого числа различных машин под управлением Windows 2000. Ключи реестра можно добавить в шаблон безопасности, если редактировать непосредственно файл inf, однако через графический интерфейс новые параметры добавлять нельзя.
В группах Registry и File System устанавливаются разрешения на разделы реестра и объекты файловой системы, соответственно. Для удобства конфигурации введены дополнительные способы наследования разрешений:
– Propagate inheritable permissions to all subkeys (subfolders and files) позволяет распространять разрешения на нижестоящие разделы реестра или объекты файловой системы. При этом новые разрешения будут добавлены к текущим настройкам;
– Replace existing permissions on all subkeys (subfolders and files) with inheritable permissions также распространяет разрешения на нижестоящие разделы реестра или объекты файловой системы, однако текущие разрешения полностью заменяются настройками шаблона;
– Do not allow permissions on this key (file or folder) to be replaced дает возможность настроить разрешения для разделов реестра или объектов файловой системы вне зависимости от наличия в шаблоне настроек разрешений для вышестоящих объектов.
В ветви Security Templates консоли ММС показаны одиннадцать заранее настроенных шаблонов, которые поставляются с Windows 2000. В Таблице 18.1 приведен краткий справочник по каждому из них, шаблоны в таблице перечислены в порядке возрастания обеспечиваемого уровня безопасности (шаблоны ocfiles являются исключением из этого ряда).
Таблица 18.1.
|
Шаблон |
Описание |
|
Setupsecurity |
Используется по умолчанию, соответствует начальным
настройкам системы после установки; в случае необходимости используйте этот
шаблон, чтобы снять более жесткие ограничения, установленные после применения
других шаблонов |
|
Compatws |
Более мягкие настройки безопасности по сравнению с
используемыми по умолчанию в Windows
2000 Professional |
|
Basicdc |
Настройки по умолчанию для контроллера домена |
|
Basicsv |
Настройки по умолчанию для сервера |
|
Basicwk |
Настройки по умолчанию для Windows
2000 Professional |
|
Securews |
Позволяет повысить защищенность дополнительных
областей после применения шаблона basicwk |
|
Securedc |
Позволяет повысить защищенность дополнительных
областей после применения шаблона basicdc |
|
Ocfilesw |
Более защищенная конфигурация для необязательных
компонентов Windows 2000 Professional (используется вместе с
шаблонами securews или hisecws) |
|
Ocfiless |
Более защищенная конфигурация для необязательных
компонентов Windows 2000 Server (используется вместе с
шаблонами securedc или hisecdc) |
|
Hisecdc |
Настройки Windows 2000, обеспечивающую
большую степень защиты – дополнение к шаблону securedc |
|
Hisecws |
Настройки Windows 2000, обеспечивающую
большую степень защиты – дополнение к шаблону securews |
За исключением шаблонов ocfilesw и ocfiless, описанные шаблоны необходимо применять в совокупности, т.е. сначала нужно использовать шаблон basicwk или basicsv, далее – шаблон securews или securedc, и, наконец, шаблон hisecws или hisecdc. Причина в том, что каждый шаблон изменяет конфигурацию отдельной области ОС (списки контроля доступа ACL к файлам и реестру, права пользователя, членство в группах, политики, настройки аудита и т.д.). Например, шаблон basicwk приводит все настройки в соответствие с базовым уровнем безопасности, а шаблон securews повышает безопасность только тех областей операционной системы, на которые не распространяются разрешения, в том числе – ужесточенные настройки для политик учетных записей, аудита, для некоторых известных ключей реестра, связанных с системой безопасности. Списки контроля доступа (ACL) шаблон securews не затрагивает, так как считается, что действуют настройки Windows 2000, установленные по умолчанию. Аналогично, шаблоны ocfile нужно использовать, если были установлены необязательные компоненты системы Windows 2000 Professional или Server.
Как видно из Таблицы 18.1, наибольшую степень защиты из предустановленных шаблонов обеспечивает шаблон hisecws. Компания Microsoft также предоставила для загрузки со своего Web-узла шаблон hisecweb. Однако необходимо учитывать, что это всего лишь шаблоны, необходимо оценить их совместимость с приложениями, посмотреть, какие параметры можно изменить, чтобы получить полное соответствие с требованиями, обратить внимание на дополнительные настройки, которые придется для этого изменить. Можно легко создать собственный шаблон, для этого нужно щелкнуть правой кнопкой мыши на одном из предустановленных шаблонов (например, на шаблоне hisecws) и выбрать пункт меню Save As (Сохранить как). Затем требуется перейти к новому шаблону и изменить его настройки нужным вам образом.
