Лабораторна робота №8, Засоби адміністрування і управління безпекою
Код роботи: 1058
Вид роботи: Лабораторна робота
Предмет: Мережева безпека
Тема: №8, Засоби адміністрування і управління безпекою
Кількість сторінок: 12
Дата виконання: 2016
Мова написання: українська
Ціна: 150 грн
Мета: Ознайомитись і навчитись використовувати засоби адміністрування і управління безпекою із застосуванням Microsoft Management Console (MMC) у MS Windows XP. Навчитись визначати локальні політики безпеки.
Зауваження. Для виконання лабораторної роботи потрібно зайти в систему з обліковим записом «Администратор» або як член групи «Администраторы».
Забезпечення безпеки неможливе в системах Windows XP Professional, встановлених на дисках з файловою системою FAT.
Теоретичні відомості
1. Основні поняття
Адміністратор – у Windows XP Professional користувач, відповідальний за налагодження і управління контролерами домена і локальними комп'ютерами, ведення облікових записів користувачів і груп, надання паролів і дозволів, який також допомагає користувачам працювати в мережі. Адміністратори є членами однойменної групи і володіють повним доступом до домена або комп'ютера.
В Windows XP Home Edition користувач, який має право вносити на комп'ютері зміни на рівні системи, встановлювати програмне забезпечення і має доступ до всіх файлів на комп'ютері. Користувач з обліковим записом адміністратора комп'ютера має повний доступ до інших облікових записів користувачів на комп'ютері.
Active Directory ‑ служба каталогів, яка зберігає відомості про об'єкти мережі і надає ці дані користувачам і адміністраторам. Active Directory дає можливість користувачам мережі здійснювати доступ до передбачених ресурсів в рамках одного процесу підключення. Крім того, ця служба забезпечує адміністраторів інтуїтивним ієрархічним представленням мережі і єдиним інструментом адміністрування всіх мережних об'єктів.
Консоль MMC – це основа для побудови засобів адміністрування, які називаються консолями. Консоль складається з інструментів, папок або інших контейнерів, веб-сторінок і інших компонентів управління. Ці об'єкти відображаються в лівій області консолі, званої деревом консолі. Консоль має одне або декілька вікон, що забезпечують представлення її дерева.
Головне вікно консолі MMC надає меню і кнопки для похідних консолей. Похідні елементи MMC і дерево консолі можна приховати в призначеному для користувача режимі.
Дерево консолі ‑ це ліва область консолі MMC, що відображає об'єкти консолі. За умовчанням ця область присутня у вікні консолі, але може бути і прихована. Об'єкти, що знаходяться в дереві консолі, і їх ієрархічна організація визначають можливості консолі.
Оснащення (оснастка) – це тип інструменту, який можна додати в консоль, похідну від MMC (Microsoft Management Console). Ізольоване оснащення може використовуватися незалежно від інших оснащень, тоді як оснащення розширення може бути використано тільки як доповнення іншого оснащення.
2. Політики облікових записів і локальні політики
2.1. Політики облікових записів
Всі політики безпеки є політиками безпеки для комп'ютера. Політики облікових записів визначаються на комп'ютерах і визначають взаємодію облікових записів з комп'ютером і доменом. Існують три політики облікових записів.
1. Політика паролів. Використовується для облікових записів доменів і локальних комп'ютерів. Визначає параметри паролів, такі як відповідність обов'язковим умовам і термін дії.
2. Політика блокування облікового запису. Використовується для облікових записів доменів і локальних комп'ютерів. Визначає умови і період часу блокування облікового запису.
3. Політика Kerberos. Використовується для облікових записів користувачів домена. Визначає параметри Kerberos, такі як термін життя квитка і відповідність обов'язковим умовам. Політики Kerberos не входять до складу політики локального комп'ютера.
Для облікових записів доменів допускається використання тільки однієї політики облікових записів. Політика облікових записів повинна бути визначена в політиці домена за умовчанням і реалізовуватися контролерами домена, що створюють цей домен.
Контролер домена завжди отримує політику облікових записів від об'єкту групової політики «Політика за умовчанням для домена», навіть якщо є інша політика облікових записів, застосована до організаційного підрозділу, який містить контролер домена. Приєднані до домена робочі станції і сервери (такі як комп'ютери-учасники) за умовчанням також отримують цю ж політику облікових записів для локальний облікових записів. Проте локальні політики облікових записів можуть відрізнятися від політики облікових записів домена, наприклад коли політика облікових записів визначається безпосередньо для локальних облікових записів.
У вікні «Параметри безпеки» доступні дві політики, що мають з політиками облікових записів схожу функціональність. Далі представлені ці політики.
- Network Access: Allow anonymous SID/NAME translation;
- Мережна безпека: Примусовий вихід з системи після закінчення допустимих годин роботи.
2.2. Локальні політики
Ця група політик застосовується на комп'ютерах. У її склад входять три представлені далі політики.
1. Політики аудиту. Визначає, які події безпеки заносяться в журнал безпеки даного комп'ютера. Також визначає, чи заносити в журнал безпеки успішні спроби, невдалі спроби або і ті, та інші. (Журнал безпеки є частиною оснащення «Просмотр событий»).
2. Призначення прав користувача. Визначає, які користувачі і групи володіють правами на вхід в систему і виконання різних завдань.
