Данное руководство описывает, каким образом просматривать, конфигурировать и анализировать локальную политику безопасности и ее настройки с использованием различных компонентов Диспетчера настройки безопасности (Security Configuration Tool Set), включенного в поставку операционной системы Windows® 2000.
На этой странице
Введение
Диспетчер настройки безопасности позволяет конфигурировать следующие области безопасности:
| Область безопасности | Настраиваемые параметры |
| Политики учетных записей | Политика паролей, блокировки учетной записи и политика Kerberos. |
| Локальные политики | Политика аудита, назначения прав пользователя и параметры безопасности. (Параметры безопасности главным образом содержат ключи реестра, связанные с безопасностью) |
| Журнал событий | Параметры журналов событий приложений, системных событий, событий безопасности и событий службы каталогов. |
| Группы с ограниченным доступом | Состав групп с особыми требованиями к безопасности. |
| Системные службы | Параметры запуска и разрешений для системных служб. |
| Реестр | Разрешения для разделов реестра. |
| Файловая система | Разрешения для файлов и папок. |
Администраторы могут использовать перечисленные ниже компоненты диспетчера настройки безопасности для конфигурирования некоторых или всех областей безопасности.
• Оснастка Шаблоны безопасности (Security Templates). Изолированная оснастка консоли управления Microsoft (MMC) Шаблоны безопасности позволяет создавать текстовые файлы шаблонов, содержащие настройки для всех областей безопасности.
• Оснастка Анализ и настройка безопасности (Security Configuration and Analysis). Изолированная оснастка MMC, позволяющая конфигурировать и анализировать безопасность операционной системы Windows® 2000. Она функционирует на основе содержания шаблонов безопасности, созданных при помощи оснастки Шаблоны безопасности.
• Secedit.exe. Версия оснастки Анализ и настройка безопасности для командной строки. Позволяет выполнять анализ и настройку безопасности без использования графического интерфейса пользователя (GUI).
• Расширение Параметры безопасности (Security Settings) для групповой политики. Диспетчер настройки безопасности также включает в себя расширяющую редактор групповых политик оснастку, предназначенную для настройки локальных политик безопасности, а также политик безопасности доменов и подразделений. Локальные политики безопасности включают в себя только описанные ниже Политики учетных записей (Account Policy) и Локальные политики безопасности (Local Policy). Политики безопасности, определенные для доменов и подразделений (OU), могут включать в себя все области безопасности.
В данном руководстве описано, как использовать оснастки, утилиту командной строки и расширение Параметры безопасности (Security Settings) для просмотра, настройки и анализа локальной политики безопасности и локальных параметров безопасности.
Предварительные требования и условия
Настоящее руководство предполагает, что Вы выполнили процедуры, описанные в состоящем из двух частей Пошаговом руководстве по развертыванию базовой инфраструктуры Windows 2000 Server Step by Step Guide to A Common Infrastructure for Windows 2000 Server Deployment (EN). Описывающие базовую инфраструктуру документы предъявляют определенные требования к конфигурации аппаратного и программного обеспечения. Если Вы не используете базовую инфраструктуру, необходимо внести соответствующие изменения в этот документ. Текущая информация об аппаратных требованиях и совместимости для серверов, клиентов и периферийных устройств доступна на веб-узле Product Compatibility Web site.
Просмотр и изменение локальной политики безопасности
Локальная политика безопасности применяется с помощью расширения параметры безопасности для групповой политики. Локальная политика безопасности включает в себя только две области: политики учетных записей и локальные политики. Политика учетных записей содержит информацию о политике паролей и политике блокировки учетных записей. Область локальные политики содержит информацию о политике аудита, назначении прав пользователей и параметрах безопасности.
Для просмотра локальной политики безопасности:
1. Войдите на компьютер под управлением операционной системы Windows 2000 в качестве пользователя с административными привилегиями. В нашем примере, мы вошли как Администратор на сервер HQ-RES-SRV-01.
2. Чтобы открыть консоль Групповая политика (Group Policy) щелкните Пуск (Start), выберите команду Выполнить (Run), введите Gpedit.msc и нажмите кнопку OK.
3. В дереве консоли раскройте раздел Конфигурация компьютера (Computer Configuration), затем Конфигурация Windows (Windows Settings), далее Параметры безопасности (Security Settings), после чего Локальные политики (Local Policies).
4. В ветке Локальные политики (Local Policies) щелкните папку Параметры безопасности (Security Options). Окно, которое Вы увидите, должно выглядеть приблизительно так, как показано ниже на Рисунке 1.
Увеличить рисунок
Рисунок 1 - Параметры безопасности
Обратите внимание, что для каждой настройки безопасности расширение Параметры безопасности (Security Settings) отображает локальную и результирующую политики. Локальная политика описывает настройки, определенные на локальном компьютере. Эффективная политика показывает результирующую локальную, доменную, и политику подразделения для каждого параметра. Такое разделение вызвано тем, что параметры локальной политики могут быть перезаписаны политиками домена или подразделения. Порядок применения политик в порядке возрастания приоритета:
• Локальная политика
• Политика сайта
• Политика домена
• Политика подразделения
Локальная политика имеет низший приоритет, наивысший – политика Подразделения, к которому относится данный компьютер. Колонка с результирующей политикой отображает политику безопасности, соответственно данному порядку их применения.
