Руководство по безопасной настройке и контролю сертифицированной версии зао «алтэкс-софт», 2011



Скачать 15.71 Kb.

страница3/14
Дата26.11.2016
Размер15.71 Kb.
Просмотров312
Скачиваний0
ТипРуководство
1   2   3   4   5   6   7   8   9   ...   14

2.4.2

Порядок применения шаблонов безопасности и объектов групповой политики
Импорт шаблона безопасности WS03-EC-Domain.inf необходимо осуществлять с использованием редактора соответствующего объекта групповой политики, определяемого на уровне домена (например, ОГП «Default Domain Policy»). Чтобы импортировать шаблон безопасности в соответствующий ОГП необходимо выполнить следующие действия:
1.
Нажать кнопку «Пуск», выбрать пункт «Выполнить…», в поле «Открыть» диалогового окна «Запуск программы» набрать команду dsa.msc и нажать «ОК».
2.
В появившемся окне оснастки консоли управления «Active Directory – пользователи и компьютеры» выделить имя домена (например, domain-name.com) и посредством пункта «Свойства» контекстного меню получить доступ к диалоговому окну свойств существующего домена. Далее, перейти на вкладку «Групповая политика» (см. рисунок 2.10).

Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
29
Рисунок 2.10 3.
Вызвать редактор объектов групповой политики (Group Policy Object Editor). Для этого необходимо выбрать требуемый объект групповой политики, определяемый на уровне домена, (в частности, ОГП «Default Domain Policy») и нажать «Изменить». В случае если существует необходимость, администратором на уровне домена может быть создан новый объект групповой политики с привязкой к указанному домену. Для этого в окне свойств существующего домена на вкладке «Групповая политика» следует нажать «Создать» и ввести имя нового объекта групповой политики.
4.
В окне редактора объектов групповой политики выбрать узел «Конфигурация компьютера» и перейти к разделу «Конфигурация Windows».
5.
Выделить папку «Параметры безопасности» и посредством контекстного меню выбрать пункт «Импорт политики».
6.
В появившемся диалоговом окне импорта политики выбрать шаблон безопасности WS03-EC-Domain.inf, и нажать кнопку «Открыть». После чего параметры безопасности импортируются из выбранного файла в текущий объект групповой политики
(см. рисунок 2.11).

Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
30
Рисунок 2.11 7.
Закрыть редактор объектов групповой политики.
8.
В командной строке выполнить команду gpudate.exe /force, позволяющую осуществить принудительную репликацию и обновление измененной политики безопасности контроллерами домена (см. рисунок 2.12).
Рисунок 2.12 9.
Проанализировать журнал регистрации событий «Приложение» на предмет наличия ошибок, которые могли возникнуть на этапе репликации или обновления политики безопасности. В случае успешного применения политики безопасности в объекте групповой политики в журнале «Приложение» должно быть зарегистрировано событие с кодом
ID:1704 (см. рисунок 2.13).

Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
31
Рисунок 2.13
При назначении политики учетных записей на уровне домена необходимо убедиться, что в списке управления доступом ACL соответствующего объекта групповой политики для пользователей и компьютеров домена определены разрешения «Чтение» и «Применение групповой политики». Если в списке управления доступом не будут определены требуемые значения, политика учетных записей к указанным субъектам применена не будет.
Кроме того, для объекта групповой политики должен быть применен параметр принудительного наследования «Не перекрывать: другие объекты групповой политики не могут перекрывать параметры этой политики», позволяющий применять групповую политику ко всем пользователям и компьютерам независимо от того, где они расположены, и обеспечивающий невозможность перекрытия параметров данного
ОГП параметрами других ОГП (см. рисунок 2.14).

Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
32
Рисунок 2.14
Чтобы применить единые параметры безопасности для всех рядовых серверов домена необходимо:
1.
Создать с использованием «Мастера настройки безопасности» политику безопасности, включающую в себя шаблон безопасности WS03-EC-Member-Server.inf
(порядок создания политики описан в пп.2.3.1).
2.
Преобразовать с использованием утилиты командной строки Scwcmd.exe созданную политику безопасности в объект групповой политики (порядок использования утилиты описан в пп.2.3.2).
3.
Привязать созданный объект групповой политики к организационному подразделению, содержащему учетные записи рядовых серверов домена под управлением
ОС Microsoft® Windows Server 2003 , реализующих предопределенные роли.
Чтобы привязать объект групповой политики к соответствующему организационному подразделению необходимо выполнить следующие действия:
1.
Нажать кнопку «Пуск», выбрать пункт «Выполнить…», в поле «Открыть» диалогового окна «Запуск программы» набрать команду dsa.msc и нажать «ОК».
2.
В появившемся окне оснастки консоли управления «Active Directory –

Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
33
пользователи и компьютеры» выделить имя организационного подразделения (например,
Member Servers) и посредством пункта «Свойства» контекстного меню получить доступ к диалоговому окну свойств указанного ОП. Далее перейти на вкладку «Групповая политика».
3.
Привязать объект групповой политики к соответствующему организационному подразделению. Для этого в окне свойств соответствующего организационного подразделения на вкладке «Групповая политика» нажать «Добавить», в появившемся диалоговом окне добавления ссылки на ОГП перейти на вкладку «Все» и выбрать соответствующий объект групповой политики (см. рисунок 2.15).
Рисунок 2.15
Для указанного объекта групповой политики должен быть применен параметр принудительного наследования «Не перекрывать: другие объекты групповой политики не могут перекрывать параметры этой политики», что не позволит ОГП, определяемых на более низких уровнях иерархии ОП, переопределять заданные данной

Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
34
групповой политикой параметры безопасности.
4.
В командной строке выполнить команду gpudate.exe /force, позволяющую осуществить принудительную репликацию и обновление измененной политики безопасности контроллерами домена.
5.
Проанализировать журнал регистрации событий «Приложение» на предмет наличия ошибок, которые могли возникнуть на этапе репликации или обновления политики безопасности. В случае успешного применения политики безопасности в объекте групповой политики в журнале «Приложение» должно быть зарегистрировано событие с кодом
ID:1704.
Применение единых параметров безопасности для рядовых серверов под управлением
ОС Microsoft® Windows Server 2003 , реализующих конкретную роль, также необходимо осуществлять путем создания отдельных политик безопасности, учитывающих специфичные для конкретной роли рядового сервера параметры безопасности (соответствие между реализуемой компьютером ролью и включаемым в политику шаблоном безопасности представлено в таблице 2.2), последующего их преобразования с помощью утилиты командной строки Scwcmd.exe в объекты групповой политики и привязки полученных
ОГП к соответствующим организационном подразделениям, содержащим учетные записи данных компьютеров.
Все действия по созданию политики безопасности с использованием «Мастера настройки безопасности» описаны в пп.2.3.1 настоящего руководства, порядок привязки созданных ОГП к соответствующему организационному подразделению аналогичен той же последовательности действий, которая описана выше.
2.5

Настройка компьютера, являющегося членом домена Active Directory, в
конфигурации «Specialized Security – Limited Functionality»
2.5.1

Используемые шаблоны безопасности
Для автоматической настройки параметров политики учетных записей следует импортировать шаблон безопасности WS03-SSLF-Domain.inf в требуемый объект групповой политики, определяемый на уровне домена (в частности, в ОГП «Default Domain
Policy» - политика домена, используемая по умолчанию), на контроллере домена под управлением операционной системы Microsoft
®
Windows Server 2003
тм
Для настройки общих для всех рядовых серверов в рамках домена параметров безопасности необходимо с использованием «Мастера настройки безопасности» создать

Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
35
соответствующую политику (см. пп.2.3.1 настоящего Руководства), учитывающей требуемые аспекты безопасности, и включить в нее шаблон безопасности WS03-SSLF-Member-
Server.inf. Далее с использованием утилиты командной строки Scwcmd.exe преобразовать полученную политику в соответствующий объект групповой политики и осуществить его привязку к организационному подразделению, содержащему учетные записи всех рядовых серверов домена (ОП «Member Servers»), реализующих предопределенные роли (см. рисунок
2.1).
Для настройки параметров безопасности, учитывающих особенности, связанные с выполнением компьютером определенной роли, необходимо с использованием «Мастера настройки безопасности» дополнительно создать соответствующую политику безопасности, включив в нее требуемый шаблон безопасности (см. таблицу 2.3). Далее с использованием утилиты командной строки Scwcmd.exe преобразовать полученную политику в ОГП и осуществить его привязку к организационному подразделению, содержащему учетные записи компьютеров, реализующих одинаковую роль. Соответствие между реализуемыми компьютером под управлением ОС Microsoft® Windows Server 2003 в конфигурации
«Enterprise Client» ролями и включаемыми в политики безопасности шаблонами представлено в таблице 2.3.
Таблица 2.3 - Соответствие возможных вариантов функционирования ОС Microsoft®
Windows Server 2003 в конфигурации «Enterprise Client» и применяемых шаблонов безопасности

п/п
Роли, реализуемые ОО
Применяемые шаблоны безопасности
1.

Контроллер домена
WS03-SSLF-Domain-Controller.inf
2.

Сервер служб сетевой инфраструктуры
WS03-SSLF-Member-Server.inf
3.

Файловый сервер
4.

Сервер печати
5.

