Руководство по безопасной настройке и контролю сертифицированной версии зао «алтэкс-софт», 2011



Скачать 15.71 Kb.
Pdf просмотр
страница1/14
Дата26.11.2016
Размер15.71 Kb.
Просмотров458
Скачиваний0
ТипРуководство
  1   2   3   4   5   6   7   8   9   ...   14

© ЗАО «АЛТЭКС-СОФТ», 2011

З АО « АЛ Т Э К С
-
С О ФТ »







ОПЕРАЦИОННАЯ СИСТЕМА
Microsoft
®
Windows Server 2003 Service Pack 2
В РЕДАКЦИЯХ STANDARD И ENTERPRISE


РУКОВОДСТВО ПО НАСТРОЙКЕ ФУНКЦИЙ БЕЗОПАСНОСТИ
СЕРТИФИЦИРОВАННОЙ ВЕРСИИ











2011

2
Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
СОДЕРЖАНИЕ
1
Введение .......................................................................................................................... 5
2
Последовательность действий по настройке сертифицированной версии
операционной системы Microsoft
®
Windows Server

2003 ..................................... 9
2.1
Общие указания по настройке параметров безопасности сертифицированной версии операционной системы Microsoft® Windows Server 2003 .............................................. 9 2.1.1
Мастер настройки безопасности ............................................................................ 9 2.1.2
Групповая политика .............................................................................................. 11 2.2
Порядок применения объектов групповой политики для компьютеров, являющихся членами домена Active Directory ..................................................................................... 14 2.3
Общее описание порядка настройки компьютера в предопределенной конфигурации безопасности ...................................................................................................................... 17 2.3.1
Общий порядок создания политики безопасности с использованием «Мастера настройки безопасности» ...................................................................................... 18 2.3.2
Порядок преобразование политики безопасности в ОГП ................................. 26 2.4
Настройка компьютера, являющегося членом домена Active Directory, в конфигурации «Enterprise Client» .................................................................................... 27 2.4.1
Используемые шаблоны безопасности ................................................................ 27 2.4.2
Порядок применения шаблонов безопасности и объектов групповой политики28 2.5
Настройка компьютера, являющегося членом домена Active Directory, в конфигурации «Specialized Security – Limited Functionality» ....................................... 34 2.5.1
Используемые шаблоны безопасности ................................................................ 34 2.5.2
Порядок применения шаблонов безопасности и объектов групповой политики35 2.6
Настройка автономного компьютера под управлением ОС Microsoft
®
Windows
Server

2003, выступающего в роли бастион-хоста ...................................................... 42 2.6.1
Используемые шаблоны безопасности ................................................................ 42 2.6.2
Порядок настройки компьютера, выступающего в роли бастион-хоста ......... 43 2.7
Порядок отключения функции автоматического обновления операционной системы
Microsoft® Windows Server 2003 ..................................................................................... 47 2.8
Порядок отключения возможности самостоятельной смены пароля пользователем 53 2.9
Настройка дополнительных параметров безопасности операционной системы
Microsoft
®
Windows Server 2003 с использованием реестра ......................................... 55

3
Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
2.9.1
Порядок настройки дополнительных параметров безопасности ОС Microsoft®
Windows Server 2003.............................................................................................. 56 2.9.2
Рекомендованные значения дополнительно настраиваемых параметров безопасности ОС Microsoft® Windows Server 2003 ........................................... 62
3
Последовательность действий по контролю сертифицированной версии
операционной системы Microsoft
®
Windows Server 2003 ...................................... 73
3.1
Контроль маркирования сертифицированной версии операционной системы
Microsoft
®
Windows Server 2003 ...................................................................................... 73 3.2
Автоматизированный контроль сертифицированной версии операционной системы
Microsoft
®
Windows
®
Server 2003. ................................................................................... 74 3.2.1
Общие положения .................................................................................................. 74 3.2.2
Назначение программы «Server03_Check» ......................................................... 74 3.2.3
Установка и запуск на выполнение программы «Server03_Check» ................. 75 3.2.4
Выполнение программы «Server03_Check» ........................................................ 79 3.2.4.1
Проверка операционной системы на предмет соответствия сертифицированной версии и просмотр отчета по контролю системы .......... 79 3.2.4.2
Проверка обновлений и просмотр отчета по контролю обновлений системы ................................................................................................................... 81 3.2.4.3
Фиксация и контроль исполняемых файлов и библиотек .............................. 82 3.2.4.4
Установка значений параметров безопасности на сертифицированные конфигурации ......................................................................................................... 88 3.2.5
Установка параметров прокси-сервера ............................................................... 92 3.2.6
Поиск и диагностика неисправностей программы «Server03_Check» ............. 92
Приложение А ................................................................................................................... 94
А.1
Групповая политика .......................................................................................................... 94
А.2
Параметры безопасности компьютеров под управлением операционной системы
Microsoft
®
Windows Server 2003 ...................................................................................... 96
A.2.1
Описание параметров безопасности, общих для всех рядовых серверов в рамках домена Active Directory ............................................................................ 96
A.2.2
Описание параметров безопасности, специфичных для серверов, выступающих в роли батион-хоста .................................................................... 165
Приложение Б ................................................................................................................. 178
Б.1
Общие положения по подготовке к аттестации объектов информатизации по требованиям безопасности ............................................................................................. 178