Примером параметра, который нужно включить в шаблон hisecws, является замена списков ACL файловой системы NTFS для программы cmd.exe и других мощных административных утилит из каталога systemroot\system32. С использованием шаблонов безопасности это сделать легко.
При установке операционной системы применяется набор настроек по умолчанию (Defltwk.inf, Defltsv.inf, Defltdc.inf, в зависимости от роли компьютера — рабочая станция, сервер или контроллер домена). Данные шаблоны сохраняются в папке %systemroot%\inf, а тот из них, который применялся на этапе установки, сохраняется под именем %systemroot%\security\templates\setup security.inf.
Для анализа и конфигурации системы на основе шаблона безопасности можно использовать графический интерфейс оснастки консоли управления Security Configuration and Analysis, входящей в стандартную поставку системы.
Если один раз щелкнуть мышью на ветви Security Configuration and Analysis на левой панели окна ММС, то на правой панели пользователю будет предложено выбрать способ создания базы данных перед конфигурированием или анализом конфигурации. База данных создается для временного хранения информации из шаблонов безопасности и результатов анализа. Следуя приглашению открыть новую базу данных необходимо импортировать в нее один из встроенных шаблонов безопасности (или один из созданных шаблонов).
После того, как шаблон импортирован в базу данных, его можно использовать для анализа или конфигурирования локальной системы, для этого нужно щелкнуть правой кнопкой мыши на ветви Security Configuration and Analysis на левой панели окна ММС и выбрать действие – либо Analyze Computer Now (Провести анализ компьютера), либо Configure Computer Now (Выполнить конфигурирование компьютера).
Если выбрать проведение анализа, то появится диалог с предложением определить расположение для журнала процесса анализа (по умолчанию используется путь userprofile\Local_Settings\Temp\[имя шаблона].log). Затем появится индикатор выполнения процесса, а система Windows начнет сравнивать текущие настройки компьютера с импортированными в базу данных из шаблона. После завершения процесса можно выбрать любой элемент списка и посмотреть, совпадает он с шаблоном или нет. Параметры, значения которых не совпадают, отмечены красными пиктограммами со знаком X, а параметры с совпадающими значениями – зелеными галочками. Если в базе данных или шаблоне значение параметра не определено, то рядом с названием параметра пиктограмма не ставится, а в базе данных делается отметка Not Defined (Не определен), в журнале такие параметры отмечены строкой "Not configured". В журнал сеанса анализа также заносятся записи о результате каждого сравнения, время и дата начала анализа и выполнения проверки каждого параметра, результат каждой проверки (записи о завершении анализа настройки, о найденных несоответствиях или ошибках, возникших при запросе значения параметра) и т.д. К сожалению, в журнал не заносятся записи о параметрах, значения которых совпали с указанными в шаблоне. Чтобы получить доступ к журналу, нужно щелкнуть правой кнопкой мыши на ветви Security Configuration and Analysis и выбрать пункт меню View Log (Просмотр журнала).
Функция конфигурирования (Configure) работает так же, как и функция анализа, но выполняется не сравнение текущих значений параметров с указанными в шаблоне, а их изменение.
Анализ и конфигурирование настроек Windows 2000 возможно проводить более эффективно, если их проводить по сети одновременно для нескольких систем. Это можно сделать двумя методами: старым способом и новым – через политики групп.
Старый способ – использование для анализа или конфигурирования утилиты командной строки secedit через сценарий входа в систему или какой-нибудь другой механизм, который позволяет проводить распределенный запуск команд.