Изменение Локальной политики безопасности
Чтобы изменить параметры Локальной политики безопасности, дважды щелкните интересующий Вас параметр безопасности и просмотрите политику. Так, чтобы изменить минимальный срок действия пароля, определенный локальной политикой, следуйте шагам, описанным ниже:
1. В дереве консоли щелкните узел Политики учетных записей (Account Policies) на панели слева (в ветке Параметры безопасности (Security Settings)), чтобы раскрыть его.
2. Щелкните узел Политика паролей (Password Policy).
3. Дважды щелкните Мин. срок действия пароля (Minimum Password Age) на панели справа.
4. Установите Мин. срок действия пароля (Minimum Password Age) равным одному дню и нажмите OK.
После того, как Вы нажмете OK, политика изменится. Это приведет к вычислению результирующей политики (на основе любых, имеющих более высокий приоритет, политиках домена или подразделений) и применению ее к системе. Статус применения данной политики можно просмотреть в журнале событий приложений.
5. Щелкните правой кнопкой мыши узел Параметры безопасности (Security Settings) в левой панели, а затем нажмите кнопку Обновить (Reload).
Данное действие обновит результирующую политику в пользовательском интерфейсе. Политика, применяемая к Вашему компьютеру, может измениться или остаться прежней в зависимости от действующих политик пароля домена или подразделения.
6. Закройте консоль групповой политики.
Использование шаблонов безопасности
Оснастка Шаблоны безопасности (Security Templates) позволяет Вам создавать текстовые файлы шаблонов, содержащие настройки для всех областей безопасности, поддерживаемых диспетчером настройки безопасности. В дальнейшем Вы можете использовать эти шаблоны для анализа и конфигурирования безопасности систем при помощи других инструментов.
• Вы можете импортировать файл шаблона в расширение Настройка безопасности (Security Settings), чтобы сконфигурировать политики безопасности локального компьютера, домена или подразделения.
• Вы можете использовать оснастку Анализ и настройка безопасности (Security Configuration and Analysis) для конфигурации или анализа безопасности системы, основанной на текстовом шаблоне безопасности.
• Используйте утилиту командной строки Secedit.exe отдельно или в связке с другими системами управления, такими, как Microsoft Systems Management Server или Планировщик заданий (Task Scheduler), для выполнения развертывания шаблона безопасности или инициирования выполнения анализа безопасности.
Чтобы загрузить оснастку Шаблоны безопасности:
1. Щелкните Пуск (Start), выберите Выполнить (Run) и затем в текстовой строке введите MMC /s. Нажмите OK. (Примечание. Между символами C и /s присутствует пробел).
2. Щелкните Консоль (Console) (под заголовком Консоль1 в левой верхней части окна), выберите Добавить или Удалить оснастку (Add\Remove Snap-in), и нажмите кнопку Добавить (Add).
3. Из списка доступных изолированных оснасток выберите Шаблоны безопасности (Security Templates), как показано ниже на Рисунке 2.
Увеличить рисунок
Рисунок 2 - Добавление оснастки Шаблоны безопасности
4. Нажмите кнопку Добавить (Add), после чего нажмите Закрыть (Close).
5. Нажмите OK.
6. На панели слева щелкните + рядом с разделом Шаблоны безопасности (Security Templates), чтобы раскрыть его.
7. Щелкните + рядом с разделом C:\WINNT\security\templates чтобы раскрыть его. (Примечание: если Windows 2000 установлена на другой диск или каталог, отображаемый путь будет отличаться от C:\WINNT).
Windows 2000 поставляется с некоторыми готовыми шаблонами безопасности. Для получения дополнительной информации обратитесь к разделу "Готовые Шаблоны безопасности" далее в этой статье.
Изменение шаблона безопасности
Вы можете создать Ваш собственный шаблон безопасности. Для этого правой кнопкой мыши щелкните папку с предустановленными шаблонами (C:\WINNT\security\templates) в ветке Шаблоны безопасности и выберете пункт Новый шаблон (New Template). (Примечание: Если Windows 2000 установлена на другой диск или в другой каталог, отображаемый путь будет отличаться от C:\WINNT). Тем не менее, в этом руководстве будет показано, как изменить включенный в поставку Windows 2000 шаблон безопасной рабочей станции или сервера (Securews.inf).
Чтобы отобразить параметры, определенные в шаблоне Securews.inf:
1. Воспользуйтесь полосой прокрутки в левой панели, а затем щелкните + рядом с пунктом Securews чтобы раскрыть его. Обратите внимание, что ниже на Рисунке 3 (в отличие от локальной политики безопасности, рассмотренной в предыдущих двух параграфах) все области безопасности становятся настраиваемыми после того, как Вы определите шаблон безопасности.
Рисунок 3 - Просмотр настроек, определенных в шаблоне Securews.inf
2. Просмотрите Политики учетных записей (Account Policies) и Локальные политики (Local Policies), определенные в шаблоне Securews, раскрывая эти папки, выбирая различные области, и просматривая параметры Сохраненного шаблона (Stored Template) в панели справа.