3. Параметри безпеки. Включення або відключення параметрів безпеки, таких як цифровий підпис даних, імена облікових записів адміністратора і гостя, доступ до дисководів гнучких і компакт-дисків, установка драйверів і запрошення на вхід в систему.
Оскільки можливе застосування до комп'ютера декілька політик, може виникнути конфлікт між параметрами безпеки. Тому використовується принцип пріоритетів. Пріоритет мають політики наступних об'єктів у вказаному порядку: підрозділ, домен, локальний комп'ютер.
Параметри безпеки можна настроювати для одного комп'ютера або відразу для декількох, використовуючи засоби диспетчера налагодження безпеки. До цих засобів відносяться:
- Шаблони безпеки;
- Аналіз і налагодження безпеки;
- Програма командного рядка Secedit.exe;
- Локальна політика безпеки;
- Розширення «Параметри безпеки» для групової політики.
Щоб встановити або змінити окремі параметри безпеки на окремих комп'ютерах, використовуйте засіб «Локальная политика безопасности». Щоб визначити параметри безпеки для декількох комп'ютерів, використовуйте розширення «Параметры безопасности» для групової політики. Щоб застосувати декілька параметрів у складі пакету, визначте їх за допомогою шаблонів безпеки і потім застосуйте за допомогою засобу «Анализ и настройка безопасности» або програми Secedit.exe, або імпортуйте шаблон, що містить потрібні параметри, у відповідну локальну або групову політику.
3. Засоби управління налагодженням безпеки. Шаблони безпеки
Представлені далі засоби можуть бути використані для управління політикою безпеки комп'ютера, підрозділу або домена.
|
Засіб управління налагодженням безпеки |
Опис |
|
Шаблони безпеки |
Шаблон безпеки є файлом, що представляє конфігурацію безпеки або політику безпеки. Такі шаблони можуть застосовуватися до політики локального комп'ютера або імпортуватися в об'єкт групової політики. |
|
Аналіз і налагодження безпеки |
Даний засіб можна використовувати для аналізу і налагодження безпеки комп'ютера за допомогою шаблона безпеки. |
|
Розширення «Параметри безпеки» для групової політики |
Даний засіб може використовуватися для зміни окремих параметрів безпеки домена, вузла або підрозділу. |
|
Локальна політика безпеки |
Даний засіб можна використовувати для зміни окремих параметрів безпеки локального комп'ютера. |
|
Засіб командного рядка Secedit.exe |
Даний засіб можна використовувати для автоматизації задач налагодження безпеки. |
3.1. Загальні відомості про оснащення «Шаблоны безопасности»
За допомогою оснащення «Шаблоны безопасности» можна створити політику безпеки для комп'ютера або мережі. Використовуючи це єдине оснащення, можна управляти всією безпекою системи. Оснащення «Шаблоны безопасности» не надає нових параметрів безпеці, а просто упорядковує і надає зручний доступ до всіх наявних атрибутів безпеки для спрощення адміністрування.
При імпорті шаблона безпеки в об'єкт групової політики полегшується адміністрування домена, оскільки безпека настроюється для домена або підрозділу лише один раз.
Щоб застосувати шаблон безпеки на локальному комп'ютері, можна використовувати засіб «Анализ и настройка безопасности».
Шаблони безпеки можна використовувати, щоб визначити представлені далі елементи.
Всі шаблони зберігаються в текстових файлах з розширенням .inf. Це дає можливість копіювати, вставляти, імпортувати і експортувати будь-які атрибути шаблона. В шаблоні безпеки можуть зберігатися всі атрибути безпеки, за виключенням політик безпеки IP і політик відкритого ключа.
3.2. Нові і готові шаблони
Можна створювати шаблони безпеки, відповідні вимогам користувача, або використовувати готові шаблони. Перед зміною параметрів безпеки необхідно визначити параметри безпеки системи, що використовуються за умовчанням, а також їх призначення.
Існує декілька готових шаблонів, які рекомендується використовувати для захисту системи залежно від потреб конкретного користувача.
3.3. Готові шаблони безпеки
Готові шаблони безпеки є відправним пунктом в створенні політик безпеки, які настроюються, щоб задовольняти організаційним вимогам. Шаблони можна настроювати за допомогою оснащення «Шаблоны безопасности». Після налагодження готових шаблонів безпеки ці шаблони можна використовувати для зміни конфігурації одного комп'ютера або багатьох комп'ютерів.
Змінити конфігурацію комп'ютерів можна за допомогою оснащення «Анализ и настройка безопасности», засобу Secedit.exe, що працює з командного рядка, а також за допомогою імпорту шаблона в оснащення «Локальная политика безопасности». Можна змінювати конфігурацію декількох комп'ютерів, імпортувавши шаблон в компонент Параметри безпеки, є розширенням оснащення «Групповая политика».
На основі шаблонів безпеки можна також виконувати аналіз можливих слабких місць безпеки і порушень політики системи за допомогою оснащень «Анализ и настройка безопасности». За умовчанням готові шаблони безпеки збережені в розташуванні:
системний_кореневий_каталог\Security\Templates.
3.4. Безпека за умовчанням (Setup security.inf)
Шаблон Setup security.inf є шаблоном для конкретного комп'ютера і містить параметри безпеки, що використовуються за умовчанням, які застосовуються під час установки операційної системи, включаючи дозволи для файлів кореневого каталогу системного диска. Цей шаблон можна використовувати повністю або частково з метою аварійного відновлення. Шаблон Setup security.inf не можна застосовувати за допомогою оснащення «Групповая политика».
