Руководство по безопасной настройке и контролю сертифицированной версии




страница1/10
Дата02.12.2016
Размер3.31 Mb.
Просмотров367
Скачиваний0
ТипРуководство
  1   2   3   4   5   6   7   8   9   10









Руководство по настройке функций безопасности
сертифицированной версии
Microsoft Windows Server 2008 в редакциях
Standard, Enterprise и Datacenter

Руководство по безопасной настройке и контролю сертифицированной версии











2009


Операционная система Microsoft
®
Windows Server

2008
Руководство по безопасной настройке и контролю сертифицированной версии
© ООО «СИС», 2009
2
СОДЕРЖАНИЕ
1. Параметры политики домена ........................................................................................................ 4 1.1
Параметры политики паролей. ............................................................................................... 4 1.2 Параметры политики блокировки учетных записей. ................................................................ 8 2. Параметры политики контроллеров домена и рядовых серверов. ......................................... 12 2.1 Конфигурация компьютера\Параметры Windows. ................................................................. 12 2.2 Параметры политики назначения прав пользователя ............................................................. 12 2.3 Настройки опций безопасности ................................................................................................ 31 3. Политики и подкатегории аудита. .............................................................................................. 86 3.1 Настройка параметров политики аудита. ................................................................................ 87 3.2 Подкатегории политики аудита. ............................................................................................... 88 3.3 Изменение параметров политики аудита. .............................................................................. 102 3.4 Удаление настройки политики аудита ................................................................................... 104 4. Общие указания по настройке параметров безопасности сертифицированной версии операционной системы Microsoft® Windows Server 2008 ......................................................... 105 4.1 Мастер настройки безопасности ............................................................................................. 105 4.2 Групповая политика ................................................................................................................. 107 5
Автоматизированный контроль соответствия сертифицированной версии операционной системы Microsoft
®
Windows
®
Server 2008 ........................................................ 109 5.1
Общие положения ................................................................................................................. 109 5.2
Назначение программы «Server08_Check» ......................................................................... 109 5.3
Установка и запуск на выполнение программы «Server08_Check» ................................. 110 5.4
Выполнение программы «Server08_Check» ....................................................................... 113 5.4.1
Проверка операционной системы на предмет соответствия сертифицированной версии и просмотр отчета по контролю системы ................................................................................... 113 5.4.2
Проверка обновлений и просмотр отчета по контролю обновлений системы ............... 116 5.4.3
Фиксация и контроль исполняемых файлов и библиотек ................................................. 116 5.4.4
Установка значений параметров безопасности на сертифицированные конфигурации121


Операционная система Microsoft
®
Windows Server

2008
Руководство по безопасной настройке и контролю сертифицированной версии
© ООО «СИС», 2009
3
Введение.
Руководство по настройке функций безопасности сертифицированной версии ОС
Microsoft Windows Server 2008 Standard, Datacenter, Enterprise Edition (далее Руководство) разработано на основе результатов сертификационных испытаний операционной системы
Microsoft Windows Server 2008 Enterprise Edition (далее по тексту руководства – ОС
Microsoft Windows Server 2008), проведенных в системе сертификации средств защиты информации по требованиям безопасности информации № РОСС RU.0001.01БИ00 и
Руководства по безопасности ОС Microsoft Windows Server 2008 для среды корпоративных клиентов (Enterprise Client-EC) и Специальной безопасной среды с ограниченной функциональностью (Specialized Security – Limited Functionality-SSLF).
Описанные в данном руководстве параметры безопасности сгруппированы в следующие основные разделы:

Параметры политики доменов. Параметры, рассматриваемые в этом разделе, применяются к домену.

Базовые параметры политики контроллеров доменов и рядовых серверов.
Параметры, рассматриваемые в этом разделе, применяются как к подразделениям
контроллеров доменов для настройки контроллеров доменов, на которых размещаются сведения о домене AD DS, так и ко всем рядовым серверам домена.

Параметры политики аудита. В данном разделе описываются рекомендации по настройке подкатегорий параметров аудита.
Базовые параметры безопасности EC и SSLF в Руководстве приведены как рекомендуемые, изменение которых возможно с учетом особенностей конкретного объекта информатизации.




Операционная система Microsoft
®
Windows Server

2008
Руководство по безопасной настройке и контролю сертифицированной версии
© ООО «СИС», 2009
4
1. Параметры политики домена
Параметры безопасности, рассматриваемые в данном разделе применяются к домену посредством настройки меню Конфигурация в Редакторе объектов групповой политики. В подпунктах меню Параметры имеются следующие группы параметров:

Параметры политики паролей;

Параметры политики блокировки учетных записей.