Сообщение для пользователей при входе в систему
Вы можете изменить Securews, чтобы отобразить определенное сообщение для всех пользователей, осуществляющих вход в систему.
1. Щелкните элемент Параметры безопасности (Security Options) под пунктом Локальные политики (Local Policies).
2. Прокрутите вниз панель справа и дважды щелкните Заголовок сообщения для пользователей при входе в систему (Message Text for Users Attempting to log on).
3. Введите сообщение, которое будет отображаться для всех пользователей осуществляющих вход в систему, и нажмите OK.
Создание ограниченной групповой политики
Ограниченная групповая политика (Restricted Group Policy) позволяет Вам определить, кто будет принадлежать к определенной группе безопасности. Когда шаблон (или политика), определяющая ограниченные группы применена к системе, Диспетчер настройки безопасности добавит членов в группу и удалит членов из нее, что гарантирует актуальное членство в группах согласно параметрам, определенным в шаблоне безопасности или политике. В этом упражнении Вы определите ограниченную групповую политику для локальной группы Администраторы в дополнение к ограниченной Групповой политике, которая уже определена для локальной группы Опытные пользователи (Power Users) в Securews.inf.
Для создания ограниченной Групповой политики
1. На панели слева щелкните правой кнопкой мыши элемент Группы с ограниченным доступом (Restricted Groups) и выберите Добавить группу (Add Group).
2. В качестве имени группы введите NewAdmins и нажмите OK. Теперь локальная группа Администраторы (Administrators) добавлена в ограниченную группу в правой панели оснастки Шаблоны безопасности.
3. Дважды щелкните NewAdmins на панели справа.
Теперь вы можете определить, кто будет членом локальной группы Администраторы, а также определить другие группы, членом которых может быть группа Администраторы.
4. Щелкните Добавить (Add), а затем щелкните Обзор (Browse). Появится диалоговое окно Выбор: Пользователи или Группы (Select Users or Groups), показанное ниже на Рисунке 4.
5. Выберите пользователя Администратор (Administrator) в диалоговом окне Выбор: Пользователи или Группы (Select Users or Groups). Щелкните кнопку Добавить (Add).
Увеличить рисунок
Рисунок 4 - Выбор Администратора
6. Щелкните OK и затем еще дважды щелкните OK.
Когда шаблон безопасности Securews будет использован для настройки системы Windows 2000, ограниченная групповая политика установит, что только локальный пользователь Администратор может принадлежать к локальной группе Администраторы. В процессе конфигурирования диспетчер настройки безопасности удалит всех прочих пользователей, принадлежащих к группе Администраторы на момент конфигурирования. Подобным образом, если на момент настройки пользователь Администратор не является участником группы Администраторы, Диспетчер настройки безопасности добавит пользователя Администратор в группу Администраторы.
• Список "Члены этой группы" пуст (If the Members list is empty) – Если в качестве членов определенной ограниченной группы никакие пользователи не определены (верхнее окно пустое), то когда шаблон будет использован для настройки систем, Диспетчер настройки безопасности удалит всех текущих членов этой группы.
• Список "Эта группа является членом в" пуст (If the Member of list is empty) – если в качестве члена ограниченной группы никакая группа не определена (нижнее окно пустое), действия для регулирования членства в других группах выполняться не будут.
Настройка разрешений для файловой системы
Securews также можно использовать для настройки разрешений доступа к каталогам файловой системы.
1. Щелкните правой кнопкой мыши элемент Файловая система (File System) в панели слева и нажмите Добавить файл (Add File).
2. Выберите каталог %systemroot%\repair, как показано ниже на Рисунке 5. Нажмите OK.
Рисунок 5 - Настройка разрешений файловой системы (Выбор каталога repair)
Появится редактор Списка контроля доступа (Access Control List, ACL), показанный ниже на Рисунке 6. Это позволит Вам в шаблоне Securews.inf задать разрешения для каталога %systemroot%\repair.
Увеличить рисунок
Рисунок 6 - Использование Редактора ACL для определения разрешений
3. Выберите группу Все (Everyone) в верхней панели и нажмите клавишу Удалить (Remove).
4. Щелкните клавишу Добавить (Add) и выберите группу Администраторы (Administrators). Щелкните Добавить (Add), затем OK.
5. Установите флажок Полный доступ (Full Control) в нижней панели, чтобы дать группе Администраторы разрешения полного доступа.
6. Снимите флажок Переносить наследуемые от родительского объекта разрешения на этот объект (Allow inheritable permissions from parent to propagate to this object).
7. Щелкните OK, чтобы разрешить доступ к каталогу только членам группы Администраторы.
Увеличить рисунок
Рисунок 7 - Параметр шаблона политики безопасности
8. Выберите Заменять существующие разрешения для всех подпапок и файлов на наследуемые разрешения (Replace existing permission on all subfolders and file with inheritable permissions) и щелкните OK.
Наследование, замещение и отклонение изменений политики
После того, как Вы определили права доступа к объектам файловой системы или реестра, Диспетчер настройки безопасности спросит Вас, каким образом должны быть сконфигурированы дочерние объекты.