3.5. Сумісний (Compatws.inf)
Дозволи за умовчанням для робочих станцій і серверів спочатку створюються для їх локальних груп: «Администраторы», «Досвідчені користувачі» і «Пользователи». Члени групи «Администраторы» володіють найбільшими правами, тоді як члени групи «Пользователи» — найменшими. З цієї причини можна значно підвищити безпеку, надійність і знизити загальну вартість володіння системою, якщо дотримуватися наступних правил:
- переконатися, що кінцеві користувачі є членами групи «Пользователи»;
- упровадити додатки, які можуть успішно запускатися і виконуватися членами групи «Пользователи».
Особи, що володіють правами групи «Пользователи» можуть успішно працювати з додатками, сертифікованими для Windows. Проте такі користувачі швидше за все не зможуть запускати не сертифіковані для Windows додатку. Якщо необхідно забезпечити підтримку не сертифікованих додатків, існують дві можливості.
1. Всі члени групи «Пользователи» повинні також бути членами групи «Досвідчені користувачі».
2. Використовувати додаткові дозволи дозволу за умовчанням, створені для групи «Пользователи».
Оскільки члени групи «Досвідчені користувачі» володіють успадкованими можливостями, такими як створення користувачів, груп, принтерів і загальних ресурсів, деякі адміністратори вважають за краще надати додаткові дозволи групі «Пользователи», замість зарахування кінцевих користувачів в групу «Досвідчені користувачі». Для цієї мети служить «Совместимый» шаблон. За допомогою цього шаблона змінюються дозволи для файлів і реєстру, що використовуються за умовчанням, створені для групи «Пользователи» і відповідні вимогам більшості не сертифікованих додатків. Крім того, оскільки після застосування сумісного шаблона користувачі не повинні приєднуватися до групи «Досвідчені користувачі», всі члени групи «Досвідчені користувачі» видаляються.
Додаткові відомості про програму сертифікації для Windows доступні на веб-вузлі Microsoft (http://msdn.microsoft.com).
Сумісний шаблон не можна застосовувати до комп'ютерів, які є контролерами домена. Наприклад, не треба імпортувати сумісний шаблон в стандартний домен або в об'єкт групової політики стандартного контролера домена.
3.6. Захист (Secure*.inf)
В шаблоні «Захист» визначаються параметри підвищеної безпеки. Найменш ймовірно, що вони чинять вплив на сумісність. Наприклад, в шаблоні «Захист» визначаються параметри надійних паролів, блокування і аудиту.
Крім цього, шаблоном «Захист» обмежується використання LAN Manager і протоколів перевірки автентичності NTLM шляхом налагодження клієнтів на відправку відповідей у форматі NTLMv2, а також налагодження серверів на відмову від відповідей в цьому форматі.
Зауваження
1. Щоб застосувати шаблон Securews.inf на комп'ютері, на всіх контролерах домена, що містить облікові записи всіх користувачів, що входять в систему клієнта, необхідно встановити Windows NT 4.0 з пакетом оновлення Service Pacк 4 або пізнішої версії.
2. Якщо сервер налагоджений з використанням шаблона Securews.inf, клієнт з обліковим записом на цьому сервері не зможе підключитися до нього з комп'ютера клієнта, на якому встановлена операційна система LAN Manager, що використовує локальний обліковий запис.
3. Якщо контролер домена налагоджений з використанням шаблона Securedc.inf, користувач з обліковим записом на цьому домені не зможе підключитися до нього з комп'ютера клієнта, на якому встановлена операційна система LAN Manager, що використовує обліковий запис домена.
4. Клієнти, на яких встановлена операційна система LAN Manager, включають платформи Windows для робочих груп, а також платформи Windows 9х, на яких не встановлений DS Client Pacк. Якщо DS Client Pacк встановлений у Windows 9х, клієнтом може бути використаний протокол NTLMv2. Операційна система Windows Millennium Edition підтримує NTLMv2 без необхідності вносити додаткові зміни.
Внутрішні процеси Windows звертаються до облікових записів по їх кодах безпеки, а не по іменах користувачів або груп. Код безпеки ‑ структура даних змінної довжини, що визначає облікові записи користувачів, груп і комп'ютерів. Код безпеки надається обліковому запису при його створенні.
Шаблони безпеки також визначають додаткові обмеження для анонімних користувачів. Анонімні користувачі (такі як користувачі доменів, з якими не встановлені довірчі відносини) не можуть виконувати такі дії.
- Введення імен облікових записів і загальних ресурсів.
- Виконання перекладу SID-ім'я.
Шаблони безпеки включають підписання пакетів SMB на сервері, якою за умовчанням відключено для робочих станцій і серверів. Оскільки підписання пакетів SMB на сервері включено за умовчанням, воно виконується, якщо робочі станції і сервери працюють на рівні безпеки.
3.7. Підвищений захист (hisec*.inf)
Група шаблонів підвищеного захисту включає шаблони, що накладають додаткові обмеження на рівні кодування і підпису, необхідні для перевірки автентичності і для даних, які передаються по безпечних каналах між клієнтами SMB і серверами. Наприклад, тоді як параметри шаблонів безпеки визначають відмову серверів від відповідей LAN Manager, параметри шаблонів підвищеного захисту визначають відмову серверів як від відповідей LAN Manager, так і від відповідей NTLM. Шаблон захисту включає підписання пакетів SMB на сервері, а для шаблона підвищеного захисту таке підписання є необхідним. Для шаблонів підвищеного захисту є необхідному надійне кодування і підпис для даних, які передаються по безпечному каналу між доменом і членом домена і між двома доменами, між якими встановлені довірчі відносини.
