Руководство по безопасной настройке и контролю сертифицированной версии зао «алтэкс-софт», 2011



Скачать 15.71 Kb.

страница5/14
Дата26.11.2016
Размер15.71 Kb.
Просмотров310
Скачиваний0
ТипРуководство
1   2   3   4   5   6   7   8   9   ...   14
Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
60
TcpMaxConnectResponseRetransmissions1
=
"3 seconds, half-open connections dropped after 9 seconds"
TcpMaxConnectResponseRetransmissions2 = "3 & 6 seconds, half-open connections dropped after 21 seconds"
TcpMaxConnectResponseRetransmissions3 = "3, 6, & 9 seconds, half- open connections dropped after 45 seconds"
TcpMaxDataRetransmissions = "MSS: (TcpMaxDataRetransmissions) How many times unacknowledged data is retransmitted"
PerformRouterDiscovery = "MSS: (PerformRouterDiscovery) Allow IRDP to detect and configure Default Gateway addresses (could lead to DoS)"
TCPMaxPortsExhausted = "MSS: (TCPMaxPortsExhausted) How many dropped connect requests to initiate SYN attack protection"
NoNameReleaseOnDemand = "MSS: (NoNameReleaseOnDemand) Allow the computer to ignore NetBIOS name release requests except from WINS servers"
NtfsDisable8dot3NameCreation = "MSS: Enable the computer to stop generating 8.3 style filenames"
NoDriveTypeAutoRun = "MSS: Disable Autorun for all drives"
NoDriveTypeAutoRun0 = "Null, allow Autorun"
NoDriveTypeAutoRun1 = "255, disable Autorun for all drives"
WarningLevel = "MSS: Percentage threshold for the security event log at which the system will generate a warning"
WarningLevel0 = "50%"
WarningLevel1 = "60%"
WarningLevel2 = "70%"
WarningLevel3 = "80%"
WarningLevel4 = "90%"
ScreenSaverGracePeriod = "MSS: The time in seconds before the screen saver grace period expires"
DynamicBacklogGrowthDelta = "MSS: (AFD DynamicBacklogGrowthDelta) Number of connections to create when additional connections are necessary for Winsock applications"
EnableDynamicBacklog = "MSS: (AFD EnableDynamicBacklog) Enable dynamic backlog for Winsock applications"
MinimumDynamicBacklog = "MSS: (AFD MinimumDynamicBacklog) Minimum number of free connections for Winsock applications"
MaximumDynamicBacklog = "MSS: (AFD MaximumDynamicBacklog) Maximum number of 'quasi-free' connections for Winsock applications"
MaximumDynamicBacklog0 = "10000"
MaximumDynamicBacklog1 = "15000"
MaximumDynamicBacklog2 = "20000"
MaximumDynamicBacklog3 = "40000"
MaximumDynamicBacklog4 = "80000"

Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
61
MaximumDynamicBacklog5 = "160000"
SafeDllSearchMode = "MSS: Enable Safe DLL search mode"
DisableAutoLogon = "MSS: (AutoAdminLogon) Enable Automatic Logon"
AdminShares = "MSS: (AutoShareWks) Enable Administrative Shares"
IPSecNoDefaultExempt = "MSS: (NoDefaultExempt) Enable NoDefaultExempt for
IPSec Filtering"
HideFromBrowseList = "MSS: (Hidden) Hide Computer From the Browse List"
4.
Сохранить сделанные в файле изменения и закрыть текстовый редактор.
5.
Перерегистрировать DLL-библиотеку «scecli.dll» редактора конфигураций безопасности SCE. Для этого в командной строке ввести команду «regsvr32 scecli.dll». При успешном выполнении команды на экран должно быть выдано следующее диалоговое окно
(см. рисунок 2.39):
Рисунок 2.39 6.
Открыть редактор объектов групповой политики (порядок вызова редактора и выбора ОГП детально описан в пп.2.3 настоящего Руководства).
7.
В окне редактора объектов групповой политики выбрать узел «Конфигурация компьютера» и перейти к разделу «Конфигурация Windows».
8.
Выделить папку «Параметры безопасности».
9.
Осуществить настройку дополнительных параметров безопасности в соответствии с рекомендациями, представленными ниже.
Настройка дополнительных параметров безопасности операционной системы
Microsoft
®
Windows Server 2003 R2 SP2 может осуществляться администратором безопасности следующими способами:

с использованием редактора реестра «regedt32.exe» путем самостоятельного создания соответствующих параметров реестра и присвоения им рекомендуемых значений;

с использованием графического интерфейса редактора конфигурации безопасности SCE.

Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
62

2.9.2

Рекомендованные значения дополнительно настраиваемых параметров
безопасности ОС Microsoft® Windows Server 2003
Перечень дополнительно настраиваемых параметров безопасности ОС Microsoft
®
Windows Server 2003 и соответствующие им рекомендуемые для каждой конфигурации значения представлены в таблице 2.5.
Таблица 2.5
№ п/п
Название параметра
Принимаемое
параметром значение
1.
MSS: Разрешить переадресацию ICMP для отмены генерируемых OSPF маршрутов.
(MSS: Allow ICMP redirects to override OSPF generated routes)
Отключен
2.
MSS: Уровень защиты от SYN-атак.
(MSS: SYN-attack protection level)
Connections time
-out more quickly if a SYN attack is detected
3.
MSS:
Разрешить автоматическое обнаружение недоступных (нефункционирующих) шлюзов.
(MSS: Allow automatic detection of dead network gateways
)
Отключен
4.
MSS:
Разрешить автоматическое определение максимального размера пакета данных (MTU).
(MSS: Allow automatic detection of MTU size)
Отключен
5.
MSS: Частота (в миллисекундах) посылки пакетов проверки доступности соединения.
(MSS: How often keep-alive packets are sent in milliseconds
)
300000 6.
MSS: Уровень защиты маршрутизации сообщений от источника IP.
(MSS: IP source routing protection level)
Highest protection, source rou-ting is completely disabled
7.
MSS: Продолжительность рет-рансляции SYN-ACK- пакетов в случае неполучения подтверждения на запрос установления соединения.
(MSS: SYN-ACK retransmissions when a connection request is not acknowledged)
3 seconds, half-open connections dropped after
9 seconds

Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
63
№ п/п
Название параметра
Принимаемое
параметром значение
8.
MSS:
Количество попыток ретрансляции неподтвержденных данных.
(MSS: How many times unacknowledged data is retransmitted)
3 9.
MSS:
Разрешить использование
IRDP для автоматического обнаружения и конфигурирования шлюза по умолчанию.
(MSS: Allow IRDP to detect and configure Default Gateway ad- dresses)
Отключен
10.
MSS:
Количество отклоненных запросов на установление соединений для инициализации защиты от SYN-атак.
(MSS: How many dropped connect requests to initiate SYN attack protection)
5 11.
MSS: Запрет автоматической генерации системой имен файлов в формате 8.3
(MSS: Enable the computer to stop generating 8.3 style filenames)
Включен
12.
MSS: Запретить функцию автозапуска для всех устройств
(MSS: Disable Autorun for all drives)
255, disable Autorun for all drives
13.
MSS: Время задержки между запуском режима заставки и блокировкой пользовательского сеанса
(MSS: The time in seconds before the screen saver grace period ex- pires)
0 14.
MSS: Пороговое значение (в процентах) выдачи предупреждения при заполнении журнала безопас- ности
(MSS: Percentage threshold for the security event log at which the system will generate a warning )
90%
15.