Если Вы выберите Распространить наследуемые разрешения на все подпапки и файлы (Propagate inheritable permissions to all subfolders and files), стандартный список ACL в Windows 2000 наследует действующие разрешения. То есть, любые наследуемые разрешения для дочерних объектов будут приведены в соответствие с новыми разрешениями, определенными для родительского объекта. Любые явно заданные элементы списка контроля доступа (ACE), определенные для дочерних объектов, останутся неизменными.
Если Вы выберите Заменять существующие разрешения для всех подпапок и файлов на наследуемые разрешения (Replace existing permission on all subfolders and files with inheritable permissions), все явно заданные в ACE разрешения для всех дочерних объектов (кроме перечисленных в шаблоне) будут удалены, и к ним будут применены процедуры наследования разрешений, определенных для родительского объекта.
Чтобы предотвратить перезапись разрешений дочернего объекта родительским, дочерний объект должен быть добавлен в шаблон и проигнорирован. В этом случае явно заданные в записях ACE разрешения дочернего объекта останутся неизменными. Выбор в шаблоне опции Запретить замену разрешений для этого файла или папки (Do not allow permissions on this file or folder to be replaced) для определенного объекта имеет смысл лишь в том случае, если разрешения родительского объекта настроены на перезапись разрешений для всех дочерних объектов. Если в шаблоне родительский объект отсутствует, игнорирование объекта в этом случае влияния не окажет. Если родительский объект существует, но не настроен на наследование разрешений для дочерних объектов, игнорирование дочернего объекта влияния не окажет.
В этом примере в шаблоне Securews.inf настройки ACL для каталога %systemroot%\repair определены, как описано ниже:
• Администраторам предоставлен полный контроль над каталогом %systemroot%\repair. По умолчанию эти разрешения применены к данному каталогу, всем его подкаталогам и файлам. Вы определили это, задав разрешения администратора в редакторе ACL. (Степень, с которой ACE наследует разрешения, определена на вкладке Дополнительно (Advanced) редактора ACL в столбце Применять (Apply to). В настоящем руководстве при определении разрешений для Администратора вкладку Дополнительно (Advanced) мы не рассматривали.
• Каталог %systemroot%\repair не наследует никакие разрешения от родительского объекта. Вы определили это, сняв флажок Переносить наследуемые от родительского объекта разрешения на этот объект (Allow inheritable permissions from parent to propagate to this object) в редакторе ACL.
• Для подкаталогов и файлов каталога repair, все списки ACL Администраторов настроены на наследование разрешений полного контроля от своего родительского объекта. При этом текущие настройки значения не имеют. Вы определили это, когда выбрали режим Заменять существующие разрешения для всех подпапок и файлов на наследуемые разрешения (Replace existing permission on all subfolders and files with inheritable permissions).
Чтобы сохранить Ваш измененный файл Securews.inf:
1. Щелкните правой кнопкой мыши по шаблону Securews.inf, выберите Сохранить как (Save As) и введите Mysecurews. Нажмите Сохранить (Save).
2. Нажмите кнопку Закрыть (Close) в правом верхнем углу окна, чтобы выйти из оснастки Шаблоны безопасности.
3. Нажмите Да (Yes), чтобы сохранить параметры консоли.
4. Чтобы при следующем запуске оснастки не добавлять шаблоны, сохраните ее под названием Шаблоны безопасности (Security Templates).
Анализ безопасности системы
В любое время Вы можете выполнить анализ текущих настроек безопасности системы на предмет соответствия базовому шаблону. Анализ полезно выполнить по нескольким различным причинам:
• Чтобы обнаружить слабые места в безопасности, которые могут существовать при текущих настройках.
• Чтобы обнаружить изменения, которые политика безопасности сделает в системе, до ее применения.
• Чтобы обнаружить изменения, произошедшие вследствие применения политики к системе.
В этой части руководства Вы выполните анализ текущих параметров системы по отношению к шаблону безопасности, созданному Вами в предыдущем разделе. Если Вы предполагаете, что Ваш шаблон задает системе более безопасные настройки, анализ выявит потенциальные уязвимости безопасности, которые могут существовать в текущей конфигурации, а также покажет те изменения, которые будут внесены в систему, если шаблон будет применен для ее настройки.
Чтобы загрузить оснастку MMC Анализ и настройка безопасности (Security Configuration and Analisis):
1. В меню Пуск (Start) выберите Выполнить (Run) и введите: MMC /s.
2. В меню Консоль выберите Добавить или удалить оснастку (Add\Remove Snap-in) и нажмите кнопку Добавить (Add).
3. Выберите Анализ и настройка безопасности (Security Configuration and Analisis).
4. Щелкните Добавить (Add), а затем Закрыть (Close). Нажмите OK.
Создание базы данных
Все операции конфигурирования и анализа выполняются с использованием базы данных. Следовательно, прежде чем выполнять анализ, Вы должны внести основной шаблон анализа в базу данных.
Для создания базы данных:
1. Щелкните Анализ и настройка безопасности (Security Configuration and Analysis) в панели слева.
2. Щелкните правой кнопкой мыши элемент Анализ и настройка безопасности (Security Configuration and Analysis) в панели слева.