1.1

Параметры политики паролей.
Параметры политики паролей определяют сложность и время действия паролей.
ОС Microsoft Windows Server 2008 поддерживает расширенные политики паролей, которые обеспечивают возможность определения разных политик паролей и блокировки учетных записей для разных групп пользователей в домене.
Настроить параметры политики паролей можно в следующем разделе Редактора
объектов
групповой
политики:
Конфигурация
компьютера\Параметры
Windows\Параметры безопасности\Политики учетных записей\Политики паролей
(рис.1)

Рис.1

Операционная система Microsoft
®
Windows Server

2008
Руководство по безопасной настройке и контролю сертифицированной версии
© ООО «СИС», 2009
5
В таблице 1 приведены рекомендации по настройке политики паролей для двух типов безопасных сред, описанных в данном Руководстве (рис.2).
Таблица 1
Рекомендации по настройке политики паролей
Windows Server 2008
Параметр
Политика
домена EC
Политика домена
SSLF
Вести журнал паролей (Enforce password history)
Храниться
24 пароля
Храниться 24 пароля
Максимальный срок действия пароля (Maximum password age)
90 дней
90 дней
Минимальный срок действия пароля (Minimum password age)
1 день
1 день
Минимальная длина пароля
(Minimum password length)
8 символов
12 символов
Пароль должен отвечать требованиям сложности (Password must meet complexity requirements)
Включен
Включен
Хранить пароли, используя обратимое шифрование
(Store passwords using reversible encryption)
Отключен
Отключен

Операционная система Microsoft
®
Windows Server

2008
Руководство по безопасной настройке и контролю сертифицированной версии
© ООО «СИС», 2009
6
Рис.2
Вести журнал паролей.
Данный параметр политики определяет количество возобновляемых уникальных паролей, которое должно быть ассоциировано с учетной записью пользователя, прежде чем вы сможете повторно использовать старый пароль. Диапазон допустимых значений для этого параметра политики – от 0 до 24 паролей.
Значение по умолчанию для ОС Microsoft Windows Server 2008 – 0 паролей, но когда сервер присоединен к домену, значением по умолчанию является 24 пароля. Эффективность данного параметра политики обеспечивается посредством параметра Минимальный срок
действия пароля, благодаря которому пользователи не могут менять свои пароли слишком часто.
Максимальный срок действия пароля.
Данный параметр политики определяет срок действия пароля, в течение которого пользователь может его использовать. Диапазон допустимых значений для этого параметра политики – от 1 до 999 дней. (Также можно задать значение 0, чтобы обозначить неограниченный срок действия пароля.) Значение по умолчанию – 42 дня. Поскольку существует вероятность взлома пароля, чем чаще он изменяется, тем меньше вероятность того, что злоумышленник сможет воспользоваться похищенным паролем. Однако чем меньше заданное значение, тем больше вероятность увеличения количества обращений в

Операционная система Microsoft
®
Windows Server

2008
Руководство по безопасной настройке и контролю сертифицированной версии
© ООО «СИС», 2009
7
службу поддержки для изменения пароля или по причине того, что пользователь забыл, какой пароль используется в настоящее время.
Минимальный срок действия пароля.
Этот параметр политики определяет, сколько дней пользователь должен использовать пароль, прежде чем сможет изменить его. Диапазон допустимых значений для этого параметра – от 1 до 999 дней. (Также можно задать значение 0, чтобы разрешить немедленное изменение паролей.) Значение по умолчанию – 0 дней. Значение параметра
Минимальный срок действия пароля должно быть меньше значения, заданного для параметра Максимальный срок действия пароля, если только для параметра
Максимальный срок действия пароля не задано значение 0, определяющее неограниченный срок действия пароля. Если для параметра Максимальный срок действия
пароля задано значение 0, для данного параметра политики можно задать любое значение в диапазоне от 0 до 999. Чтобы параметр Вести журнал паролей был эффективным, для параметра Минимальный срок действия пароля должно быть задано значение, больше 0.
Если задать для этого параметра значение 0, пользователи смогут перебирать пароли, пока не вернуться к старому паролю.
Минимальная длина пароля.
Данный параметр политики определяет минимальное количество символов в пароле для учетной записи пользователя.
Пароль должен отвечать требованиям сложности.
Данный параметр политики проверяет все пароли на соответствие базовым требованиям надежности паролей. Значение по умолчанию данного параметра политики в
ОС Microsoft Windows Server 2008 – Отключен, но для обеих сред, описываемых в данном руководстве, в домене ОС Microsoft Windows Server 2008 этот параметр имеет значение
Включен. Если этот параметр политики включен, пользователи должны создавать надежные пароли, отвечающие следующим минимальным требованиям:

Пароли не могут содержать имя учетной записи пользователя или части полного имени пользователя длиной более двух последовательных символов.

Длина пароля должна быть не менее шести символов.
В состав пароля должны входить символы трех из четырех представленных ниже категорий:
- Латинские заглавные буквы (от A до Z).
- Латинские строчные буквы (от a до z).
- Цифры (от 0 до 9).
- Небуквенные символы (например, !, $, #, %).

