Руководство по безопасной настройке и контролю сертифицированной версии зао «алтэкс-софт», 2011



Скачать 15.71 Kb.

страница2/14
Дата26.11.2016
Размер15.71 Kb.
Просмотров340
Скачиваний0
ТипРуководство
1   2   3   4   5   6   7   8   9   ...   14
Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
соответствии с конфигурациями «Enterprise Client» или «Specialized Security – Limited
Functionality» (см. Приложение А) необходимо осуществлять через использование групповых политик, применяемых на уровне домена и организационных подразделений
(контейнеров, содержащих учетные записи компьютеров), что позволит всем компьютерам, на которые распространяется групповая политика, автоматически применить единую конфигурацию безопасности.
Альтернативой централизованному применению групповой политики является настройка каждого компьютера вручную. Рекомендованные для конфигураций «Enterprise
Client» и«Specialized Security – Limited Functionality» (см. Приложение А) позволят обеспечить безопасность компьютеров под управлением операционной системы Microsoft®
Windows Server 2003 , и создать среду, защищенную от большинства современных угроз безопасности, обеспечив тем самым эффективное и непрерывное предоставление ими требуемых сервисов и услуг.
Таким образом, в зависимости от режимов функционирования (в автономном режиме или в составе домена Active Directory) шаблоны безопасности необходимо включать либо в локальный объект групповой политики, либо в объекты групповой политики.
Примечание:
В данном случае предполагается, что объекты групповой политики, базируемые на
Active Directory, будут создаваться с использованием утилиты командной строки
Scwcmd.exe на основе политик безопасности, формируемых «Мастером настройки безопасности».
Соответствие возможных вариантов функционирования операционной системы
Microsoft® Windows Server 2003 и применяемых шаблонов безопасности приведено в таблице 2.1.

© ЗАО «АЛТЭКС-СОФТ», 2011

Таблица 2.1 – Соответствие возможных вариантов функционирования ОС Microsoft® Windows Server 2003 и применяемых шаблонов безопасности
№ п/п
Роли, реализуемые компьютером
Конфигурация безопасности «Enterprise
Client»
Конфигурация безопасности
«Specialized Security – Limited
Functionality»
1.

Контроллер домена
WS03-EC-Domain.inf
WS03-SSLF-Domain.inf
WS03-EC-Domain-Controller.inf
WS03- SSLF-Domain-Controller.inf
2.

Рядовой сервер домена
WS03-EC-Domain.inf
WS03-SSLF-Domain.inf
WS03-EC-Member-Server.inf
WS03-SSLF-Member-Server.inf
3.

Бастион-хост
Вариант функционирования не предусмотрен
WS03-SSLF-Bastion-Host.inf

Операционная система Microsoft
®
Windows Server

2003 Service Pack 2.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
14
2.2

Порядок применения объектов групповой политики для компьютеров,
являющихся членами домена Active Directory
Порядок применения объектов групповой политики строго иерархичен и по умолчанию предусматривает наследование от структурных объектов Active Directory высокого уровня к объектам более низкого уровня. Групповые политики применяются в следующем порядке:
1.
Local group policy – локальная групповая политика;
2.
Site-level group policies – групповые политики, применяемая на уровне сайта
(область вычислительной сети, обеспечивающей объединение контроллеров домена высокоскоростными и надежными каналами связи);
3.
Domain-level group policies - групповые политики, применяемая на уровне домена Active Directory;
4.
OU-level group policies – групповые политики уровня организационного подразделения (ОП - это контейнер, используемый для объединения объектов домена в логические административные группы).
Применению групповой политики, содержащей параметры безопасности, соответствующие сертифицированным конфигурациям «Enterprise Client» или «Specialized
Security

Limited
Functionality», должно предшествовать выполнение ряда подготовительных операций, а именно:

создание иерархии организационных подразделений, содержащих учетные записи компьютеров с установленной операционной системой Microsoft® Windows
Server 2003 , выполняющих одинаковые роли;

создание на уровне домена объекта групповой политики и импортирование в него шаблона безопасности, определяющего политику учетных записей и используемого для конфигурирования общих для всех компьютеров домена параметров безопасности;

преобразование политик безопасности, созданных с использованием «Мастера настройки безопасности», в соответствующие объекты групповой политики
(ОГП);

осуществление привязки созданных ОГП к конкретным организационным подразделениям.

Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
15
Иерархия организационных подразделений предусматривает создание администратором необходимого количества контейнеров, содержащих учетные записи компьютеров, реализующих единые роли. В частности, в рамках одного организационного подразделения должны быть объединены учетные записи компьютеров с установленной операционной системой Microsoft® Windows Server 2003 , реализующих одну из предопределенных в данном руководстве ролей, например, роль сервера служб сетевой инфраструктуры. В свою очередь данные организационные подразделения, учитывающие специфику реализуемой компьютером роли, должны быть объединены в рамках единого родительского ОП, что позволит применить к указанным компьютерам параметры безопасности, общие для всех рядовых серверов в рамках домена.
Иерархия создаваемых объектов групповой политики должна базироваться на существующей иерархии ОП и предусматривать следующие уровни:

Domain Level – объект групповой политики данного уровня устанавливает политику учетных записей и используется для конфигурирования общих для всего домена параметров безопасности;

Baseline Level – объекты групповой политики, применяемые на данном уровне, задают параметры безопасности, общие для рядовых серверов в рамках всего домена. Привязка объекта групповой политики данного уровня осуществляется к организационному подразделению, объединяющему учетные записи всех рядовых серверов, реализующих предопределенные роли;

Role Specific Level – на данном уровне определяются параметры безопасности, учитывающие особенности, связанные с выполнением компьютером определенной роли. Поскольку требования безопасности, предъявляемые к одним серверам (например, к серверам служб сетевой инфраструктуры), могут отличаться от требований, предъявляемым к другим серверам (например, к серверам служб Интернета IIS), групповая политика должна быть определена для каждой роли серверов, что влечет за собой необходимость создания отдельного
ОГП для каждого ОП, содержащего учетные записи компьютеров, реализующих одну из предопределенных ролей.
Структурная схема иерархии организационных подразделений и сопоставленных с ними объектов групповой политики с учетом импортируемых шаблонов безопасности на примере конфигурации «Enterprise Client» представлена на рисунке 2.1.

Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
16
Рисунок 2.1 – Иерархия ОП и применяемых ОГП

Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
17
2.3

Общее описание порядка настройки компьютера в предопределенной
конфигурации безопасности
Предпочтительным способом настройки компьютера в соответствии с сертифицированной конфигурацией безопасности, исходя из выполняемой им роли, является совместное использование рассмотренных выше средств, предусматривающее:

создание и тестирование политики безопасности с использованием графического интерфейса «Мастера настройки безопасности»;

преобразование с использованием утилиты командной строки Scwcmd.exe полученной политики безопасности в объект групповой политики (файлы политик в формате XML, созданные «Мастером настройки безопасности», преобразуются в форматы, распознаваемые различными расширениями групповой политики);

осуществление привязки созданных объектов групповой политики к конкретным организационным подразделениям в иерархии структурных объектов Active
Directory, что позволит обеспечить применение единых параметров безопасности к компьютерам под управлением операционной системы Microsoft® Windows Server
2003 в соответствии с требуемыми конфигурациями безопасности.
Примечание:
Применение политик, созданных «Мастером настройки безопасности», на компьютерах, функционирующих под управлением ОС более ранних версий, чем
Microsoft
®
Windows Server 2003 Service Pack 2/ Microsoft
®
Windows Server 2003 R2
Service Pack 2, не поддерживается. Следует использовать возможности фильтров
WMI групповой политики, чтобы политики, созданные «Мастером настройки безопасности», не применялись на компьютерах, функционирующих под управлением ОС более ранних версий.
Таким образом, для настройки компьютеров в предопределенной конфигурации безопасности в данном руководстве предлагается применить комбинированный подход, в рамках которого объединены преимущества использования «Мастера настройки безопасности» и механизма групповой политики. Это позволит администраторам эксплуатирующих организаций обеспечить простоту создания, тестирования и отладки конфигураций безопасности, а также гибкость и масштабируемость, которые требуются при управлении большими вычислительными сетями на базе Microsoft
®
Windows.

Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
18
В общем случае процесс настройки компьютеров под управлением ОС Microsoft®
Windows Server 2003 в предопределенной конфигурации безопасности с учетом реализуемой ими роли предусматривает выполнение следующих действий:
1.
Создание иерархии организационных подразделений, содержащих учетные записи компьютеров с установленной операционной системой Microsoft®
Windows Server 2003 , выполняющих одинаковые роли (см. рисунок 2.1).
2.
Настройку групповой политики, определяемой на уровне домена Active Directory.
3.
Создание и тестирование с использованием «Мастера настройки безопасности» базовой политики безопасности (baseline policy), определяющей общие для всех рядовых серверов в рамках домена параметры и настройки безопасности.
4.
Преобразование полученной политики безопасности в ОГП и его привязка к соответствующему организационному подразделению, объединяющему учетные записи всех рядовых серверов, реализующих предопределенные роли.
5.
Создание и тестирование с использованием «Мастера настройки безопасности» политик безопасности, учитывающих особенности, связанные с выполнением компьютером предопределенной серверной роли.
6.
Преобразование полученных политик безопасности в ОГП и их привязка к соответствующим организационным подразделениям, содержащим учетные записи компьютеров, реализующих одну из предопределенных ролей.
2.3.1