3. Щелкните Открыть базу данных (Open Database).
4. Введите Mysecurews.sdb в качестве имени базы данных.
5. Щелкните Открыть (Open).
6. Выберите Mysecure.inf для импорта в базу данных в качестве шаблона безопасности.
7. Щелкните Открыть (Open).
Обратите внимание, что имя базы теперь отображено в правой панели, и что в контекстном меню узла Анализ и настройка безопасности добавилось еще несколько пунктов меню.
Для выполнения анализа:
1. Щелкните правой кнопкой мыши пункт Анализ и настройка безопасности (Security Configuration and Analysis) и выберите из контекстного меню пункт Анализ компьютера… (Analyze Computer Now), как показано ниже на Рисунке 8.
Увеличить рисунок
Рисунок 8 - Выбор Анализ компьютера…
2. &;nbsp; Определите следующий файл журнала событий для процесса анализа: (Примечание. Вы можете просто нажать кнопку Обзор (Browse) вместо ввода пути и имени файла)
%windir%\security\logs\Mysecurews.log
Где %windir% - это путь к Вашему каталогу Windows, например:
C:\WINNT\security\logs\Mysecure.log
3. Щелкните Открыть (Open) и нажмите OK. Индикатор выполнения, похожий на тот, что изображен ниже на Рисунке 7, покажет ход выполнения анализа.
Увеличить рисунок
Рисунок 9 - Отчет выполнения анализа безопасности системы
Просмотр результатов анализа
После того, как анализ будет выполнен, под пунктом Анализ и настройка безопасности будут доступны области безопасности.
Для просмотра результатов:
1. Выделите пункт Анализ и настройка безопасности (Security Configuration and Analysis) и нажмите Вид (View).
2. Выберите Область описания (Description Bar), чтобы раскрыть базу данных, с которой Вы сейчас работаете.
3. Раскройте пункт Анализ и настройка безопасности (Security Configuration and Analysis) в панели слева, после чего раскройте Локальные политики (Local policies) и щелкните Параметры безопасности (Security Options), как показано ниже на Рисунке 10.
Увеличить рисунок
Рисунок 10 - Новые Параметры безопасности
В правой панели для каждого элемента безопасности будут отображены текущее состояние и настройки базы данных. Несоответствия в настройках будут выделены красным Х. Согласованные настройки выделены зеленым знаком. Если нет ни красного Х, ни зеленого знака, то данный параметр безопасности не определен в базе данных (то есть, параметр безопасности не задан в импортированном шаблоне).
Дважды щелкните любой параметр в окне сведений, чтобы изучить несоответствия и, при необходимости, изменить параметры базы данных.
Например:
1. В левой панели раскройте пункт Файловая система (File System).
2. Раскройте каталог %windir% (например, C:\WINNT).
3. Выполните правый щелчок по каталогу repair.
Обратите внимание на то, что файлы внутри каталога repair также обозначены статусом ОК или как несоответствующие. Когда шаблон определяет объект контейнера в режиме перезаписи (как было в случае, когда мы настраивали каталог repair), все дочерние объекты данного контейнера анализируются на соответствие. Когда шаблон определяет объект контейнера в режиме наследования разрешений, анализ дочерних объектов не выполняется. Дочерние объекты, которые не наследуют разрешения от своего родительского объекта, помечены как несоответствующие, так как режим перезаписи разрешений предполагает, что все дочерние объекты (не перечисленные в шаблоне) должны наследовать разрешения от своего родительского объекта. Дочерние объекты, наследующие разрешения своего родительского объекта (и не имеющие собственных явно заданных разрешений) обозначены, как согласованные, даже если в настоящее время они наследуют другой избирательный список контроля доступа (Discretionary Access Control List, DACL), отличный от определенного в шаблоне для родительского объекта. В последнем случае, релевантное несоответствие обозначено в родительском объекте.
4. Дважды щелкните вкладку Безопасность (Security). Вы можете просмотреть проанализированные разрешения, разрешения базы данных, или и те, и другие.
5. Щелкните Показать безопасность (View Security) и нажмите ОК. (Обратите внимание на то, что Вы не можете изменять текущие настройки системы, пока просматриваете результаты анализа).
6. Перетащите диалоговое окно Последний анализ безопасности для (Last Analyzed Security) в сторону и щелкните Изменить безопасность (Edit Security) в первом окне. Выровняйте окна, как показано на рисунке ниже.
Увеличить рисунок
Рисунок 11 - Сравнение ACL для каталога repair
Вы можете увидеть DACL, определенный в базе данных, импортированной из шаблона Mysecure, и текущий DACL на момент выполнения анализа. В связи с тем, что DACL отличаются, каталог repair обозначен, как несоответствующий.
7. Закройте эти три окна.
Изменение основных параметров анализа
После ознакомления с результатами анализа, Вы, возможно, захотите обновить параметры основной базы данных, используемой для выполнения анализа. Это может быть целесообразно, если Вы изменили свое мнение относительно параметров безопасности, изначально определенных для анализируемого объекта. Например:
• Если Вы считаете нужным обеспечивать безопасность данного объекта, во время просмотра отметьте пункт Определить следующую политику в базе данных (Define this policy in the database). Если флажок не установлен, значит, объект не доступен для конфигурирования, а значит, унаследует разрешения от своего родительского объекта, как это определено.