Операционная система Microsoft
®
Windows Server

2008
Руководство по безопасной настройке и контролю сертифицированной версии
© ООО «СИС», 2009
8
Хранить пароли, используя обратимое шифрование.
Данный параметр политики определяет, как операционная система хранит пароли: используется ли при этом обратимое шифрование. Обратимое шифрование обеспечивает поддержку протоколов приложений, требующих знания пароля пользователя в целях проверки подлинности. Хранение паролей с использованием обратимого шифрования, по сути, то же самое, что и хранение паролей открытым текстом. Поэтому этот параметр политики должен быть активирован только в том случае, если требования приложения важнее необходимости защиты паролей. Значение по умолчанию данного параметра политики – Отключен.
1.2 Параметры политики блокировки учетных записей.
Политика блокировки учетных записей – это компонент безопасности Доменных служб Active Directory (AD DS), блокирующий учетную запись пользователя. Блокировка предотвращает вход в систему после заданного числа неудачных попыток входа в течение заданного периода времени. Контроллеры доменов отслеживают попытки входа в систему и допустимое количество попыток на основании значений параметров блокировки учетных записей. Кроме того, можно задать продолжительность блокирования. Данные параметры политики не дают злоумышленникам подобрать пароль пользователя и сокращают вероятность успеха атак на вашу сетевую среду.
Настроить параметры политики блокировки учетных записей можно в следующем разделе Редактора объектов групповой политики:
Конфигурация
компьютера\Параметры
Windows\Параметры
безопасности\Политики учетных записей\Политика блокировки учетных записей.
В таблице 2, представлены рекомендации по настройкам политики блокировки учетных записей (рис.3).

Таблица 2.
Рекомендации по настройке политики блокировки учетных записей
Windows Server 2008
Параметр
Политика домена EC
Политика домена SSLF
Продолжительность блокировки учетной записи
(Account lockout duration)
15 минут
15 минут
Пороговое значение 50 неудачных попыток входа
10 неудачных попыток входа

Операционная система Microsoft
®
Windows Server

2008
Руководство по безопасной настройке и контролю сертифицированной версии
© ООО «СИС», 2009
9
блокировки (Account lockout threshold)
Время до сброса счетчика блокировки
(Reset account lockout counter after)
15 минут
15 минут

Рис.3
Продолжительность блокировки учетной записи.
Этот параметр политики определяет то количество времени, которое должно пройти, прежде чем заблокированная учетная запись будет разблокирована, и пользователь сможет попытаться войти в систему. Этот параметр определяет количество минут, в течение которых учетная запись будет оставаться недоступной. Если для данного параметра политики задано значение 0, блокированные учетные записи будут оставаться блокированными до тех пор, пока администратор не разблокирует их вручную. Значение по умолчанию данного параметра – Не определен. Рекомендуемое значение – 15 минут для обеих сред, описываемых в данном руководстве. Это количество времени было определено как разумный период ожидания для пользователей перед повторной попыткой входа в систему. Кроме того, это значение параметра обеспечивает защиту от атак методом подбора паролей.

Операционная система Microsoft
®
Windows Server

2008
Руководство по безопасной настройке и контролю сертифицированной версии
© ООО «СИС», 2009
10
Пороговое значение блокировки.
Этот параметр политики определяет количество неудачных попыток входа в систему, после которого учетная запись будет заблокирована. Учетная запись авторизованного пользователя может быть заблокирована в результате ошибок при вводе пароля или ввода неверного пароля, или если пользователь изменяет свой пароль на одном компьютере, выполнив до этого вход на другом компьютере. Компьютер с неверным паролем будет постоянно пытаться аутентифицировать пользователя, и поскольку при этом будет использоваться неверный пароль, произойдет блокировка. Значение по умолчанию этого параметра политики – 0 неудачных попыток входа, что деактивирует функцию блокировки учетной записи.
Злоумышленники могут использовать состояние блокировки для атак типа отказ в обслуживании (DoS), запуская блокировку большого числа учетных записей. Существует два варианта определения данного параметра политики:
Первый вариант:

Задать для параметра Пороговое значение блокировки значение 0 и, таким образом, гарантировать, что учетные записи блокироваться не будут. Это значение предотвратить возможность атак типа DoS с попытками заблокировать учетные записи вашей организации. Также сократится количество обращений в службу технической поддержки, потому что пользователи не будут по ошибке самостоятельно блокировать свои учетные записи. Однако при таком значении параметра сохраняется возможность атак методом подбора.