Щоб застосувати Hisecws.inf на комп'ютері, виконайте описані далі дії.
- На всіх контролерах домена, що містить облікові записи всіх користувачів, що входять в систему клієнта, необхідно встановити Windows NT 4.0 з пакетом оновлення Service Pacк 4 або пізнішої версії.
- На всіх контролерах домена, членом якого є клієнт, повинна бути встановлена операційна система Windows 2000.
Щоб застосувати шаблон Hisecdc.inf на контролері домена, на всіх контролерах доменів, з якими встановлені відносини довір'я, повинна бути встановлена операційна система Windows 2000.
Якщо сервер налагоджений за допомогою шаблона Hisecws.inf, тоді користувач з локальним обліковим записом на цьому сервері не зможе підключитися до нього з клієнта, не підтримуючого NTLMv2.
Якщо сервер налагоджений за допомогою шаблона Hisecws.inf, на всіх клієнтах, що використовують протокол SMB для підключення до цього серверу, повинні включити підпис пакетів SMB на стороні клієнта. На всіх комп'ютерах, на яких встановлена операційна система Windows 2000 і Windows XP Professional, за умовчанням включений підпис пакетів на стороні клієнта.
Якщо контролер домена налагоджений за допомогою шаблона Hisecws.inf, тоді користувач з локальним обліковим записом для цього домена не зможе підключитися до рядового серверу з клієнта, не підтримуючого NTLMv2.
Якщо контролер домена налагоджений за допомогою шаблона Hisecdc.inf, клієнти, що використовують протокол LDAP (Lightweight Directory Access Protocol) не зможуть підключитися до серверу Active Directory LDAP, поки не включений підпис даних. Запити на виконання підключення з використанням ldap_simple_bind або ldap_simple_bind_s відхиляються. За умовчанням для всіх клієнтів Microsoft LDAP, що поставляються разом з Windows XP Professional, необхідний підпис даних, якщо ще не використовується протокол TLS\SSL. При використанні протоколу TLS\SSL підпис даних виконується.
Клієнти, що не підтримують протокол NTLMv2, включають клієнтів Windows для робочих груп, клієнтів Windows NT старих версій (без пакету Service Pacк 4), а також платформи Windows 95 і Windows 98, на яких не встановлений пакет DS Client Pacк.
Крім обмежень на використовування протоколів LAN Manager і вимог шифрування і підпису трафіку SMB і трафіку безпечного каналу шаблони підвищеного захисту також обмежують використання кешованих даних входу в систему, таких як дані, збережені за допомогою Winlogon і засобу «Сохранение имен пользователей и паролей».
Крім цього, в шаблоні Hisecws параметри групи обмеженого доступу використовуються для виконання наступних дій.
- Видалення всіх членів групи «Опытные пользователи».
- Перевірка того, що тільки адміністратори домена і локальні облікові записи адміністратора є членами локальної групи «Администраторы».
Шаблоном Hisecws визначаються ці обмеження для груп при виконанні тільки сертифікованих для додатків Windows 2000. При роботі тільки з сертифікованими додатками ні небезпечні сумісні шаблони, ні небезпечна група «Досвідчені користувачі» не є необхідними. Користувачі можуть успішно працювати з сертифікованими додатками в безпечному контексті звичайного користувача, який визначається параметрами безпеки за умовчанням файлової системи і реєстру.
3.8. Безпека системного кореневого каталогу (Rootsec.inf)
Шаблоном Rootsec.inf визначаються нові дозволи для кореневого каталогу Windows XP Professional. За умовчанням ці дозволи визначаються шаблоном Rootsec.inf для кореневого каталогу системного диска. Цей шаблон можна використовувати, щоб повторно застосувати дозволи для кореневого каталогу застосування, якщо вони були випадково змінені. Шаблон також може бути змінений для застосування цих дозволів для кореневого каталогу до інших томів.
Шаблоном не перевизначаються явні дозволи, визначені для всіх дочірніх об'єктів. Шаблоном розповсюджуються тільки успадковані дочірніми об'єктами дозволи.
3.9. Відсутність SID користувача серверу терміналів (Notssid.inf)
Стандартні таблиці управління доступом до файлової системи і реєстру, розташовані на серверах, надають дозволи для SID (Secuity ID) серверу терміналів. Сервер терміналів SID використовується, тільки якщо сервер терміналів запущений в режимі сумісності додатків.
Якщо сервер терміналів не використовується, цей шаблон може бути застосований для видалення непотрібних SID серверу терміналів з розташувань файлової системи і реєстру. Проте видалення запису управління доступом для SID серверу терміналів з розташувань файлової системи і реєстру, що використовується за умовчанням, не підвищує безпеку системи. Замість видалення SID серверу терміналів потрібно запустити сервер терміналів в режимі повної безпеки. При роботі в режимі повної безпеки SID серверу терміналів не використовується.
Увага!
- Ці шаблони призначені для комп'ютерів, на яких використовуються параметри безпеки за умовчанням. Іншими словами, будучи встановленими на комп'ютері, ці шаблони значно змінюють стандартні параметри безпеки. Але вони не встановлюють стандартні параметри безпеки, перш ніж змінити їх.