• Если Вы хотите все последующие операции анализа и настройки выполнять, основываясь на других спецификациях безопасности, щелкните кнопку Изменить безопасность (Edit Security), чтобы изменить сохраненное в базе данных описание параметров безопасности.
В описанном выше примере Вы уже щелкнули Изменить безопасность (Edit Security), выполняя пункт 6. По необходимости измените список ACL, определенный в базе данных для каталога repair. Все последующие операции анализа и настройки будут выполняться с учетом нового ACL. Такие изменения могут быть сохранены в шаблон с помощью пункта Экспорт шаблона (Export Template) в контекстном меню оснастки Анализ и настройка безопасности.
Настройка безопасности системы
К настоящему моменту Вы создали шаблон безопасности с необходимыми настройками (Mysecure.inf) и проанализировали текущие параметры системы в сравнении с ним. Если Вы удовлетворены изменениями безопасности, выявленными этим шаблоном (указанными флажками несоответствия в анализе), то можете приступать к настройке системы с данными параметрами безопасности.
Чтобы настроить безопасность системы с новыми параметрами:
1. Щелкните правой кнопкой мыши элемент Анализ и настройка безопасности (Security Configuration and Analysis).
2. Выберите Настроить компьютер… (Configure System Now)
3. Укажите следующий путь для файла журнала:
%windir%\security\\logs\Mysecure.log
где %windir% - это путь к Вашему каталогу Windows (например,C:\WINNT).
4. Нажмите ОК. Диалоговое окно отобразит ход выполнения настройки областей безопасности. По ее окончании Ваша система будет настроена согласно параметрам, определенным в шаблоне Mysecure.inf.
5. Нажмите кнопку Закрыть (Close) в правом верхнем углу оснастки Анализ и настройка безопасности.
6. Нажмите Да (Yes), чтобы сохранить параметры консоли.
7. Сохраните файл под именем SCA.
Это позволит Вам в будущем запускать оснастку Анализ и настройка безопасности без необходимости предварительно добавлять ее в консоль. Обратите внимание, что обе оснастки Шаблоны безопасности и Анализ и настройка безопасности могут быть добавлены в одну консоль.
Просмотр обновленной локальной политики безопасности
Диспетчер настройки безопасности автоматически отслеживает изменения, сделанные в локальных параметрах безопасности, и сохраняет их в базе данных локальных политик. При желании Вы можете просмотреть эти параметры, как Вы делали это в первой части данного руководства.
Чтобы просмотреть политику:
1. В меню Пуск (Start) выберите Выполнить (Run). Введите Gpedit.msc и нажмите OK.
2. Последовательно раскройте элементы Конфигурация компьютера (Computer Configuration), далее Конфигурация Windows (Windows Settings), затем Параметры безопасности (Security Settings) затем раскройте Политики учетных записей (Account Policies).
3. Щелкните Политика паролей (Password Policy), как показано на Рисунке 12 ниже.
Примечание. Для просмотра локальной политики Вы должны войти в систему как Администратор, в противном случае, благодаря только что созданной и примененной ограниченной групповой политике, Вы не будете обладать административными привилегиями.
Вы видите, что минимальный срок действия пароля (установленный нами при изменении локальной политики безопасности в соответствующем разделе настоящего руководства равным одному дню) теперь равен двум дням, как это указано в шаблоне Mysecure.inf.
Увеличить рисунок
Рисунок 12 - Политика паролей
Точно также изменен текст сообщения для пользователей при входе в систему:
4. Раскройте в левой панели Локальные политики (Local Policies) и щелкните Параметры безопасности (Security Options), как показано ниже на Рисунке 13.
Увеличить рисунок
Рисунок 13 - Просмотр параметров безопасности
Просмотр обновленных параметров безопасности файловой системы
В связи с тем, что параметры доступа к каталогам файловой системы невозможно задать при помощи групповых политик, Вы можете проверить настройки каталога repair с помощью Проводника Windows (Windows Explorer).
Чтобы просмотреть параметры безопасности системы:
1. В меню Пуск (Start) выберите Программы (Programs), далее Стандартные (Accessories) и щелкните Проводник (Windows Explorer).
2. Если Проводник уже открыт, щелкните меню Вид (View) и в меню Панели обозревателя (Explorer Bar) выберите пункт Папки (Folder).
3. Раскройте %windir% (где %windir% - это путь к Вашему каталогу Windows. Например, C:\WINNT).
4. Щелкните правой кнопкой мыши каталог Repair и выберите Свойства (Properties).
5. Щелкните вкладку Безопасность (Security). Ниже на Рисунке 14 наглядно показаны эти два окна, выровненные в один ряд.
Увеличить рисунок
Рисунок 14 - Просмотр параметров безопасности файловой системы
6. Щелкните кнопку Закрыть (Close) в правом верхнем угла окна Групповая политика (Group Policy).
Теперь, когда заданные в шаблоне Mysecure.inf параметры безопасности применены к системе, Вы можете контролировать любые расхождения с этой политикой, периодически осуществляя анализ системы в сравнении с базой данных.