4
Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
Б.2
Порядок подготовки к аттестации объектов информатизации по требованиям безопасности .................................................................................................................... 184

5
Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
1
Введение

Настоящий документ содержит рекомендации по настройке и контролю механизмов защиты операционных систем (ОС) семейства Microsoft
®
Windows Server 2003 при организации обработки конфиденциальной информации на объекте информатизации.
Представленные рекомендации применимы для сертифицированных по требованиям безопасности операционных систем:
- Microsoft
®
Windows Server 2003 Standard Edition Service Pack 2;
- Microsoft
®
Windows Server 2003 Enterprise Edition Service Pack 2.
(далее по тексту руководства – ОС Microsoft® Windows Server 2003 ).
Руководство предназначено для настройки механизмов защиты ОС Microsoft®
Windows Server 2003 в соответствии с той конфигурацией, в которой данное изделие было сертифицировано, а также подготовки объекта информатизации к аттестации на соответствие требованиям безопасности при обработке конфиденциальной информации.
Операционная система Microsoft® Windows Server 2003 может функционировать как на автономном компьютере (ПЭВМ), так и на компьютере в составе локальной вычислительной сети, логическая инфраструктура которой базируется на основе службы каталогов Microsoft
®
Active Directory тм
. В этом случае компьютер с установленной на нем ОС
Microsoft® Windows Server 2003 может быть включен в состав участников домена Active
Directory (и таким образом, управление политиками безопасности для него будет осуществляться централизованно), либо не входить в него, но иметь возможность сетевого взаимодействия с другими компьютерами в составе домена. Взаимодействие компьютера в данной конфигурации с остальными будет эквивалентно взаимодействию компьютеров в составе рабочей группы (Workgroup). В этом случае компьютер будет функционировать так же как автономный, и управление его параметрами безопасности будет осуществляться посредством локальной политики безопасности.
При включении компьютера с установленной на нем операционной системой
Microsoft® Windows Server 2003 в состав домена Active Directory он может выступать в качестве контроллера домена либо в качестве рядового сервера (member server), реализующего одну из ролей:

сервера служб сетевой инфраструктуры:

сервера протокола динамической настройки узлов (Dynamic Host Configuration
Protocol);

сервера служб имен Интернета для Windows (Windows Internet Name Service);

6
Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011

сервера служб доменных имен (Domain Name Service);

файлового сервера;

сервера печати;

сервера служб Интернета (Internet Information Services);

сервера служб проверки подлинности в Интернете (Internet Authentication
Services);

сервера служб сертификации (Certificate Services).
К рассматриваемому множеству ролей, которые могут быть реализованы компьютером под управлением операционной системой Microsoft® Windows Server 2003 , дополнительно следует отнести роль бастион-хоста (bastion host), в качестве которого обычно выступают компьютеры, расположенные в выделенном пограничном сегменте вычислительной сети (демилитаризованной зоне) и доступные извне (из сетей общего доступа), что подразумевает использование ими более ограничивающей политики безопасности и применение усиленных настроек безопасности.
Каждый из рассматриваемых вариантов функционирования операционной системы
Microsoft® Windows Server 2003 предусматривает две сертифицированные конфигурации безопасности:

«Enterprise Client» (EC);

«Specialized Security – Limited Functionality» (SSLF).

