Руководство по безопасной настройке и контролю сертифицированной версии зао «алтэкс-софт», 2011



Скачать 15.71 Kb.

страница4/14
Дата26.11.2016
Размер15.71 Kb.
Просмотров395
Скачиваний0
ТипРуководство
1   2   3   4   5   6   7   8   9   ...   14
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
44
Рисунок 2.28 2.
В дереве консоли посредством нажатия правой кнопкой мыши узла «Анализ и настройка безопасности» выбрать команду «Открыть базу данных».
3.
В диалоговом окне «Открыть базу данных» выполнить одно из следующих действий (см. рисунок 2.24):

создать новую базу данных анализа. Для этого необходимо ввести новое имя в поле «Имя файла» и нажать «Открыть». При открытии новой базы данных в диалоговом окне «Импорт шаблона» выбрать импортируемый шаблон безопасности WS03-SSLF-Bastion-Host.inf и нажать кнопку «Открыть»;

открыть существующую базу данных анализа. Для этого необходимо выделить имя базы данных и нажать «Открыть».

Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
45
Рисунок 2.29 4.
Импортировать шаблон безопасности
WS03-SSLF-Bastion-Host.inf, определяющий требуемые параметры политики безопасности. Для этого в диалоговом окне консоли «Анализ и настройка безопасности» выбрать пункт меню «Действие» и далее
«Импорт шаблона». При импортировании шаблона безопасности администратором должны быть учтены следующие аспекты:

в случае использования существующей базы данных анализа и импортирования в нее нового шаблона безопасности в диалоговом окне «Импорт шаблона» необходимо выбрать опцию «Очистить эту базу данных перед импортом», что приведет к перезаписи всех шаблонов, хранящихся в базе данных, импортируемым шаблоном. Если данная опция снята, импортируемый шаблон безопасности будет объединен с сохраненными шаблонами, и в базе данных будет храниться составной шаблон безопасности;

Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
46

в случае использования новой базы данных при импортировании шаблона безопасности опция «Очистить эту базу данных перед импортом» может быть отключена.
5.
Посредством нажатия правой кнопкой мыши узла «Анализ и настройка безопасности» выбрать команду «Настроить компьютер» (см. рисунок 2.30).
Рисунок 2.30 6.
Проанализировать содержимое журнала регистрации событий на предмет наличия ошибок, возникших на этапе применение шаблона безопасности к локальной политики безопасности (см. рисунок 2.31).
Рисунок 2.31 7.
Закрыть оснастку «Анализ и настройка безопасности».


Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
47
2.7

Порядок отключения функции автоматического обновления операционной
системы Microsoft® Windows Server 2003
Одним из основных условий соответствия сертифицированной версии операционной системы Microsoft® Windows Server 2003 является наличие полного набора сертифицированных обновлений безопасности.
Чтобы исключить автоматическую загрузку и установку обновлений, доступных на веб-узле Windows Update, и обеспечить копирование только рекомендованных и обязательных к установке сертифицированных наборов исправлений безопасности или пакетов обновлений, доступных в Центре цертифициованных обновлений на защищенном разделе сайта «
http://www.altx-soft.ru/downloads.htm
», необходимо отключить функцию автоматического обновления операционной системы Microsoft® Windows Server 2003 . В результате система не будет осуществлять автоматическую установку доступных обновлений, а пользователь, в свою очередь, будет контролировать весь процесс загрузки и установки обновлений.
Для отключения функции автоматического обновления операционной системы
Microsoft® Windows Server 2003 необходимо выполнить следующие действия:
1.
Отключить компонент системы «Автоматическое обновление»:

осуществить вход в систему с использованием учетной записи администратора;

нажать кнопку «Пуск», выбрать пункт меню «Панель управления» и далее
«Система»;

перейти на вкладку «Автоматическое обновление»;

отключить опцию «Выполнять обновление системы» (см. рисунок 2.33).

Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
48
Рисунок 2.33

нажать «ОК» для принятия изменений и закрытия диалогового окна
«Свойства системы».
2.
Выполнить программный останов службы «Автоматическое обновление»:

вызвать оснастку «Службы» консоли управления Microsoft. Для этого нажать кнопку «Пуск» и выбрать пункт меню «Панель управления»;

в диалоговом окне «Панель управления» выбрать значок панели администрирования «Администрирование» и далее пункт «Службы»;

в диалоговом окне консоли управления «Службы» выбрать службу
«Автоматическое обновление» и посредством пункта
«Свойства» контекстного меню вызвать окно свойств службы «Автоматическое обновление» (см. рисунок 2.34);

Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
49
Рисунок 2.34

в окне свойств службы «Автоматическое обновление» изменить тип запуска на «Отключено» и посредством нажатия кнопки «Стоп» остановить работу службы (см. рисунок 2.35);

Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
50
Рисунок 2.35

нажать «ОК» для принятия изменений и закрытия диалогового окна свойств службы «Автоматическое обновление»;

закрыть диалоговое окно оснастки консоли управления «Службы».
Кроме того, отключение функции автоматического обновления операционной системы Microsoft® Windows Server 2003 может быть осуществлено с использованием локальной или доменной групповых политик.
Для отключения компонента «Автоматическое обновление» с помощью локальной групповой политики необходимо выполнить следующие действия:

осуществить вход в систему с использованием учетной записи администратора;

нажать кнопку «Пуск» и выбрать пункт «Выполнить…»;

в поле «Открыть» диалогового окна «Запуск программы» набрать команду gpedit.msc и нажать «ОК»;

в окне редактора локальной групповой политики «Локальный компьютер» выбрать узел
«Конфигурация компьютера» и перейти к разделу
«Административные шаблоны»;

Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
51

правой кнопкой мыши нажать на элемент «Административные шаблоны» и в появившемся окне контекстного меню выбрать команду «Добавление и удаление шаблонов»;

нажать кнопку «Добавить», в открывшемся диалоговом окне выбора шаблонов политик выбрать файл административного шаблона Wuau.adm, расположенный в папке %SystemRoot%\Inf, и нажать «Открыть» (см. рисунок 2.36);
Рисунок 2.36

нажать кнопку «Закрыть»;

в дереве «Конфигурация компьютера» последовательно развернуть узлы
«Административные шаблоны», «Компоненты Windows» и «Windows Update» и перейти к политике «Настройка автоматического обновления»
, в которой указано, использует ли компьютер службу автоматического обновления операционной системы Microsoft® Windows Server 2003 для получения обновлений безопасности и других исправлений. Параметры данной политики предназначены для настройки службы автоматического обновления операционной системы;

Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
52

посредством двойного нажатия открыть диалоговое окно свойств политики
«Настройка автоматического обновления»;

на вкладке «Параметр» выбрать опцию «Отключен» (см. рисунок 2.37);
Рисунок 2.37

закрыть редактор объекта групповой политики;

посредством команды gpupdate.exe /force осуществить обновление параметров безопасности локальной политики безопасности.
Для отключения компонента системы «Автоматическое обновление» с помощью групповой политики, определяемой в домене Active Directory, необходимо выполнить следующие действия:

на контроллере домена осуществить вход в систему с использованием учетной записи администратора домена;

нажать кнопку «Пуск» и выбрать пункт «Выполнить…»;

в поле «Открыть» диалогового окна «Запуск программы» набрать команду dsa.msc и нажать «ОК»;

Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
53

выбрать правой кнопкой мыши организационное подразделение или домен, для которого необходимо определить политику безопасности, и в контекстном меню выбрать пункт «Свойства»;

открыть вкладку «Групповая политика», выбрать соответствующий объект групповой политики и нажать кнопку «Изменить» (в случае создания нового объекта групповой политики необходимо выбрать «Создать», ввести имя нового объекта групповой политики и нажать «Изменить»);

в окне редактора групповой политики выбрать узел «Конфигурация компьютера» и перейти к разделу «Административные шаблоны»;

правой кнопкой мыши нажать на элемент «Административные шаблоны» и в появившемся окне контекстного меню выбрать команду «Добавление и удаление шаблонов»;

нажать «Добавить», в открывшемся диалоговом окне выбора шаблонов политик выбрать файл административного шаблона Wuau.adm, расположенный в папке
%SystemRoot%\Inf
, и нажать кнопку «Открыть»;

выбрать параметр политики «Настройка автоматического обновления» и посредством двойного нажатия открыть диалоговое окно его свойств;

на вкладке «Параметр» выбрать опцию «Отключен»;

закрыть редактор объекта групповой политики;

посредством команды gpupdate.exe /force осуществить обновление параметров групповой политики.