Политику паролей, требующую использования для всех пользователей сложных паролей длиной 8 или более символов.
Второй вариант:

Задать для параметра Пороговое значение блокировки значение, при котором допускается ошибочное введение пароля пользователями несколько раз подряд, но которое обеспечит блокировку учетной записи в случае выявления атаки методом подбора пароля. 50 неудачных попыток входа для сред EC и 10 для сред типа SSLF
должны обеспечить адекватную защиту и приемлемое удобство использования.
Такие значения предотвратят случайные блокировки учетных записей и приведут к сокращению количества обращений в службу технической поддержки, но не защитят от атак типа DoS.

Надежный механизм аудита, который обеспечит предупреждение администраторов в случае возникновение ряда блокировок учетных записей в среде. Например, аудит должен обеспечивать отслеживание события безопасности 4625, которое представляет

Операционная система Microsoft
®
Windows Server

2008
Руководство по безопасной настройке и контролю сертифицированной версии
© ООО «СИС», 2009
11
неудачную попытку входа в систему, и выявлять, была ли заблокирована учетная запись на момент неудачной попытки входа в систему.

Время до сброса счетчика блокировки.
Этот параметр политики определяет время, через которое будет обнулен параметр
Пороговое значение блокировки. Значение по умолчанию для этого параметра политики –
Не определен. Если Пороговое значение блокировки задан, его значение должно быть меньше или равно значению параметра Продолжительность блокировки учетной записи.
Сохранение значения по умолчанию или определение слишком большого интервала для этого параметра может сделать среду уязвимой для атак типа DoS. Злоумышленник может специально выполнить ряд неудачных попыток входа в систему для всех пользователей в организации, что приведет к блокировке их учетных записей, как описывалось ранее в этом приложении. Если не определена политика снятия блокировки учетных записей, администраторам придется делать это вручную. И наоборот, если для данного параметра настройки задано разумное значение, пользователи будут оставаться заблокированными в течение заданного промежутка времени, по истечении которого все учетные записи будут разблокированы автоматически. Рекомендуемое значение этого параметра, 15 минут, было определено как рекомендуемый интервал времени, приемлемый для пользователей. Пользователи должны быть осведомлены о том, сколько времени они должны подождать, прежде чем повторять попытку входа в систему.








Операционная система Microsoft
®
Windows Server

2008
Руководство по безопасной настройке и контролю сертифицированной версии
© ООО «СИС», 2009
12
2. Параметры политики контроллеров домена и рядовых
серверов.
Рассматриваемые в данном разделе параметры безопасности применимы к контролерам домена и рядовым серверам домена. Многие рекомендации для контроллеров домена и рядовых серверов аналогичны, однако некоторые параметры применяются только к контроллерам домена. Эти параметры задаются в Редакторе объектов групповой политики в меню Конфигурация в пунктах подменю Параметры Windows и Административные
шаблоны.
2.1
Конфигурация компьютера\Параметры Windows.

Расматриваемые в данном разделе группы параметров возможно изменить в подменю
Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики:

Параметры политики аудита;

Параметры политики назначения прав пользователя;

Настройки опций безопасности.
Следующая группа параметров находится в подменю
Конфигурация компьютера\Параметры Windows\Параметры:

Параметры безопасности журнала событий.
2.2 Параметры политики назначения прав пользователя
В ОС Microsoft Windows Server 2008 существует множество привилегированных групп пользователей, но есть возможность задавать различные права пользователей определенным пользователям или группам. Эти права обычно предоставляются для выполнения специальных административных задач или задач без предоставления этому пользователю или группе полного административного контроля.
Если для права пользователя должно быть задано значение Никто, активируйте этот параметр, но не добавляйте в него пользователей или группы.
Если для права пользователя должно быть задано значение Не определен, не активируйте этот параметр.

Операционная система Microsoft
®
Windows Server

2008
Руководство по безопасной настройке и контролю сертифицированной версии
© ООО «СИС», 2009
13
В ОС Microsoft Windows Server 2008 параметры политики назначения прав пользователя можно задать в Редакторе объектов групповой политики в пункте меню:
Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные
политики\Назначение прав пользователя (рис.4).

Рис. 4
В таблице 3 представлены рекомендации по назначению прав пользователя для прав, начинающихся с букв от А до Е (в английском варианте). Рекомендации для всех остальных прав пользователя представлены в Таблице 4. Дополнительную подробную информацию об этих правах пользователя можно найти в подразделах после этой таблицы.
Права пользователя от A до E.
В таблице 3 представлены значения и рекомендации для параметров политики назначения прав пользователя, начинающихся с букв от А до Е (в английском варианте), для контроллеров домена и рядовых серверов в Windows Server 2008.

В подразделах после этой таблицы каждый параметр рассматривается более подробно.



Поделитесь с Вашими друзьями:
  1   2   3   4   5   6   7   8   9   10


База данных защищена авторским правом ©nethash.ru 2017
обратиться к администрации

войти | регистрация
    Главная страница


загрузить материал