Общий порядок создания политики безопасности с использованием «Мастера
настройки безопасности»
Создание политики безопасности с использованием инструментального средства
«Мастер настройки безопасности» должно осуществляться на компьютере с вновь инсталлированной операционной системой Microsoft® Windows Server 2003 . Это позволит обеспечить отсутствие нелегитимного программного обеспечения и непротиворечивость выполняемых настроек безопасности. Данный компьютер должен входить в состав домена
Active Directory и иметь набор всего необходимого для выполнения им своей роли программного обеспечения.
Для создания политики безопасности администратор эксплуатирующей организации должен выполнить следующие действия:
1.
Установить «Мастер настройки безопасности». Для этого нажать кнопку «Пуск», выбрать «Панель управление» и далее «Установка и удаления программ». В диалоговом окне

Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
19
«Установка и удаления программ» выбрать пункт меню «Установка компонент Windows». В появившемся окне «Мастера компонентов Windows» выбрать компонент «Мастер настройки безопасности» и нажать «Далее». В последующем следовать появляющимся на экране указаниям по установке инструментального средства «Мастер настройки безопасности».
2.
По окончанию установки запустить «Мастер настройки безопасности» и в качестве выполняемого действия выбрать «Создать новую политику безопасности» (см. рисунок 2.2). Нажать «Далее».
Рисунок 2.2 3.
Выбрать сервер (ввести DNS-имя, NetBIOS-имя или IP-адрес компьютера), который будет использоваться в качестве образца (reference computer) для создаваемой политики безопасности, и нажать «Далее».
4.
По окончанию обработки базы данных настройки безопасности нажать «Далее».
5.
В разделе выбора ролей осуществить выбор требуемых ролей сервера, выполняемых данным компьютером (см. рисунок 2.3), и нажать «Далее».

Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
20
Рисунок 2.3 6.
В разделе выбора клиентских возможностей необходимо убедиться в правильности выбранных клиентских возможностей, которые могут реализовываться данным сервером (см. рисунок 2.4), и нажать «Далее». Клиентские возможности сервера определяются требуемым для соответствующих ролей набором системных служб.

Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
21
Рисунок 2.4 7.
С учетом требований вычислительной среды осуществить выбор необходимых возможностей администрирования, используемых администратором безопасности для управления выбранным сервером, и нажать «Далее».
8.
Выбрать дополнительные службы, которые требуются для данного сервера, и нажать «Далее».
9.
На странице «Обработка неопределенных служб» произвести настройку режима запуска служб, которые отсутствуют в базе данных настройки безопасности «Мастера настройки безопасности» и не установлены в настоящее время на сервере, используемом в качестве образца для создания политики безопасности, но которые могут быть установлены на других компьютерах, на которых планируется применять создаваемую политику безопасности.
10.
На странице «Подтверждение изменений для служб» просмотреть список вех изменений, вносимых данной политикой безопасности в работу системных служб на выбранном сервере, и в случае согласия нажать «Далее» (см. рисунок 2.5).

Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
22
Рисунок 2.5 11.
В разделе настройки сетевой безопасности на странице «Открытие портов и одобрение приложений» осуществить требуемую настройку брандмауэра Windows, перечислив необходимые сетевые порты, которые должны быть открыты, исходя из реализуемых компьютером ролей, запущенных приложений и решаемых административных задач (см. рисунок 2.6). Нажать «Далее».

Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
23
Рисунок 2.6 12.
Выполнить подтверждение параметров настройки сетевых портов и нажать
«Далее».
13.
Пропустить настройку разделов «Параметры реестра» и «Политика аудита», с использованием «Мастера настройки безопасности», выбрав опцию «Пропустить этот раздел» (см. рисунок 2.7).

Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
24
Рисунок 2.7 14.
На странице задания имени файла политики безопасности включить в политику соответствующий шаблон безопасности, исходя из реализуемой компьютером роли (см. таблицу 2.1). Для этого нажать «Включение шаблонов безопасности…» и посредством кнопки «Добавить» выбрать соответствующий шаблон безопасности, который необходимо включить в созданную политику безопасности для последующей настройки серверов в требуемой конфигурации безопасности (см. рисунок 2.8).

Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
25
Рисунок 2.8 15.
На странице выбора вариантов применения созданной политики безопасности выбрать опцию «Применять позже», нажать «Далее» и завершить работу «Мастера настройки безопасности».
Примечание:
По окончанию создания политики безопасности администратору безопасности рекомендуется провести тестирование созданной политики в тестовой среде с целью оценки степени ее влияния на функциональность серверов, на которых предполагается ее применение. Использование данного подхода поможет выявить и зафиксировать потенциальные проблемы, которые могут возникнуть при применении политики безопасности (например, в случае запрета запуска служб, которые необходимы для функционирования сервера).

Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
26
2.3.2

Порядок преобразование политики безопасности в ОГП
Для преобразования политики безопасности, созданной с использованием «Мастера настройки безопасности», в объект групповой политики в командной строке необходимо осуществить запуск утилиты Scwcmd.exe со следующими параметрами: scwcmd transform /p:<Путь_к_Файлу_политики.xml> /g:<Имя_ОГП>
Примечание:

Для выполнения операций преобразования необходимо обладать административными полномочиями в системе (учетная запись, с использованием которой осуществлялся вход в систему, должна быть членом группы безопасности «Администраторы домена»).

Операция преобразования должна выполняться с сервера, входящего в домен, в котором будет применен объект групповой политики.
Пример преобразования политики безопасности FileServer.xml, созданной с использованием «Мастера настройки безопасности», в объект групповой политики с именем
FileServersGPO с использованием утилиты командной строки Scwcmd.exe представлен на рисунке 2.9.
Рисунок 2.9.
По окончанию создания объекта групповой политики администратор безопасности должен осуществить привязку полученного ОГП к соответствующему организационному подразделению, содержащему учетные записи серверов, реализующих одну из предопределенных ролей. Это позволит применить к серверам, реализующих одинаковую роль, единую политику безопасности.

Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
27
2.4

Настройка компьютера, являющегося членом домена Active Directory, в
конфигурации «Enterprise Client»
2.4.1

Используемые шаблоны безопасности
Для автоматической настройки параметров политики учетных записей следует импортировать шаблон безопасности WS03-EC-Domain.inf в требуемый объект групповой политики, определяемый на уровне домена (в частности, в ОГП «Default Domain Policy» - политика домена, используемая по умолчанию), на контроллере домена под управлением операционной системы Microsoft
®
Windows Server 2003
тм
Для настройки общих для всех рядовых серверов в рамках домена параметров безопасности необходимо с использованием «Мастера настройки безопасности» создать соответствующую политику (см. пп.2.3.1 настоящего Руководства), учитывающей требуемые аспекты безопасности, и включить в нее шаблон безопасности WS03-EC-Member-Server.inf
Далее с использованием утилиты командной строки Scwcmd.exe преобразовать полученную политику в соответствующий объект групповой политики и осуществить его привязку к организационному подразделению, содержащему учетные записи всех рядовых серверов домена (ОП «Member Servers»), реализующих предопределенные роли (см. рисунок
2.1).
Для настройки параметров безопасности, учитывающих особенности, связанные с выполнением компьютером определенной роли, необходимо с использованием «Мастера настройки безопасности» дополнительно создать соответствующую политику безопасности, включив в нее требуемый шаблон безопасности (см. таблицу 2.2). Далее с использованием утилиты командной строки Scwcmd.exe преобразовать полученную политику в ОГП и осуществить его привязку к организационному подразделению, содержащему учетные записи компьютеров, реализующих одинаковую роль. Соответствие между реализуемыми компьютером под управлением ОС Microsoft® Windows Server 2003 в конфигурации
«Enterprise Client» ролями и включаемыми в политики безопасности шаблонами представлено в таблице 2.2.

Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
28
Таблица 2.2 - Соответствие возможных вариантов функционирования ОС Microsoft®
Windows Server 2003 в конфигурации «Legacy Client» и применяемых шаблонов безопасности

п/п
Роли, реализуемые ОО
Применяемые шаблоны безопасности
1.

Контроллер домена
WS03-EC-Domain-Controller.inf
2.

Сервер служб сетевой инфраструктуры
WS03-EC-Member-Server.inf
3.

Файловый сервер
4.

Сервер печати
5.

Сервер служб Интернета
6.

Сервер служб проверки подлинности
7.

Сервер служб сертификации


Поделитесь с Вашими друзьями:
1   2   3   4   5   6   7   8   9   ...   14


База данных защищена авторским правом ©nethash.ru 2017
обратиться к администрации

войти | регистрация
    Главная страница


загрузить материал