2.8

Порядок
отключения
возможности
самостоятельной
смены
пароля
пользователем
Установленные значения параметров безопасности политики паролей не исключают возможности самостоятельной смены пользователями значения пароля значительно раньше истечения максимального срока его действия.
С целью предотвращения смены пароля пользователем по собственному желанию до истечения срока его действия и изменения пароля только по запросу системы, администратором безопасности для компьютеров под управлением операционной системы
Microsoft® Windows Server 2003 в различных конфигурациях безопасности с использованием административных шаблонов (файл с расширением *.adm, содержащий все сведения о политике на основе реестра, применяемые для настройки компьютера или среды

Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
54
пользователя) может быть определена соответствующая политика. Использование данной политики позволит отключить меню «Смена пароля» в диалоговом окне «Безопасность
Windows», которое появляется при нажатии пользователем сочетания клавиш Ctrl+Alt+Del, обеспечив в тоже время смену пароля пользователем по запросу системы.
Настройку политики предотвращения смены пароля пользователем по собственному желанию необходимо осуществлять с использованием редактора соответствующего объекта групповой политики в следующем разделе пространства имен объекта групповой политики:
Конфигурация пользователя\Административные шаблоны\Система\Возмож- ности CTRL+ALT+DEL.
В случае, если операционная система Microsoft® Windows Server 2003 функционирует на автономном компьютере, который не входит в состав домена Active
Directory параметры безопасности должны определяться для каждого компьютера вручную через локальную политику безопасности. В случае, если операционная система Microsoft®
Windows Server 2003 функционирует на компьютере, входящем в состав домена Active
Directory, настройку параметров безопасности необходимо осуществлять через использование групповых политик, применяемых на уровне домена или организационных подразделений (контейнеров, содержащих учетные записи пользователей), что позволит автоматически применить требуемую конфигурацию безопасности для всех пользователей, на которые распространяется групповая политика.
Для реализации политики предотвращения смены пароля пользователями необходимо выполнить следующие действия:
1.
Вызвать редактор объектов групповой политики. Для этого необходимо нажать кнопку «Пуск», выбрать пункт «Выполнить…», в поле «Открыть» диалогового окна «Запуск программы» набрать команду mmc и нажать «ОК».
2.
В открывшемся окне консоли управления MMC через пункт меню «Добавить или удалить оснастку» добавить оснастку «Редактор объектов групповой политики» и по запросу выбрать соответствующий объект групповой политики, применяемый на требуемом уровне иерархии объектов Active Directory (изменяемая групповая политика должна применяться к учетным записям пользователей, а не компьютеров).
3.
В окне редактора объектов групповой политики выбрать узел «Конфигурация пользователя» и перейти к разделу «Административные шаблоны».
4.
Выделить папку «Система», далее «Возможности CTRL+ALT+DEL» и перейти в левую часть окна редактора объектов групповой политики.

Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
55
5.
Посредством двойного нажатия параметра безопасности «Запретить изменение пароля» вызвать диалоговое окно и назначить рекомендованное для данного параметра значение (см. рисунок 2.38).
Рисунок 2.38 6.
Закрыть редактор объектов групповой политики.
7.
Посредством команды gpupdate /target:user /force осуществить обновление пользовательских параметров групповой политики.

2.9

Настройка дополнительных параметров безопасности операционной системы
Microsoft
®
Windows Server 2003 с использованием реестра
Настройка дополнительных параметров безопасности операционной системы
Microsoft
®
Windows Server 2003 с использование реестра позволит обеспечить большую защищенность ОС от различных типов угроз.
В данном подразделе представлено детальное описание и рекомендуемые значения ключей реестра, определяющих наиболее важные параметры безопасности серверов под

Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
56
управлением сертифицированной ОС Microsoft
®
Windows Server 2003 Данные параметры безопасности включены в применяемые к системе шаблоны безопасности, однако их просмотр и редактирование с использованием оснастки консоли управления «Редактор объекта групповой политики» или «Шаблоны безопасности» без выполнения дополнительных действий невозможно.
Для обеспечения возможности просмотра и дальнейшего редактирования дополнительных параметров безопасности с использованием графического интерфейса редактора конфигурации безопасности Security Configuration Editor (редактор SCE используется оснастками «Шаблоны безопасности», «Анализ и настройка безопасности», а также оснасткой «Редактор объектов групповой политики» в части настройки параметров безопасности в разделе пространства имен объекта групповой политики Локальные политики\Параметры безопасности
), соответствующие значения ключей реестра необходимо добавить в файл
Sceregvl.inf
, расположенный в папке
%systemroot%\inf
, и перерегистрировать динамически подключаемую библиотеку редактора SCE scecli.dll. В результате указанных действий, дополнительные параметры безопасности будут отображаться в разделе пространства имен объекта групповой политики
«Локальные политики\Параметры безопасности» в окне любой оснастки консоли управления Microsoft, использующей редактор SCE.
При этом изменение содержимого файла Sceregvl.inf и перерегистрация DLL- библиотеки scecli.dll может осуществляться не на каждом клиентском компьютере, на котором необходимо обеспечить настройку дополнительных параметров безопасности через реестр. Выполнив выше описанные действия на одном компьютере, администратор безопасности может создать новый шаблон безопасности, включающий расширенные настройки безопасности. Данный шаблон безопасности может быть импортирован в объект групповой политики, применяемой к одному или нескольким целевым компьютерам, независимо от того, содержат они измененный файл Sceregvl.inf, учитывающий дополнительные настройки безопасности, или нет.

2.9.1

Порядок настройки дополнительных параметров безопасности ОС Microsoft®
Windows Server 2003
Для обеспечения самостоятельной настройки дополнительных параметров безопасности операционной системы Microsoft
®
Windows Server

2003 администратором безопасности необходимо выполнить следующие действия:
1.
Открыть с использованием текстового редактора (например, «Блокнот») файл
%systemroot%\inf\sceregvl.inf.

Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
57
2.
Перейти в раздел [Register Registry Values] и вставить следующий текст (каждая политика должна быть представлена одной строкой, не содержащей разрывов):
;=============================== MSS Values ==============================
MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\
EnableICMPRedirect,4,%EnableICMPRedirect%,0
MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\
SynAttackProtect,4,%SynAttackProtect%,3,
0|%SynAttackProtect0%,
1|%SynAttackProtect1%
MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\
EnableDeadGWDetect,4,%EnableDeadGWDetect%,0
MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\
EnablePMTUDiscovery,4,%EnablePMTUDiscovery%,0
MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\
KeepAliveTime,4,%KeepAliveTime%,3,
150000|%KeepAliveTime0%,
300000|%KeepAliveTime1%,
600000|%KeepAliveTime2%,
1200000|%KeepAliveTime3%,
2400000|%KeepAliveTime4%,
3600000|%KeepAliveTime5%,
7200000|%KeepAliveTime6%
MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\
DisableIPSourceRouting,4,%DisableIPSourceRouting%,3,
0|%DisableIPSourceRouting0%,
1|%DisableIPSourceRouting1%,
2|%DisableIPSourceRouting2%
MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\
TcpMaxConnectResponseRetransmissions,4,
%TcpMaxConnectResponseRetransmissions%,
3,0|%TcpMaxConnectResponseRetransmissions0%,
1|%TcpMaxConnectResponseRetransmissions1%,
2|%TcpMaxConnectResponseRetransmissions2%,
3|%TcpMaxConnectResponseRetransmissions3%
MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\
TcpMaxDataRetransmissions,4,%TcpMaxDataRetransmissions%,1
MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\
PerformRouterDiscovery,4,%PerformRouterDiscovery%,0
MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\
TCPMaxPortsExhausted,4,%TCPMaxPortsExhausted%,1
MACHINE\System\CurrentControlSet\Services\Netbt\Parameters\

Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
58
NoNameReleaseOnDemand,4,%NoNameReleaseOnDemand%,0
MACHINE\System\CurrentControlSet\Control\FileSystem\
NtfsDisable8dot3NameCreation,4,
%NtfsDisable8dot3NameCreation%,0
MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\
Explorer\NoDriveTypeAutoRun,4,%NoDriveTypeAutoRun%,3,
0|%NoDriveTypeAutoRun0%,
255|%NoDriveTypeAutoRun1%
MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Security\
WarningLevel,4,%WarningLevel%,3,
50|%WarningLevel0%,
60|%WarningLevel1%,
70|%WarningLevel2%,
80|%WarningLevel3%,
90|%WarningLevel4%
MACHINE\SYSTEM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\
ScreenSaverGracePeriod,4,%ScreenSaverGracePeriod%,1
MACHINE\System\CurrentControlSet\Services\AFD\Parameters\
DynamicBacklogGrowthDelta, 4,%DynamicBacklogGrowthDelta%,1
MACHINE\System\CurrentControlSet\Services\AFD\Parameters\
EnableDynamicBacklog,4,%EnableDynamicBacklog%,0
MACHINE\System\CurrentControlSet\Services\AFD\Parameters\
MinimumDynamicBacklog,4,%MinimumDynamicBacklog%,1
MACHINE\System\CurrentControlSet\Services\AFD\Parameters\
MaximumDynamicBacklog,4,%MaximumDynamicBacklog%,3,
10000|%MaximumDynamicBacklog0%,
15000|%MaximumDynamicBacklog1%,
20000|%MaximumDynamicBacklog2%,
40000|%MaximumDynamicBacklog3%,
80000|%MaximumDynamicBacklog4%,
160000|%MaximumDynamicBacklog5%
MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\
SafeDllSearchMode,4,%SafeDllSearchMode%,0
MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlog\
AutoAdminLogon,4,%DisableAutoLogon%,0
MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters\
AutoShareWks,4,%AdminShares%,0
MACHINE\System\CurrentControlSet\Services\IPSEC\
NoDefaultExempt,4,%IPSecNoDefaultExempt%,0
MACHINE\System\CurrentControlSet\Services\Lanmanserver\Parameters\
Hidden,4,%HideFromBrowseList%,0

Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
59
3.
Перейти к разделу [Strings] и вставить следующий текст (название каждого из перечисляемых параметров должно быть представлено одной строкой, не содержащей разрывов; каждое из возможных значений параметра также должно быть представлено отдельной строкой):
;============================ MSS Settings ===============================
EnableICMPRedirect = "MSS: (EnableICMPRedirect) Allow ICMP redirects to override OSPF generated routes"
SynAttackProtect = "MSS: (SynAttackProtect) Syn attack protection level
(protects against DoS)"
SynAttackProtect0 = "No additional protection, use default settings"
SynAttackProtect1 = "Connections time out sooner if a SYN attack is detected"
EnableDeadGWDetect = "MSS: (EnableDeadGWDetect) Allow automatic detection of dead network gateways (could lead to DoS)"
EnablePMTUDiscovery = "MSS: (EnablePMTUDiscovery ) Allow automatic detection of MTU size (possible DoS by an attacker using a small
MTU)"
KeepAliveTime = "MSS: How often keep-alive packets are sent in milliseconds"
KeepAliveTime0 ="150000 or 2.5 minutes"
KeepAliveTime1 ="300000 or 5 minutes (recommended)"
KeepAliveTime2 ="600000 or 10 minutes"
KeepAliveTime3 ="1200000 or 20 minutes"
KeepAliveTime4 ="2400000 or 40 minutes"
KeepAliveTime5 ="3600000 or 1 hour"
KeepAliveTime6 ="7200000 or 2 hours (default value)"
DisableIPSourceRouting = "MSS: (DisableIPSourceRouting) IP source routing protection level (protects against packet spoofing)"
DisableIPSourceRouting0
=
"No additional protection, source routed packets are allowed"
DisableIPSourceRouting1 = "Medium, source routed packets ignored when IP forwarding is enabled"
DisableIPSourceRouting2 = "Highest protection, source routing is completely disabled"
TcpMaxConnectResponseRetransmissions = "MSS: (TcpMaxConnectResponseRetra- nsmissions) SYN-ACK retransmissions when a connection request is not acknowledged"
TcpMaxConnectResponseRetransmissions0 = "No retransmission, half- open connections dropped after 3 seconds"



Поделитесь с Вашими друзьями:
1   2   3   4   5   6   7   8   9   ...   14


База данных защищена авторским правом ©nethash.ru 2017
обратиться к администрации

войти | регистрация
    Главная страница


загрузить материал