Анализ системы осуществляется запуском утилиты со следующими параметрами: secedit /analyze /DB файл_базы [/CFG файл_шаблона] [/log файл_журнала] [/verbose] [/quiet], где
– файл_базы – обязательный параметр, указывающий на имя файла базы данных, на основе которой осуществляется анализ системы безопасности. Если файла базы в системе нет, необходимо указать имя файла шаблона;
– файл_шаблона указывает на файл шаблона безопасности, который будет импортироваться в базу данных и использоваться для анализа конфигурации;
– файл_журнала задает имя файла, в котором будет сохранен отчет об анализе. По умолчанию %SystemRoot%\Security\Logs\Scesrv.log;
– verbose – вывод подробного отчета о процессе анализа;
– quiet отменяет вывод на экран и запись в файл журнала. Результаты анализа сохраняются в базе данных.
Для конфигурации системы в соответствии с шаблоном безопасности используется следующий синтаксис: secedit /configure [/DB файл_базы] [/CFG файл_шаблона] [/overwrite] [/areas area1 area2...] [/log файл_журнала] [/verbose] [/quiet]
– overwrite перезаписывает все настройки в базе данных настройками из шаблона безопасности;
– areas указывает группы настроек, которые будут применятся к системе в конкретном сеансе. Данный параметр может принимать следующие значения: SECURITYPOLICY, GROUP_MGMT, USER_RIGHTS, REGKEYS, FILESTORE, SERVICES.
Если доступен домен Windows 2000, то можно воспользоваться более мощным средством: политиками групп.
Одно из наиболее мощных средств администрирования, которые появились в Windows 2000, это политики групп (Group Policy). Их можно использовать не только для изменения настроек безопасности, но на данном этапе остановимся именно на таком применении политик групп.
Механизм политики группы (Group Policy) обеспечивает централизованную архитектуру управления конфигурацией Windows 2000. Он реализован через объекты политики группы (Group Policy Object, GPO), которые определяют параметры конфигурации, применяемые (или привязанные) к пользователям или компьютерам. Существует два типа объектов GPO: локальные объекты GPO и объекты GPO службы Active Directory (ADGPO).
В сетях Windows 2000 также можно использовать и политики Windows NT, поскольку клиенты низкого уровня не могут читать объекты GPO. Файлы политик NT (.pol) кардинально отличаются от объектов GPO и не переносятся при обновлении системы. Однако в объекты GPO можно перенести файлы шаблонов администрирования NT (.adm).
Объекты LGPO (локальные объекты) хранятся в каталоге %systemroot%\system32\GroupPolicy, для хранения используется три файла: gpt.ini, административные шаблоны (.adm), файлы конфигурирования безопасности (.pol) и сценарии запуска/остановки системы. Объекты ADGPO хранятся в каталоге %systemroot%\system32\sysvol\<domain>\Policies, указатель на каждый объект этого типа хранится в контейнере System=>Policy. Объект LGPO применяется только к локальному компьютеру. Объекты ADGPO можно применять к узлам, доменам или организационным единицам (organizational unit, OU); к одному узлу, домену или объекту OU можно привязать несколько объектов GPO.
Особый интерес для нас представляют параметры объекта GPO, связанные с безопасностью, которые собраны в ветви Computer Configuration\Windows_Settings\Securit_ Settings. Здесь собраны те параметры, которые можно изменить через апплет Local Security Settings, о нем мы много говорили на протяжении всей книги (фактически, апплет Local Security Settings является интерфейсом для изменения параметров ветви Computer Configuration\Windows_Settings\Security Settings объекта GPO).
Как было сказано, ветвь Security Settings определяет политики учетных записей, политики аудита, настройки журнала событий, открытые ключи и политики фильтров IPSec. Задача администрирования в большом окружении значительно упрощается, если все эти параметры можно настраивать на уровне узла, домена или объекта OU. Кроме того, шаблоны безопасности можно импортировать в объекты GPO. Таким образом, политики групп – это прекрасный способ конфигурирования безопасности в больших доменах Windows 2000.
Объекты GPO можно просматривать и редактировать в любом окне ММС (для этого требуются права администратора). Вместе с Windows 2000 поставляются объекты GPO для политик локального компьютера (Local Computer), домена по умолчанию (Default Domain) и контроллера домена по умолчанию (Default Domain Controller). Объект GPO для локального компьютера можно вызвать командой Start=>gpedit.msc.