- Готові шаблони безпеки не повинні застосовуватися на виробництві без попередньої перевірки, в ході якої повинна підтверджуватися відповідність архітектурі мережі і системи заданого рівня функціональності додатку.
Параметри шаблонів безпеки можна проглянути за допомогою компоненту «Шаблоны безопасности». Файли *.inf можна проглядати як текстові файли. Ці файли розташовані в папці:
%windir%\Security\Templates
Контрольний список: захист комп'ютерів за допомогою диспетчера налагодження безпеки
Підготовка до налагодження політики безпеки
Перегляд описів окремих параметрів
Перегляд параметрів безпеки за умовчанням, груп безпеки і змін параметрів безпеки, використовуваних в Windows XP за умовчанням
Перегляд прав користувачів за умовчанням
Використання сертифікованих для Windows додатків
Аналіз поточних параметрів
Перегляд оснащення Шаблони безпеки
Вибір готового шаблону безпеки або створення нового шаблону безпеки для використання на комп'ютерах
Аналіз безпеки локального комп'ютера
Зміна параметрів безпеки
Застосування потрібного шаблону
Зміна параметрів безпеці на локальному комп'ютері
Зміна параметрів безпеці для домена або підрозділу
4. Microsoft Management Console
Для відкриття вікна Microsoft Management Console (MMC) призначена команда mmc. Використовуючи параметри командного рядка mmc, можна відкривати певну консоль MMC, відкривати консоль MMC в авторському режимі і вибирати версію консолі, що запускається: 32-розрядну або 64-розрядну.
Таблиця 8.1
Умовні позначення форматування в описах команд
|
Формат |
Значення |
|
Курсив |
Відомості, що вводяться користувачем |
|
Напівжирний |
Елементи, що вводяться без змін |
|
Трикрапка (...) |
Параметр може бути введений в командному рядку кілька разів |
|
В квадратних дужках ([]) |
Необов'язкові елементи |
|
У фігурних дужках ({}); варіанти, розділені вертикальною лінією (|), приклад: {even|odd} |
Набір варіантів, з яких необхідно вибрати один |
|
Шрифт Courier |
Вихідні дані програми |
Синтаксис
mmc шлях\ім’я_файлу.msc [/a] [/64] [/32]
Параметри
шлях\ім’я_файлу.msc Запуск консолі MMC з відкриттям збереженої консолі. Необхідно вказати повний шлях і ім'я файлу збереженої консолі. Якщо файл консолі не вказаний, буде відкрита нова консоль MMC.
/a – відкриття збереженої консолі в авторському режимі. Використовується для внесення змін в збережені консолі.
/64 – відкриття 64-розрядної версії консолі MMC (MMC64). Цей параметр можна використовувати лише при роботі в Windows XP 64-Bit Edition.
/32 – відкриття 32-розрядної версії консолі MMC (MMC32). При роботі в Windows XP 64-Bit Edition у вікні консолі MMC, запущеної з цим параметром, можна відкривати 32-розрядні оснащення.
/? – відображення довідки в командному рядку.
Примітки
1. Використання параметра командного рядка шлях\ім’я_файлу.msc
Для створення командних рядків і ярликів, які не залежать від явного розташування файлів консолі, можна використовувати змінні середовища. Наприклад, якщо шлях до файлу консолі включає системну папку (наприклад, mmc с:\winnt\system32\console_name.msc), то для вказівки шляху можна використовувати змінну %systemroot%:
(mmc %systemroot%\system32\console_name.msc). Це корисно при делегуванні завдань користувачам, що працюють на різних комп'ютерах.
2. Використання параметра командного рядка /a
Коли консолі відкриваються з цим параметром, вони відкриваються в авторському режимі, незалежно від режиму, що використовується за умовчанням. Режим файлу, що використовується за умовчанням при цьому не міняється. Без цього параметра файли відкриватимуться відповідно до своїх параметрів.
3. Після відкриття консолі MMC або файлу консолі будь-яка існуюча консоль відкривається за допомогою команди Открыть з меню Консоль.
4. За допомогою командного рядка можна створювати ярлики для запуску консолі MMC і роботи із збереженими консолями. Команда для командного рядка працює у вікні команди Выполнить з меню Пуск, в будь-якому вікні командного рядка, в ярликах, в пакетних файлах і програмах, що викликають такі команди.
Використання засобів адміністрування на консолі управління
Консоль управління MMC (Microsoft Management Console) містить засоби адміністрування, які використовуються для адміністрування комп'ютерів, служб, інших системних компонентів і мереж. Для додавання одного або декількох з цих засобів адміністрування, званих оснащеннями, на консоль використовується відповідна процедура.
Використання оснащення «Анализ и настройка безопасности»
Оснащення «Анализ и настройка безопасности» є засобом аналізу і налагодження безпеки локальної системи. Оснащення «Анализ и настройка безопасности» надає можливості налагодження бази даних і аналізу параметрів безпеки на локальному комп'ютері.
5. Аналіз безпеки
Стани операційної системи і додатків на комп'ютері динамічно змінюється. Наприклад, може виникнути необхідності тимчасово змінити рівні безпеки для негайного вирішення локальної або мережної проблеми. Проте, такі зміни часто забувають відмінити. Це значить, що комп'ютер більше не відповідає вимогам безпеки підприємства.