Настройка и анализ с помощью командной строки
Операции настройки и анализа, доступные из оснастки Анализ и настройка безопасности (Security Configuration and Analysis), также могут быть выполнены с использованием утилиты командной строки Secedit.exe. Использование командной строки позволяет выполнять операции анализа и настройки безопасности совместно с другими административными инструментами, такими, как Microsoft Systems Management Server или Планировщик заданий (Task Scheduler), входящий в поставку Windows 2000. Утилита Secedit.exe также предлагает ряд возможностей, не доступных в графическом интерфейсе пользователя.
Просмотр справки утилиты Secedit.exe
Интерактивная справка, поставляемая с утилитой Secedit.exe, описывает синтаксис используемых команд.
Чтобы отобразить текст справки:
1. В меню Пуск (Start) выберите Выполнить (Run) и введите CMD. Нажмите OK.
2. Введите Secedit и нажмите Enter, чтобы увидеть интерактивную справку для этой команды.
Утилита предлагает пять высокоуровневых операций:
• Analyze
• Configure
• Export
• RefreshPolicy
• Validate
Analyze и Configure соответствуют таким же задачам, доступным при использовании оснастки Анализ и настройка безопасности (Security Configuration and Analysis).
Export служит для экспорта сохраненного шаблона из базы данных безопасности в файл (.inf) шаблона безопасности. Эта возможность также доступна из контекстного меню оснастки Анализ и настройка безопасности после открытия базы данных безопасности.
RefreshPolicy позволяет Вам принудительно применить групповую политику, которая по умолчанию всегда обновляется при загрузке системы, каждые 60-90 минут в фоновом режиме, а также когда локальная политика безопасности изменяется при использовании расширения Параметры безопасности (Security Settings) для групповой политики (как описано в данном руководстве). Когда применение политики инициировано, ее распространение можно ускорить при помощи соответствующих расширений групповой политики (в данном случае расширения "Параметры безопасности"). Чтобы принудительно обновить политику вне зависимости от того, была ли она изменена, используйте параметр /Enforce вместе с параметром /RefreshPolicy.
Validate проверяет синтаксис шаблона безопасности, созданного при помощи оснастки Шаблоны безопасности (Security Templates).
Как было описано ранее в этой статье, все операции анализа и настройки управляются базой данных. Следовательно, Secedit.exe поддерживает параметры для указания базы данных (/db), а также шаблона безопасности (/cfg), который должен быть импортирован в базу данных перед выполнением операций настройки. По умолчанию файл конфигурации присоединен к базе данных. Для замещения существующей в базе данных конфигурационной информации, используйте параметр /overwrite. Так же, как и в оснастке, Вы можете указать файл журнала (/log). Кроме того, Secedit.exe позволяет записывать в журнал более детальную информацию (/verbose). Обратите внимание, что, если оснастка каждый раз настраивает все параметры безопасности одновременно, Secedit.exe позволяет Вам выбирать области безопасности (/areas) для настройки. Если области безопасности не определены параметром /areas, они будут проигнорированы, даже если в базе данных содержатся необходимые параметры безопасности.
Настройка безопасности с использованием Secedit.exe
Следующий пример переназначает только конфигурацию файловой системы, определенную в Mysecure.inf.
Чтобы настроить безопасность файловой системы при помощи Secedit.exe:
1. Перейдите в каталог %windir%\security\database (где %windir% - это путь к Вашему каталогу Windows). Например, в командной строке введите следующее:
cd\c:\windir\security\logs
2. Введите следующее:
secedit /configure /db mysecure.sdb /areas FILESTORE /log %windir% \security\logs\Mysecure.log /verbose
где %windir% - это путь к Вашему каталогу Windows (например, C:\WINNT).
Так как база данных уже существует и содержит информацию о настройках, ранее импортированных из шаблона Mysecure.inf, нет необходимости указывать параметр /cfg. Также обратите внимание на то, что пути для ключей /db, /cfg, и /log отличаются от текущего каталога и должны быть абсолютными.
3. Введите
%windir%\security\logs\Mysecure.log
Обратите внимание на то, что предыдущие параметры настраивали все области безопасности, в то время, как последний относится только к безопасности файлов.
Выполнение анализа безопасности при помощи Secedit.exe
В настоящий момент Ваша система настроена в соответствии с настройками, определенными в шаблоне Mysecure.inf. Теперь Вы попробуете нарушить политику и выполнить анализ из командной строки, чтобы выявить нарушение.
Чтобы нарушить политику и выявить нарушение
1. Как Вы помните, шаблон Mysecure.inf определяет ограниченную групповую политику для локальной группы Администраторы (Administrators), указывающую, что только учетная запись Администратор может быть членом данной группы. Попробуйте нарушить данную настройку, добавив в группу администраторов учетную запись Все (Everyone). Введите в командной строке следующее, после чего нажмите Enter:
Net LocalGroup Administrators Everyone /Add
2. Выполните анализ параметров системы, используя Mysecure.sdb, в качестве основной конфигурации. Введите в командной строке следующее, после чего нажмите Enter:
secedit /analyze /db Mysecure.sdb /Log Monitor.log /verbose
3. Если Вы используете утилиту Grep, внимательно проанализируйте файл журнала, чтобы выявить несоответствия. Введите в командной строке следующее:
grep Mismatch Monitor.Log
Обратите внимание, что локальная группа Администраторы обозначена красным крестиком. Несоответствия в значениях реестра вызваны тем, что они настроены в системе, но не в базе данных. Оснастка консоли управления пропускает данный тип несоответствий.