Конфигурация «Enterprise Client»
Данная конфигурация подразумевает наличие инфраструктуры домена Active
Directory, в состав которого включены компьютеры, функционирующие только под управлением операционных систем семейства Microsoft
®
Windows
®
2000, Microsoft
®
Windows
®
2003 Server, Microsoft
®
Windows
®
Vista, Microsoft
®
Windows Server 2003 и
Microsoft
®
Windows
®
XP Professional. Управление серверами и клиентскими компьютерами в данной среде происходит через использование групповой политики, предоставляющей механизм централизованного управления политиками безопасности для среды функционирования в целом. Применение групповой политики при этом осуществляется на различных уровнях иерархии каталога Active Directory (домены, организационные подразделения), что позволяет определять как общие для всех пользователей и компьютеров домена, так и специфичные для конкретной конфигурации и исполняемой роли, параметры безопасности.


7
Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
Конфигурация «Specialized Security – Limited Functionality»
Конфигурация «Specialized Security – Limited Functionality» подразумевает наличие более ограничивающей политики безопасности и усиленные настройки безопасности для серверов под управлением операционной системы Microsoft® Windows Server 2003 по сравнению с конфигурацией «Enterprise Client». При применении данных настроек безопасности функциональность пользователя ограничивается полномочиями на выполнение только необходимых задач.
В каждом конкретном случае выбор конфигурации безопасности определяется исходя из критерия «безопасность-производительность».
Таким образом, исходя из рассмотренных режимов функционирования и конфигураций безопасности, можно выделить следующие варианты функционирования операционной системы Microsoft® Windows Server 2003 (см. таблицу 1.1).
Таблица 1.1

Варианты функционирования операционной системы Microsoft® Windows
Server 2003
№ п/п
Варианты функционирования операционной системы
ОС Microsoft® Windows Server 2003 на компьютере в составе домена Active
Directory в конфигурации «Enterprise Client»
1.
Компьютер в конфигурации «Enterprise Client», функционирующий в качестве контроллера домена.
2.
Компьютер в конфигурации «Enterprise Client», функционирующий в качестве рядового сервера домена.
ОС Microsoft® Windows Server 2003 на компьютере в составе домена Active
Directory в конфигурации «Specialized Security – Limited Functionality»
3.
Компьютер в конфигурации «Specialized Security – Limited Functionality», функционирующий в качестве контроллера домена.
4.
Компьютер в конфигурации «Specialized Security – Limited Functionality», функционирующий в качестве рядового сервера домена.
ВНИМАНИЕ:
Представленные в настоящем руководстве рекомендации по настройке механизмов защиты ОС Microsoft® Windows Server 2003 должны быть предварительно протестированы и апробированы в тестовой среде перед их применением в действующей вычислительной среде организации, в рамках которой предполагается

8
Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
функционирование ПЭВМ под управлением указанной ОС, настроенной в соответствии с сертифицированной конфигурацией безопасности.

9
Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
2

Последовательность действий по настройке сертифицированной
версии операционной системы Microsoft
®
Windows Server

2003
2.1

Общие указания по настройке параметров безопасности сертифицированной
версии операционной системы Microsoft® Windows Server 2003
Для настройки параметров безопасности сертифицированной версии операционной системы Microsoft® Windows Server 2003 администратор эксплуатирующей организации
(администратор безопасности) может воспользоваться инструментальным средством
«Мастер настройки безопасности» (Security Configuration Wizard) и механизмами, реализуемыми групповой политикой. Совместное использование указанных средств позволяет обеспечить большую управляемость, гибкость, комплексность подхода и согласованность в процессе управления настройками параметров безопасности компьютеров под управлением ОС Microsoft® Windows Server 2003 .
2.1.1

Мастер настройки безопасности
«Мастер настройки безопасности» представляет собой инструментальное средство, позволяющее обеспечить снижение количества возможных атак в отношении компьютеров, функционирующих под управлением операционных систем семейства Microsoft® Windows
Server 2003 . Основным назначением «Мастера настройки безопасности» является предоставление администратору безопасности возможности быстрого и точного определения требуемой функциональности, реализуемой данным компьютером, и последующее конфигурирование системы в соответствии с выполняемой компьютером ролью. С использованием «Мастера настройки безопасности» администратор безопасности может создавать, тестировать, отлаживать и развертывать политики безопасности, которые отключают ненужную функциональность ОС Microsoft® Windows Server 2003 , обеспечивая тем самым большую защищенность компьютера.
«Мастер настройки безопасности» позволяет выполнять настройку:

параметров системных служб (исходя из реализуемых компьютером ролей);

параметров сетевой безопасности системы (брандмауэра Windows и IPSec);

параметров реестра;

политики аудита;

служб IIS.