Звичайний аналіз дає можливість адміністратору відстежувати і підтримувати певний рівень безпеки на кожному комп'ютері підприємства. Це дає можливість адміністратору точно налагодити рівень безпеки і, що важливіше, знайти вади системи безпеки, які можуть з'явитися пізніше.
Оснащення «Анализ и настройка безопасности» дає можливість швидко проглянути результати аналізу безпеки. В результатах аналізу поряд з поточними параметрами системи наведені рекомендації, а для виділення областей, в яких поточні параметри не збігаються із запропонованим рівнем безпеки, використовуються значки і відмітки. Крім того, оснащення «Анализ и настройка безопасности» має можливість усунення невідповідностей, виявлених при аналізі.
6. Налагодження системи безпеки
Цей засіб також можна використовувати для безпосередньої налагодження локальної системи. Оскільки для налагодження використовуються особисті бази даних, можна імпортувати в них шаблони безпеки, створені в оснащенні «Шаблоны безопасности», і застосовувати ці шаблони до об'єктів групової політики локального комп'ютера. Таким чином безпека системи негайно настроєна відповідно до рівнів, заданих в шаблоні.
Оснащення «Анализ и настройка безопасности» перевіряє і аналізує налагодження безпеки системи і рекомендує внесення змін в поточні налагодження системи. Області, в яких поточні налагодження не відповідають передбачуваному рівню безпеки, виділяються за допомогою значків і коментарів. Адміністратори можуть використовувати оснащення «Анализ и настройка безопасности» для налагодження політики безпеки і виявлення слабких місць, що виникають в безпеці системи.
Також можна відкрити оснащення або скористатися консоллю управління Microsoft (MMC).
Описи параметрів безпеки
|
Область безпеки |
Опис |
|
Політики облікових записів |
Політика паролів, політика блокування облікового запису і політика Kerberos |
|
Локальні політики |
Політика аудиту, призначення прав користувача і параметри безпеки |
|
Журнал подій |
Параметри журналів подій додатків, системних подій і подій безпеки |
|
Групи з обмеженим доступом |
Склад груп з особливими вимогами до безпеки |
|
Системні служби |
Параметри запуску і дозволи для системних служб |
|
Реєстр |
Дозволи для розділів реєстру |
|
Файлова система |
Дозволи для файлів і папок |
7. Автоматизація задач налагодження системи безпеки
Програма Secedit.exe
Програма Secedit.exe запускається з пакетного файлу або за допомогою автоматичного планувальника завдань і може використовуватися для автоматичного створення і застосування шаблонів, а також для аналізу системи безпеки. Цю програму також можна запускати вручну з командного рядка.
Програму Secedit.exe використовують у випадках, коли в мережі є декілька комп'ютерів, на яких необхідно вивчити і налагодити систему безпеки в неробочий час.
Програма Secedit.exe настроює і аналізує безпеку системи, порівнюючи поточну конфігурацію хоча б з одним шаблоном.
Команда secedit /analyze
Синтаксис
secedit /analyze /db ім’я_файлу [/cfg ім’я_файлу] [/log ім’я_файлу] [/quiet]
Параметри:
/dbім'я_файлу – обов'язковий параметр. Указує шлях до бази і ім'я файлу бази, що містить збережену конфігурацію, по якій проводитиметься аналіз. Якщо значення ім’я_файлу відповідає новій базі, необхідно вказати параметр командного рядка /cfg ім’я_файлу.
/cfgім’я_файлу – визначає шлях до шаблону безпеки і ім'я файлу шаблону, який імпортуватиметься в базу даних для аналізу. Цей параметр командного рядка може використовуватися тільки разом з параметром /db. Якщо параметр не вказаний, аналіз виконується по конфігурації, що зберігається в базі даних.
/logім’я_файлу – відображає ім'я і шлях файлу журналу для аналізу. Якщо цей параметр не вказаний, використовується файл журналу за умовчанням.
/quiet – запобігає виводу на екран і у файл журналу. Є можливість подивитися результати аналізу, використовуючи оснащення «Анализ и настройка безопасности».
Команда secedit /configure
Служить для налагодження безпеки системи з використанням збереженого шаблону.
Синтаксис
secedit /configure /db ім’я_файлу [/cfg ім’я_файлу ] [/overwrite][/areas область1 область2...] [/log ім’я_файлу] [/quiet]
Параметри
/dbім’я_файлу – обов'язковий параметр. Представляє ім'я файлу бази даних, що містить вживаний шаблон безпеки.
/cfgім’я_файлу – ім'я файлу шаблону безпеки, який імпортуватиметься в базу даних і застосовуватиметься при настройці безпеки. Цей параметр командного рядка може використовуватися тільки разом з параметром /db. Якщо цей параметр не вказаний, використовуватиметься шаблон, що зберігається в базі даних.
/overwrite – вказується в тому випадку, якщо шаблон безпеки, заданий параметром /cfg, повинен заміщати будь-який шаблон або складений шаблон, що зберігається в базі даних, замість того, щоб додавати результати в базу даних, що зберігається. Цей параметр командного рядка може використовуватися тільки разом з параметром /cfg. Якщо параметр не вказаний, шаблон, вказаний в аргументі /cfg, буде доданий в шаблон, що зберігається в базі даних.