Готовые шаблоны безопасности
Предустановленные шаблоны безопасности
Предустановленные в Windows 2000 шаблоны безопасности могут быть применены только к компьютерам, работающим под управлением Windows 2000, чистая установка которой была произведена на раздел NTFS. Если компьютеры были обновлены с системы Windows NT 4.0 или более ранней, настройки безопасности изменены не будут (обновление с операционных систем Win9x рассматривается, как чистая установка). Настройки безопасности не будут применены, если Windows 2000 была установлена на файловую систему FAT.
Ниже приведены основные шаблоны безопасности, предназначенные для усиления безопасности систем, обновленных с более ранних версий на разделах NTFS до уровня чистой установки на NTFS раздел:
• Basicwk.inf для компьютеров работающих под управлением Windows 2000 Professional.
• Basicsv.inf для компьютеров работающих под управлением Windows 2000 Server.
• Basicdc.inf для контроллеров домена работающих под управлением Windows 2000 Server.
Эти шаблоны безопасности по умолчанию устанавливают настройки безопасности Windows 2000 для всех областей безопасности, за исключением прав пользователей и членства в группах.
Инкрементальные шаблоны безопасности
Windows 2000 поставляется вместе с нижеприведенными инкрементальными шаблонами безопасности. Эти шаблоны безопасности построены с учетом предположения, что они будут применены к компьютерам работающих под управлением Windows 2000, настроенных при помощи новых параметров безопасности Windows 2000. (Обратитесь к официальной документации, описывающей параметры безопасности Windows 2000, заданные по умолчанию, по ссылке http://www.microsoft.com/technet/prodtechnol/windows2000serv/maintain/security/secdefs.mspx). Другими словами эти шаблоны изменяют настройки безопасности по умолчанию, постепенно повышая уровень безопасности системы. Они не включают в себя настройки по умолчанию с изменениями.
Эти шаблоны применимы к компьютерам, на которые была произведена чистая установка Windows 2000 на раздел NTFS. Для компьютеров, которые были обновлены до Windows 2000 с Windows NT 4.0 или более ранних версий на раздел NTFS, сначала примените соответствующие базовые шаблоны (как описано выше) и только после этого инкрементальные шаблоны безопасности. Безопасность операционных систем Windows 2000, установленных на раздел FAT, обеспечить невозможно.
• Compatws.inf предназначен для рабочих станций или серверов. Если Ваши пользователи не входят в группу Опытные пользователи (Power Users), конфигурация совместимости позволит группе Пользователи (Users) работать с необходимыми для функционирования старых приложений привилегиями Опытные пользователи (Power Users). Office 97 будет успешно работать, когда Вы войдете в систему Windows 2000, к которой был применен совместимый шаблон безопасности поверх настроек по умолчанию. Примите к сведению, что это не лучшая практика с точки зрения безопасности.
• Securews.inf, предназначенный для рабочих станций или серверов, и Securedc.inf для контроллеров домена, обеспечивают конфигурацию повышенной безопасности для областей операционной системы, которые невозможно настроить при помощи разрешений. Это включает в себя расширенные параметры безопасности для Политик учетных записей (Account Policy), Аудита (Auditing) и некоторых хорошо известных ключей реестра, относящихся к параметрам безопасности. При этом настраиваемые параметры не изменяют списков ACL исходя из предположения, что у Вас действуют заданные по умолчанию параметры безопасности Windows 2000.
• Hisecws.inf для рабочих станций и серверов и Hisecdc.inf для контроллеров домена обеспечивают в высшей степени безопасную конфигурацию и предназначены для компьютеров, работающих под управлением Windows 2000, функционирующих в чистом сетевом окружении Windows 2000. В данной конфигурации вся передаваемая по сети информация должна иметь цифровую подпись и быть зашифрована на уровне, который может обеспечить только Windows 2000. В связи с этим, сетевое взаимодействие между компьютером Windows 2000 с наивысшими настройками безопасности и более ранними версиями Windows осуществить невозможно.
Уровни безопасности
Нижеприведенная таблица описывает сравнительные уровни безопасности, основанные на примененных к операционной системе шаблонов (в ней нет информации по безопасности приложений, установленных в операционной системе), а также тип пользователя, получающего доступ к системе:
| Примененные шаблоны | Пользовательский уровень |
| Default | Опытный пользователь |
| Default + Compatible | Пользователь |
| Default | Пользователь |
| Default + Secure | Пользователь |
| Default + Secure + High Secure | Пользователь |
Соответственно, осуществлять вход в систему, где была осуществлена чистая установка Windows 2000 на раздел NTFS, как Опытный пользователь (Power User), менее безопасно, чем войти в точно такую же систему с правами Пользователь (User).
Обсуждение статьи на форуме