10
Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
Создаваемая с использованием «Мастера настройки безопасности» политика безопасности базируется на определенных для данного компьютера ролях (например, файлового сервера или сервера печати). При этом созданная политика может быть протестирована и применена как к указанному компьютеру, так и к другим компьютерам, реализующим роли, аналогичные ролям выбранного сервера.
Роль компьютера определяется набором системных служб, открытыми сетевыми портами и требованиями к службам IIS, необходимыми для выполнения указанной роли.
Список системных служб, порты для входящего сетевого трафика и другие параметры, требуемые для реализации каждой роли, отличаются. В результате политики безопасности, создаваемые «Мастером настройки безопасности» для серверов, выполняющих различные роли, также различаются.
Политики, создаваемые «Мастером настройки безопасности», представляют собой файлы в формате XML (для хранения которых используется папка %systemdir%\ security\msscw\Policies), в которых могут содержаться параметры для системных служб, брандмауэра Windows, IPSec, значений реестра, политики аудита, служб IIS, а также параметры безопасности, импортируемые из предопределенных шаблонов безопасности.
Развертывание созданной политики безопасности может осуществляться с помощью:

графического интерфейса «Мастера настройки безопасности», делающим процедуру настройки наиболее простой и интуитивно понятной;

утилиты командной строки Scwcmd.exe.
При этом с использованием графического интерфейса «Мастера настройки безопасности» администратор безопасности может осуществить как создание политики безопасности требуемой конфигурации, так и ее применение. Однако с помощью «Мастера настройки безопасности» политика безопасности в один момент времени может быть применена только к одному компьютеру.
В случае необходимости применения единой политики безопасности к определенному множеству компьютеров, реализующих одинаковую функциональность (например, ко всем файловым серверам организации), без использования механизма групповой политики, обеспечиваемого службой каталогов Active Directory, необходимо использовать утилиту командной строки Scwcmd.exe. Основным недостатком данного метода распространения политики безопасности является необходимость вручную указывать имя требуемой политики и имена компьютеров, к которым ее требуется применять, что повышает вероятность ошибки при выполнении данной операции. Кроме того, если имеется ряд компьютеров с отличающейся конфигурацией (например, набором автоматически

11
Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
запускаемых системных служб или открытых сетевых портов), администратор безопасности вынужден будет создавать отдельные политики для каждого компьютера и также по отдельности их применить. Исходя из указанных выше ограничений по применению утилиты командной строки Scwcmd.exe ее использование для развертывания политик безопасности рекомендуется ограничить.
2.1.2

Групповая политика
Операционная система Microsoft® Windows Server 2003 сертифицирована в конфигурациях безопасности «Enterprise Client» и «Specialized Security – Limited
Functionality» для вариантов функционирования, перечисленных в таблице 1.1.
Для реализации политик безопасности, соответствующих конфигурациям «Enterprise
Client» или «Specialized Security – Limited Functionality», администратор эксплуатирующей организации может настроить параметры безопасности (см. Приложение А) самостоятельно, либо (что является более предпочтительным) использовать предопределенные значения параметров безопасности, представленные в файлах шаблонов безопасности, размещенных на компакт-диске, входящем в комплект поставки сертифицированной версии операционной системы Microsoft® Windows Server 2003 или в Центе сертификационных обновлений производителя сертифицированной версии ПО http://www.altx-soft.ru/downloads.htm.
Использование шаблонов безопасности позволяет упростить выполнение задач администрирования, поскольку обеспечивает приведение к единой конфигурации безопасности заданного множества компьютеров в рамках одного домена.
По умолчанию, на компьютерах под управлением операционной системы Microsoft®
Windows Server 2003 для хранения шаблонов безопасности используется папка
%SystemRoot%\security\templates. Данная папка не реплицируется между контроллерами домена. Таким образом, во избежание возникновения проблем с управлением версиями шаблонов безопасности, должно быть определено место для организации централизованного хранения оригинала шаблонов (как правило, для этой цели используется какой-либо из контроллеров домена или выделенный файловый сервер). Оптимальной является практика, когда изменения всегда вносятся в одну и ту же копию шаблонов безопасности. Оригинальную копию шаблонов безопасности необходимо хранить в защищенном от несанкционированного доступа месте, доступ к которому предоставляется только администраторам.
Настройку параметров безопасности компьютера под управлением операционной системы Microsoft® Windows Server 2003 , являющегося членом домена Active Directory, в

12


Поделитесь с Вашими друзьями:
  1   2   3   4   5   6   7   8   9   ...   14


База данных защищена авторским правом ©nethash.ru 2017
обратиться к администрации

войти | регистрация
    Главная страница


загрузить материал