/areasобласть1 область2... – визначає області безпеки, які потрібно застосувати в системі. Якщо область не вказана, в системі застосовуються всі області. Імена областей повинні розділятися пропусками.
|
Ім'я області |
Опис |
|
SECURITYPOLICY |
Локальна політика і політика для домена, включаючи політики облікових записів, політики аудиту і т.п. |
|
GROUP_MGMT |
Налагодження обмежень для всіх груп, вказаних в шаблоні безпеки |
|
USER_RIGHTS |
Права користувачів на вхід в систему і надання привілеїв |
|
REGKEYS |
Безпека розділів локального реєстру |
|
FILESTORE |
Безпека локальних пристроїв зберігання файлів |
|
SERVICES |
Безпека для всіх визначених служб |
/logім’я_файлу – відображає ім'я і шлях файлу журналу для аналізу. Якщо шлях не заданий, використовується шлях за умовчанням.
/quiet – запобігає виводу на екран і у файл журналу.
Команда secedit /export
Служить для експорту збереженого шаблону з бази даних безпеки у файл шаблону безпеки.
Синтаксис
secedit /export [/mergedpolicy] [/DB ім’я_файлу] [/CFG ім’я_файлу] [/areas область1 область2...] [/log ім’я_файлу] [/quiet]
Параметри:
/mergedpolicy – об'єднує і експортує налагодження безпеки локальної політики і налагодження політики домена.
/dbім’я_файлу – вказує файл бази даних, що містить шаблон, що експортується. Якщо база даних не вказана, використовується база даних системної політики.
/dbім’я_файлу – визначає ім'я файлу, де повинен бути збережений шаблон.
/areasобласть1 область2... – задає області безпеки, які потрібно експортувати в шаблон. Якщо область не вказана, то експортуються всі області. Імена областей повинні розділятися пропусками.
|
Ім'я області |
Опис |
|
SECURITYPOLICY |
Визначає локальну політику і політику для домена, включаючи політики облікових записів, політики аудиту і т.п. |
|
GROUP_MGMT |
Задає налагодження обмежень для всіх груп, вказаних в шаблоні безпеки |
|
USER_RIGHTS |
Указує права користувачів на вхід в систему і надає привілеї |
|
REGKEYS |
Визначає безпеку розділу локального реєстру |
|
FILESTORE |
Визначає безпеку локальних пристроїв зберігання файлів |
|
SERVICES |
Задає безпеку для всіх визначених служб |
/logім’я_файлу – відображає ім'я і шлях файлу журналу для аналізу. Якщо шлях не заданий, використовується шлях за умовчанням.
/quiet – запобігає виводу на екран і у файл журналу.
Команда secedit /validate
Служить для перевірки синтаксису шаблону безпеки при його імпорті в базу даних або застосуванні до системи.
Синтаксис
secedit /validate ім’я_файлу
Параметр
ім’я_файлу – вказує ім'я файлу шаблону безпеки, який був створений за допомогою засобу «Шаблоны безопасности».
Команда Gpupdate
Оновлює локальні параметри і параметри групової політики Active Directory, включаючи параметри безпеки. Ця команда замінює застарілий параметр /refreshpolicy команди secedit.
Синтаксис
gpupdate [/target:{computer|user}] [/force] [/wait:значення] [/logoff] [/boot]
Параметри:
/target:{computer|user} – обробляє тільки параметри комп'ютера або параметри поточного користувача. За умовчанням обробляються і параметри комп'ютера, і параметри користувача.
/force – ігнорує всі оптимізації в процесі обробки і відновлює всі попередні налагодження.
/wait:значення – час очікування закінчення обробки політики в секундах. За умовчанням цей час складає 600 секунд. 0 означає «без очікування»; -1 означає «час очікування не обмежено».
/logoff – задає вихід з системи після закінчення оновлення. Це необхідно для тих клієнтських розширень оснащення «Групповая политика», які обробляються не у фоновому режимі, а при вході користувача в систему, наприклад, при установці програмного забезпечення і перенаправленні папок. Цей параметр не працює, якщо розширення, що викликаються, необхідні для виходу користувача з системи, відсутні.
/boot – перезапускає комп'ютер після завершення оновлення. Це необхідно для тих клієнтських розширень оснащення «Групповая политика», які обробляються не у фоновому режимі, а при вході користувача в систему, наприклад, при установці програмного забезпечення і перенаправленні папок. Цей параметр не працює, якщо розширення, що викликаються, необхідні для перезапуску комп'ютера, відсутні.
/? – виводить довідку в командному рядку.
Приклади
Далі наведені приклади використання команди gpupdate:
gpupdate
gpupdate /target:computer
gpupdate /force /wait:100
gpupdate /boot
Практичне завдання
1. Створити власну консоль для реалізації політики безпеки.
1.1. Щоб додати оснащення, виконайте наступні дії.
1.1.1. Відкрийте консоль MMC.
1.1.2. В меню Консоль виберіть команду Добавить или удалить оснастку.
1.1.3. В діалоговому вікні Добавить/удалить оснастку натисніть кнопку Добавить.
1.1.4. В діалоговому вікні Добавить изолированную оснастку виберіть оснащення, яке вимагається додати на консоль, і натисніть кнопку Добавить.
Для додавання додаткових оснащень слід повторити кроки з 1.1.2 по 1.1.4.
Примітки
- Для запуску консолі MMC натисніть кнопку Пуск і виберіть команду Выполнить. В полі Открыть введіть mmc і натисніть кнопку ОК.
- Для отримання відомостей про використання оснащення виберіть команду Справка в меню Действие.