Объект GPO можно также просмотреть, если щелкнуть правой кнопкой мыши на домене, организационной единице или узле в утилитах Users and Computers (Пользователи и компьютеры) или Sites and Services (Узлы и сервисы) службы Active Directory, выбрать пункт меню Properties (Свойства) и перейти на вкладку Group Policy (Политика группы). Можно также создать пустое окно ММС, добавить в него приложение Group Policy Editor (Редактор политик групп) и выбрать объект GPO, который нужно отредактировать. В окне приложения видно, какие объекты GPO привязаны (применяются) к выбранному объекту (перечислены в порядке приоритета). Из информации, показанной в этом же окне, видно, заблокировано ли наследование, для каждого объекта GPO можно внести исправления или изменить его приоритет.
Чтобы импортировать шаблон безопасности в политику группы, нужно щелкнуть правой кнопкой мыши на ветви Computer Configuration\Windows Settings\Security Settings объекта GPO и выбрать пункт меню Import (Импорт). Затем необходимо перейти в каталог systemroot\security\templates и выбрать один из встроенных или созданных вами шаблонов безопасности Windows 2000.
Настройки, определенные в объекте GPO, распространяются на учетные записи пользователей или компьютеры (называемых членами объекта GPO), которые содержатся на данном узле, домене или в организационной единице, либо, в случае локального объекта (LGPO), на локальную машину. Контроллеры домена проверяют изменения политик каждые пять минут. Пользователи и компьютеры выполняют проверку при входе в систему и загрузке, соответственно, а затем – каждые 90 минут. Политику можно перезагрузить вручную (для этого нужно щелкнуть правой кнопкой мыши на ветви Computer Configuration\Wmdows_Settings\Security_Settings и выбрать пункт меню Reload). Также для распространения политики и ее немедленного обновления на объектах можно воспользоваться утилитой secedit. Чтобы обновить политику утилитой secedit, необходимо открыть диалог Run (Выполнить) и ввести команду:
secedit /refreshpolicy MACHINE_POLICY /enforce
Чтобы обновить политики в ветви User Configuration, необходимо ввести команду:
secedit /refreshpolicy USER_POLICY /enforce
Можно использовать несколько объектов GPO в порядке, определяемом администратором. Тогда они будут перезаписываться (наследоваться) с родительского узла, домена или организационной единицы. Наследование можно запретить на уровне узла, домена, организационной единицы, но блокировки отключаются, если сделать отметку No Override (He переопределять) на уровне объекта политики групп. Таким образом, политики, для которых сделана отметка No Override (He переопределять), не блокируются. На локальные политики блокировки не распространяются
Наследование и переназначение – это важные концепции, в которых следует разобраться перед распространением политик в сложном окружении Политики применяются в следующем порядке.
1. Уникальный объект LGP.
2. Объекты политики групп узла, в указанном администратором порядке.
3. Объекты политики групп домена, в указанном администратором порядке
4. Объекты политики групп организационной единицы, от большей к меньшей, в указанном администратором порядке на уровне каждой организационной единицы.
По умолчанию, использованные позже политики перезаписывают политики, которые были применены раньше, в случаях, когда политики противоречивы. Однако, если настройки совместимы, то использованные ранее и примененные позже политики делают вклад в формирование общей эффективной политики.
Некоторые элементы настроек безопасности для политик групп можно применить только на уровне домена и нельзя использовать на уровне узла или организационной единицы. Настройки политик учетных записей (Account Policies) можно применять только к доменам. Объекты GPO с установленным признаком No Override не блокируются в дочерних организационных единицах.
Политики объектов применимы только для объектов раздела "Пользователи и компьютеры (Users and Computers) службы Active Directory”. Политики нельзя применять к группам, но группы можно применять для фильтрации политик. Для этого используется параметр Apply Group Policy (Применять политику групп), который устанавливается в одно из трех значений: Not Configured (He настроен), Allowed (Разрешено) и Denied (Запрещено). Этот параметр настраивается через окно Properties (Свойства) объекта GPO, вкладка Security (Безопасность). Значение Allowed имеет преимущество перед значением Denied. Таким образом, членство в группах можно использовать для блокирования распространения политик.
При создании эффективной политики для данной организационной единицы необходимо остерегаться результатов наследования ограничений (политики учетных записей применимы только к доменам, а к узлам или организационным единицам не применяются), блокировок, переназначений и фильтрации группами.