Сервер служб Интернета

2.5.2

Порядок применения шаблонов безопасности и объектов групповой политики
Импорт шаблона безопасности WS03-SSLF-Domain.inf необходимо осуществлять с использованием редактора соответствующего объекта групповой политики, определяемого

Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
36
на уровне домена (например, ОГП «Default Domain Policy»). Чтобы импортировать шаблон безопасности в соответствующий ОГП необходимо выполнить следующие действия:
1.
Нажать кнопку «Пуск», выбрать пункт «Выполнить…», в поле «Открыть» диалогового окна «Запуск программы» набрать команду dsa.msc и нажать «ОК».
2.
В появившемся окне оснастки консоли управления «Active Directory – пользователи и компьютеры» выделить имя домена (например, domain-name.com) и посредством пункта «Свойства» контекстного меню получить доступ к диалоговому окну свойств существующего домена. Далее, перейти на вкладку «Групповая политика» (см. рисунок 2.16).
Рисунок 2.16 3.
Вызвать редактор объектов групповой политики (Group Policy Object Editor). Для этого необходимо выбрать требуемый объект групповой политики, определяемый на уровне домена, (в частности, ОГП «Default Domain Policy») и нажать «Изменить». В случае, если существует необходимость, администратором на уровне домена может быть создан новый объект групповой политики с привязкой к указанному домену. Для этого в окне свойств существующего домена на вкладке «Групповая политика» следует нажать «Создать» и ввести имя нового объекта групповой политики.

Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
37
4.
В окне редактора объектов групповой политики выбрать узел «Конфигурация компьютера» и перейти к разделу «Конфигурация Windows».
5.
Выделить папку «Параметры безопасности» и посредством контекстного меню выбрать пункт «Импорт политики».
6.
В появившемся диалоговом окне импорта политики выбрать шаблон безопасности WS03-SSLF-Domain.inf, и нажать кнопку «Открыть». После чего параметры безопасности импортируются из выбранного файла в текущий объект групповой политики
(см. рисунок 2.17).
Рисунок 2.17 7.
Закрыть редактор объектов групповой политики.
8.
В командной строке выполнить команду gpudate.exe /force, позволяющую осуществить принудительную репликацию и обновление измененной политики безопасности контроллерами домена (см. рисунок 2.18).

Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
38
Рисунок 2.18 9.
Проанализировать журнал регистрации событий «Приложение» на предмет наличия ошибок, которые могли возникнуть на этапе репликации или обновления политики безопасности. В случае успешного применения политики безопасности в объекте групповой политики в журнале «Приложение» должно быть зарегистрировано событие с кодом
ID:1704 (см. рисунок 2.19).
Рисунок 2.19

Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
39
При назначении политики учетных записей на уровне домена необходимо убедиться, что в списке управления доступом ACL соответствующего объекта групповой политики для пользователей и компьютеров домена определены разрешения «Чтение» и «Применение групповой политики». Если в списке управления доступом не будут определены требуемые значения, политика учетных записей к указанным субъектам применена не будет.
Кроме того, для объекта групповой политики должен быть применен параметр принудительного наследования «Не перекрывать: другие объекты групповой политики не могут перекрывать параметры этой политики», позволяющий применять групповую политику ко всем пользователям и компьютерам независимо от того, где они расположены, и обеспечивающий невозможность перекрытия параметров данного
ОГП параметрами других ОГП (см. рисунок 2.20).
Рисунок 2.20
Чтобы применить единые параметры безопасности для всех рядовых серверов домена необходимо:
1.
Создать с использованием «Мастера настройки безопасности» политику безопасности, включающую в себя шаблон безопасности WS03-SSLF-Member-Server.inf
(порядок создания политики описан в пп.2.3.1).

Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
40
2.
Преобразовать с использованием утилиты командной строки Scwcmd.exe созданную политику безопасности в объект групповой политики (порядок использования утилиты описан в пп.2.3.2).
3.
Привязать созданный объект групповой политики к организационному подразделению, содержащему учетные записи рядовых серверов домена под управлением
ОС Microsoft® Windows Server 2003 , реализующих предопределенные роли.
Чтобы привязать объект групповой политики к соответствующему организационному подразделению необходимо выполнить следующие действия:
1.
Нажать кнопку «Пуск», выбрать пункт «Выполнить…», в поле «Открыть» диалогового окна «Запуск программы» набрать команду dsa.msc и нажать «ОК».
2.
В появившемся окне оснастки консоли управления «Active Directory – пользователи и компьютеры» выделить имя организационного подразделения (например,
Member Servers) и посредством пункта «Свойства» контекстного меню получить доступ к диалоговому окну свойств указанного ОП. Далее перейти на вкладку «Групповая политика».
3.
Привязать объект групповой политики к соответствующему организационному подразделению. Для этого в окне свойств соответствующего организационного подразделения на вкладке «Групповая политика» нажать «Добавить», в появившемся диалоговом окне добавления ссылки на ОГП перейти на вкладку «Все» и выбрать соответствующий объект групповой политики (см. рисунок 2.21).

Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
41
Рисунок 2.21
Для указанного объекта групповой политики должен быть применен параметр принудительного наследования «Не перекрывать: другие объекты групповой политики не могут перекрывать параметры этой политики», что не позволит ОГП, определяемых на более низких уровнях иерархии ОП, переопределять заданные данной групповой политикой параметры безопасности.
4.
В командной строке выполнить команду gpudate.exe /force, позволяющую осуществить принудительную репликацию и обновление измененной политики безопасности контроллерами домена.
5.
Проанализировать журнал регистрации событий «Приложение» на предмет наличия ошибок, которые могли возникнуть на этапе репликации или обновления политики безопасности. В случае успешного применения политики безопасности в объекте групповой

Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
42
политики в журнале «Приложение» должно быть зарегистрировано событие с кодом
ID:1704.
Применение единых параметров безопасности для рядовых серверов под управлением
ОС Microsoft® Windows Server 2003 , реализующих конкретную роль, также необходимо осуществлять путем создания отдельных политик безопасности, учитывающих специфичные для конкретной роли рядового сервера параметры безопасности (соответствие между реализуемой компьютером ролью и включаемым в политику шаблоном безопасности представлено в таблице 2.3), последующего их преобразования с помощью утилиты командной строки Scwcmd.exe в объекты групповой политики и привязки полученных
ОГП к соответствующим организационном подразделениям, содержащим учетные записи данных компьютеров.
Все действия по созданию политики безопасности с использованием «Мастера настройки безопасности» описаны в пп.2.3.1 настоящего руководства, порядок привязки созданных ОГП к соответствующему организационному подразделению аналогичен той же последовательности действий, которая описана выше.

2.6

Настройка автономного компьютера под управлением ОС Microsoft
®
Windows
Server

2003, выступающего в роли бастион-хоста
2.6.1

Используемые шаблоны безопасности
С целью обеспечения требуемого уровня безопасности, необходимого для обработки конфиденциальной информации, автономные компьютеры под управление операционной системы Microsoft® Windows Server 2003 , выступающие в роли бастион-хоста, должны быть настроены в конфигурации «Specialized Security – Limited Functionality». Для приведения указанных компьютеров в соответствующую конфигурацию, администратор должен обеспечить применение параметров безопасности, определенные в шаблоне WS03-
SSLF-Bastion-Host.inf, к локальной политике безопасности.
Настройка параметров безопасности автономного компьютера, выступающего в роли бастион-хоста, может быть осуществлена следующими способами:

с использованием инструментария «Мастер настройки безопасности»;

с использованием консоли управления «Анализ и настройка безопасности»;

с использованием инструментального средства командной строки Secedit.exe.

Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
43
2.6.2

Порядок настройки компьютера, выступающего в роли бастион-хоста
Настройка с использованием инструментария «Мастер настройки безопасности»
Порядок настройки компьютера, выступающего в роли бастион-хоста, с использованием «Мастера настройки безопасности аналогичен порядку, описанному в пп.2.3.1 настоящего руководства, за исключением шагов 13-14.
На странице задания имени файла политики безопасности администратору следует включить в создаваемую политику шаблон безопасности WS03-SSLF-Bastion-Host.inf.
На странице выбора вариантов применения созданной политики безопасности выбрать опцию «Применить сейчас» и нажать «Далее». После нажатия «Далее» мастер применит созданную администратором политику безопасности к локальному компьютеру, выступающему в роли бастион-хоста.

Настройка с использование консоли управления «Анализ и настройка
безопасности»
Настройка компьютера, выступающего в роли бастион-хоста, в конфигурации безопасности «Specialized Security – Limited Functionality» предусматривает импортирование шаблона безопасности WS03-SSLF-Bastion-Host.inf в локальный объект групповой политики.
Для импортирования шаблона безопасности WS03-SSLF-Bastion-Host.inf необходимо выполнить следующие действия:
1.
Открыть оснастку консоли управления «Анализ и настройка безопасности». Для этого необходимо нажать кнопку «Пуск», выбрать пункт «Выполнить…», в поле «Открыть» диалогового окна «Запуск программы» набрать команду mmc и нажать «ОК». В окне консоли управления MMC (Microsoft Management Console) посредством пункта меню «Добавить или удалить оснастку…» добавить изолированную оснастку «Анализ и настройка безопасности»
(см. рисунок 2.28).

Операционная система Microsoft


Поделитесь с Вашими друзьями:
1   2   3   4   5   6   7   8   9   ...   14


База данных защищена авторским правом ©nethash.ru 2017
обратиться к администрации

войти | регистрация
    Главная страница


загрузить материал