1.2. Використання інтерфейсу Windows
1.2.1. Відкрийте оснащення «Анализ и настройка безопасности».
1.2.2. В дереві консолі клацніть правою кнопкою миші вузол «Анализ и настройка безопасности» і виберіть команду Открыть базу даних.
Розташування: Корінь консолі \ Анализ и настройка безопасности
1.2.3. В діалоговому вікні Открыть базу данных виконайте одну з наступних дій:
- щоб створити нову базу даних, введіть ім'я в полі Имя файла і натисніть кнопку Открыть;
- щоб відкрити існуючу базу даних, виберіть базу даних і натисніть кнопку Открыть.
1.2.4. Якщо створюється нова база даних, в діалоговому вікні Импорт шаблона виберіть шаблон (для встановлення за умовчанням - Setup security) і натисніть кнопку Открыть.
1.2.5. В дереві консолі клацніть правою кнопкою миші вузол «Анализ и настройка безопасности» і виберіть команду Настроить компьютер.
1.2.6. Виконайте одну з наступних дій:
- для використання стандартного журналу в групі Путь файла журнала ошибок натисніть кнопку OK;
- для вибору іншого журналу введіть в полі Путь файла журнала ошибок допустимі шлях і ім'я файлу.
1.2.7. Після завершення налагодження клацніть правою кнопкою миші на розділ Анализ и настройка безопасности і виберіть команду Просмотр файла журнала.
Примітки
- Щоб відкрити оснащення «Анализ и настройка безопасности», натисніть кнопку Пуск, виберіть команду Выполнить, введіть mmc і натисніть кнопку ОК. В меню Консоль виберіть команду Открыть, клацніть необхідну консоль і натисніть кнопку Открыть. В дереві консолі клацніть вузол Анализ и настройка безопасности.
- Щоб проглянути файл журналу, клацніть правою кнопкою миші розділ Анализ и настройка безопасности і виберіть команду Просмотр файла журнала.
- За умовчанням для файлу журналу використовується наступний шлях:
systemroot\Documents and Settings\ОбліковийЗаписКористувача\Мои документы
\Security\Logs\
- При поверненні до параметрів безпеки за умовчанням всі параметри, визначені в шаблоні Setup security.inf, задаються відповідно до даного шаблону, проте решта параметрів, не вказаних в шаблоні, може залишитися незмінною.
1. Проаналізувати безпеку системи.
2.1. Для аналізу безпеки системи з використання інтерфейсу Windows
2.1.1. Відкрийте оснащення «Анализ и настройка безопасности».
2.1.2. В дереві консолі клацніть правою кнопкою миші вузол «Анализ и настройка безопасности» і виберіть команду Открыть базу данных.
Розташування: \Корінь консолі\ Анализ и настройка безопасности.
2.1.3. В діалоговому вікні Открыть базу данных виконайте одну з наступних дій:
- щоб створити нову базу даних, введіть ім'я в полі Имя файла і натисніть кнопку Открыть;
- щоб відкрити існуючу базу даних, виберіть базу даних і натисніть кнопку Открыть.
2.1.4. Якщо створюється нова база даних, в діалоговому вікні Импорт шаблона виберіть шаблон і натисніть кнопку Открыть.
2.1.5. В області відомостей клацніть правою кнопкою миші вузол Анализ и настройка безопасности і виберіть команду Анализ компьютера.
2.1.6. Виконайте одну з наступних дій:
- для використання стандартного журналу в групі Путь файла журнала ошибок натисніть кнопку OK;
- для вибору іншого журналу введіть в полі Путь файла журнала ошибок допустимі шлях і ім'я файлу.
Примітки
- Якщо комп'ютер підключений до сіті, то параметри мережної політики можуть заборонити виконання даної процедури.
- Щоб відкрити оснащення «Анализ и настройка безопасности», натисніть кнопку Пуск, виберіть команду Выполнить, введіть mmc і натисніть кнопку ОК. В меню Консоль виберіть команду Открыть, клацніть необхідну консоль і натисніть кнопку Открыть. Потім в дереві консолі клацніть вузол Анализ и настройка безопасности.
- В оснащенні «Настройка и анализ безопасности» області безпеки відображаються у процесі їх аналізу. Після закінчення аналізу можна проглянути файл журналу або результати аналізу.
- Щоб переглянути файл журналу, клацніть правою кнопкою миші розділ «Анализ и настройка безопасности» і виберіть команду Просмотр файла журнала.
- За умовчанням для файлу журналу використовується наступний шлях:
systemroot\Documents and Settings\ОбліковийЗаписКористувача\ Мои документы \Security \Logs\ ім’я_бази_даних.log
Для аналізу системи безпеки за допомогою командного рядка використовується команда secedit /analyze.
3. Описати реалізовану засобами mmc політику безпеки.
Контрольні запитання
1. Що таке політика безпеки системи?
2. Які політики безпеки використовуються у MS Windows 2000/XP?
3. Які існують політики облікових записів?
4. Які існують локальні політики?
5. Які засоби управління безпекою використовуються у MS Windows 2000/XP?
6. Яке призначення мають шаблони безпеки?
7. Які основні шаблони використовуються у MS Windows 2000/XP?
8. Яке призначення консолі mmc?
9. Які можливості надає оснащення «Анализ и настройка безопасности»?
10. Які засоби автоматизації налагодження безпеки використовуються у MS Windows 2000/XP?