MSS: Разрешить режим безопасного поиска DLL
(MSS: Enable Safe DLL search mode)
Включен
16.
MSS: Разрешить компьютеру игнорировать все Включен

Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
64
№ п/п
Название параметра
Принимаемое
параметром значение
запросы на разрешения имен NetBIOS за исключением
WINS-серверов.
(MSS: Allow the computer to ignore NetBIOS name release requests except from WINS servers)

Параметр «MSS: Разрешить переадресацию ICMP для отмены генерируемых
OSPF маршрутов» определяет возможность переадресации системой ICMP-сообщений, что приводит к образованию некорректных маршрутов, отменяющих маршруты, полученные с использованием протокола маршрутизации OSPF (Open Shortest Path Fist), и тем самым к неверной маршрутизации всего сетевого трафика в вычислительной сети. Таким образом, возможность переадресации ICMP-сообщений для отмены генерируемых OSPF маршрутов должна быть отключена.
При настройке дополнительных параметров безопасности с использованием редактора реестра для отключения возможности переадресации ICMP для отмены генерируемых OSPF маршрутов необходимо осуществить создание (модификацию) значения следующего параметра реестра:
Раздел: HKEY_LOCAL_MACHINE\SYSTEM
Подраздел: \CurrentControlSet\Services\Tcpip\Parameters\
Имя элемента: EnableICMPRedirect
Тип данных:
REG_DWORD
Значение: 0
Параметр «MSS: Уровень защиты от SYN-атак» позволяет уменьшить скорость ретрансляции ответов SYN-ACK на получаемые системой запросы на синхронизацию последовательных номеров, используемых во время открытия соединения (SYN-пакетов).
Таким образом, в случае реализации атак типа «отказ в обслуживании» (например, атаки
«наводнение SYN-пакетами» - SYN-flood) время тайм-аута, в течение которого система будет ожидать установление соединения будет уменьшено. В связи с этим, во всех конфигурациях безопасности функция защиты системы от SYN-атак должна быть включена.
При настройке дополнительных параметров безопасности с использованием редактора реестра для включения защиты от SYN-атак необходимо осуществить создание
(модификацию) значения следующего параметра реестра:
Раздел: HKEY_LOCAL_MACHINE\SYSTEM
Подраздел: \CurrentControlSet\Services\Tcpip\Parameters\

Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
65
Имя элемента: SynAttackProtect
Тип данных:
REG_DWORD
Значение: 1
Параметр «MSS: Разрешить автоматическое обнаружение недоступных
(нефункционирующих) шлюзов» определяет возможность использования системой функции обнаружения недоступных (нефункционирующих) шлюзов, позволяющей ей автоматически переключаться на альтернативный шлюз при невозможности использования первичного шлюза.
При отсутствии запрета на использование системой функции автоматического обнаружения недоступных (нефункционирующих) шлюзов, злоумышленник может вынудить сервер переключиться на ложный шлюз. В связи с этим, во всех конфигурациях безопасности функция обнаружения недоступных (нефункционирующих) шлюзов должна быть запрещена.
При настройке дополнительных параметров безопасности с использованием редактора реестра для отключения функции обнаружения недоступных
(нефункционирующих) шлюзов необходимо осуществить создание (модификацию) значения следующего параметра реестра:
Раздел: HKEY_LOCAL_MACHINE\SYSTEM
Подраздел: \CurrentControlSet\Services\Tcpip\Parameters\
Имя элемента: EnableDeadGWDetect
Тип данных:
REG_DWORD
Значение: 1
Параметр «MSS: Разрешить автоматическое определение максимального размера пакета данных (MTU)» определяет возможность системы автоматически определять либо максимальную возможную единицу передачи данных MTU (Maximum
Transmission Unit), либо максимальный размер пакета данных, который можно передать через заданный маршрут удаленному хосту.
Если данная возможность системы разрешена, злоумышленник может организовать атаку типа «отказ в обслуживании», основанную на использовании очень маленького значения MTU, вызвав максимальное использование компьютером всех имеющихся вычислительных ресурсов для фрагментации большого числа пакета данных. Поскольку фрагментация оказывает отрицательное влияние на функционирования системы при обработке сетевого трафика, во всех конфигурациях безопасности данная функция должна быть отключена (что приводит к установлению размера MTU равным 576 байт).

Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
66
При настройке дополнительных параметров безопасности с использованием редактора реестра для отключения функции автоматическое определение максимального размера пакета данных (MTU) необходимо осуществить создание (модификацию) значения следующего параметра реестра:
Раздел: HKEY_LOCAL_MACHINE\SYSTEM
Подраздел: \CurrentControlSet\Services\Tcpip\Parameters\
Имя элемента: EnablePMTUDiscovery
Тип данных:
REG_DWORD
Значение: 1
Параметр «MSS: Частота (в миллисекундах) посылки пакетов проверки доступности соединения» определяет, как часто система будет осуществлять проверку доступности неактивного соединения, посылая специальный пакет
(keep-alive) данных. В случае доступности удаленного хоста он подтверждает получение пакета данных, что свидетельствует о доступности соединения.
В случае если указанному параметру присвоено большое значение (значение по умолчанию составляет 2 часа), злоумышленник, имеющий подключение к вычислительной сети, может создать предпосылки к реализации атак типа «отказ в обслуживании», установив множество неактивных соединений с атакуемой системой, которая данные соединения будет поддерживать, выделяя собственные вычислительные ресурсы, что в конечном итоге приведет к их истощению. Для обеспечения возможности противостояния указанной угрозе для данного параметра рекомендуется установить значение, равное 300000 миллисекундам.
При настройке дополнительных параметров безопасности с использованием редактора реестра для задания частоты посылки пакетов проверки доступности соединения необходимо осуществить создание (модификацию) значения следующего параметра реестра:
Раздел: HKEY_LOCAL_MACHINE\SYSTEM
Подраздел: \CurrentControlSet\Services\Tcpip\Parameters\
Имя элемента: KeepAliveTime
Тип данных:
REG_DWORD
Значение: 1
Параметр «MSS: Уровень защиты маршрутизации сообщений от источника
IP» определяет, будет ли система использовать указанную технологию для определения маршрута, которым дейтаграммы должна следовать через вычислительную сеть. При использовании маршрутизации сообщений от источника компьютеру разрешается посылать пакет данных, в заголовке которого указан маршрут, которым он должен следовать. Однако злоумышленник может использовать указанную возможность для организации сетевой

Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
67
атаки, основанной на спуфинге (spoofing) сетевых пакетов. В связи с этим, во всех конфигурациях безопасности функция маршрутизации источником должна быть запрещена.
При настройке дополнительных параметров безопасности с использованием редактора реестра для задания уровня защиты маршрутизации источником IP необходимо осуществить создание (модификацию) значения следующего параметра реестра:
Раздел: HKEY_LOCAL_MACHINE\SYSTEM
Подраздел: \CurrentControlSet\Services\Tcpip\Parameters\
Имя элемента: DisableIPSourceRouting
Тип данных:
REG_DWORD
Значение: 2
Параметр «MSS: Продолжительность ретрансляции SYN-ACK-пакетов в случае неполучения подтверждения на запрос установления соединения» определяет временной интервал, в течение которого система будет ретранслировать SYN-
ACK-пакеты, перед тем как прекратить попытки установления соединения. При этом задержка (тайм-аут) ретрансляции увеличивается вдвое при каждой последующей попытки подключения. Рекомендуемое значение тайм-аута составляет 3 секунды. Таким образом, в случае реализации атаки «наводнение SYN-пакетами» (SYN-flood) время, в течение которого система будет ожидать установление соединения, составит 9 секунд, по прошествии которых полуоткрытые соединения будут автоматически закрыты.
При настройке дополнительных параметров безопасности с использованием редактора реестра для задания продолжительности временного интервала ретрансляция
SYN-ACK-пакетов необходимо осуществить создание (модификацию) значения следующего параметра реестра:
Раздел: HKEY_LOCAL_MACHINE\SYSTEM
Подраздел: \CurrentControlSet\Services\Tcpip\Parameters\
Имя элемента: TcpMaxConnectResponseRetransmissions
Тип данных:
REG_DWORD
Значение: 2
Параметр «MSS: Количество попыток ретрансляции неподтвержденных данных» определяет количество попыток, которые предпринимаются системой для ретрансляции конкретного сегмента данных, перед тем как соединение будет закрыто.
Рекомендуемое значение попыток ретрансляции составляет 3 раза. Таким образом, в случае реализации атаки «наводнение SYN-пакетами» (SYN-flood) система выполнит только три попытки ретрансляции неподтвержденных данных, исчерпав которые, автоматически закроет соединения.

Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
68
При настройке дополнительных параметров безопасности с использованием редактора реестра для задания количества попыток ретрансляции неподтвержденных данных необходимо осуществить создание (модификацию) значения следующего параметра реестра:
Раздел: HKEY_LOCAL_MACHINE\SYSTEM
Подраздел: \CurrentControlSet\Services\Tcpip\Parameters\
Имя элемента: TcpMaxDataRetransmissions
Тип данных:
REG_DWORD
Значение: 3
Параметр «MSS: Разрешить использование IRDP для автоматического обнаружения и конфигурирования шлюза по умолчанию» используется для разрешения или запрета использования системой протокола обнаружения маршрутизаторов
IRDP (Internet Router Discovery Protocol), которые позволяет ей автоматически определять адрес маршрутизатора и использовать его в качестве стандартного шлюза по умолчанию.
Данная возможность может быть использована злоумышленником и заключается в компрометации одного из компьютеров, находящихся в едином сегменте вычислительной сети, и настройка его в качестве ложного шлюза. Таким образом, другие компьютеры с разрешенной поддержкой IDRP будут пытаться маршрутизировать собственный сетевой трафик через ложный шлюз.
Чтобы исключить возможность автоматического обнаружения и конфигурирования системой шлюза по умолчанию, поддержка протокола IDRP должна быть отключена. Для этого необходимо осуществить создание (модификацию) значения следующего параметра реестра:
Раздел: HKEY_LOCAL_MACHINE\SYSTEM
Подраздел: \CurrentControlSet\Services\Tcpip\Parameters\
Имя элемента: PerformRouterDiscovery
Тип данных:
REG_DWORD
Значение: 0
Параметр «MSS: Количество отклоненных запросов на установление соединений для инициализации защиты от SYN-атак» определяет максимальное количество отклоненных запросов на установление соединений, при достижении которого будет инициализирована защита от SYN-атак. Защита от SYN-атак задействуется в том случае, когда запрос на установление соединения был отвергнут системой по причине исчерпания существующего резерва очереди входящих соединений. Рекомендуемое значение данного параметра составляет 5. Таким образом, в случае реализации различных видов SYN-атак система автоматически инициирует защиту от них после 5 отклоненных запросов на установление входящего соединения.

Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
69
При настройке дополнительных параметров безопасности с использованием редактора реестра для задания количества отклоненных запросов на установление соединений для инициализации защиты от SYN-атак необходимо осуществить создание
(модификацию) значения следующего параметра реестра:
Раздел: HKEY_LOCAL_MACHINE\SYSTEM
Подраздел: \CurrentControlSet\Services\Tcpip\Parameters\
Имя элемента: TCPMaxPortsExhausted
Тип данных:
REG_DWORD
Значение: 5
Параметр «MSS: Запрет автоматической генерации системой имен файлов в формате 8.3» определяет возможность генерации операционной системой имен файлов в формате 8.3 (восемь символов выделяются для имени файла, три символа – для типа файла), для обеспечения обратной совместимости и поддержки 16-битных приложений.
Использование системой имен файлов в формате 8.3 позволит злоумышленнику использовать только восемь символов для поиска заданных файлов, вместо 20, которые могут использоваться для именования файлов. В свою очередь при использовании длинных имен поиск указанных файлов будет затруднен. В связи с этим, во всех конфигурациях безопасности должна быть запрещена возможность автоматической генерации системой имен файлов в формате 8.3.
При настройке дополнительных параметров безопасности с использованием редактора реестра для отключения функции автоматической генерации системой имен файлов в формате 8.3 необходимо осуществить создание (модификацию) значения следующего параметра реестра:
Раздел: HKEY_LOCAL_MACHINE\SYSTEM
Подраздел: \CurrentControlSet\Control\FileSystem\
Имя элемента: NtfsDisable8dot3NameCreation
Тип данных:
REG_DWORD
Значение: 1
Параметр «MSS: Запретить функцию автозапуска для всех устройств» определяет возможность немедленного чтения системой данных с медиа-носителя, как только оно было вставлено в устройство чтения. В результате этого осуществляется автоматический запуск программ, расположенных на данном носители информации.
С использованием данной функции связана потенциальная возможность автоматического запуска системой злонамеренного кода, содержащегося на медиа-носителе, который может быть вставлен злоумышленником, имеющим физический доступ к клиентскому компьютеру. Исходя их этого, во всех конфигурациях безопасности параметр

Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
70
«MSS: Запретить функцию автозапуска для всех устройств» должен иметь значение «255, disable Autorun for all drives» (Запретить автозапуск для всех устройств).
При настройке дополнительных параметров безопасности с использованием редактора реестра для отключения функции автозапуска для всех устройств необходимо осуществить создание (модификацию) значения следующего параметра реестра:
Раздел: HKEY_LOCAL_MACHINE\SOFTWARE
Подраздел: \Microsoft\Windows\CurrentVersion\Policies\Explorer\
Имя элемента: NoDriveTypeAutoRun
Тип данных:
REG_DWORD
Значение: 0xFF
Параметр «MSS: Время задержки между запуском режима заставки и блокировкой пользовательского сеанса» определяет промежуток времени, который должен пройти между запуском режима заставки и непосредственной блокировкой сеанса пользователя, в случае если данная возможность используется в системе.
По умолчанию, установленное время задержки составляет 5 секунд, что обеспечивает возможность возврата пользователя в систему до непосредственной блокировки сеанса, исключая необходимость ввода им пароля и в тоже время возможность доступа злоумышленника в систему без прохождения процедур идентификации и аутентификации с использованием регистрационных данных пользователя, осуществившего вход. Для обеспечения возможности немедленной блокировки пользовательского сеанса при запуске режима заставки данный параметр во всех конфигурациях безопасности должен иметь значение «0».
При настройке дополнительных параметров безопасности с использованием редактора реестра для задания времени задержки между запуском режима заставки и блокировкой пользовательского сеанса необходимо осуществить создание (модификацию) значения следующего параметра реестра:
Раздел: HKEY_LOCAL_MACHINE\SOFTWARE
Подраздел: \Microsoft\Windows NT\CurrentVersion\Winlogon\
Имя элемента: ScreenSaverGracePeriod
Тип данных:
String
Значение: 0
Параметр
«MSS:
Пороговое значение
(в процентах) выдачи предупреждения при заполнении журнала безопасности» определяет процент заполненности журнала безопасности операционной системы, при достижении которого система выдаст предупреждение (в виде записи события аудита с идентификатором eventID 523).

Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
71
В случае если журнал безопасности заполнен, и система не сконфигурирована не перезапись событий аудита по необходимости, то некоторые записи аудита могут быть потеряны. Если же система сконфигурирована на немедленное завершение работы при заполнении журнала безопасности, то это, в свою очередь, может привести к прекращению предоставления клиентским компьютером различного рода сервисов. В связи с этим, во всех конфигурациях безопасности пороговое значение выдачи предупреждения при заполнении журнала безопасности должно быть установлено равным 90%.
При настройке дополнительных параметров безопасности с использованием редактора реестра для задания порогового значения (в процентах) выдачи предупреждения при заполнении журнала безопасности необходимо осуществить создание (модификацию) значения следующего параметра реестра:
Раздел: HKEY_LOCAL_MACHINE\SYSTEM
Подраздел: \CurrentControlSet\Services\Eventlog\Security\
Имя элемента: WarningLevel
Тип данных:
REG_DWORD
Значение: 90
Параметр «MSS: Разрешить режим безопасного поиска DLL» определяет, каким из двух способов будет осуществляться поиск DDL-библиотек:

сначала осуществлять поиск в папках, определенных через системную переменную path, далее в текущей рабочей папке;

сначала осуществлять поиск в текущей рабочей папке, далее в папках, определенных через системную переменную path.
При использовании второго варианта существует вероятность того, что в случае запуска пользователем злонамеренного кода, им могут быть задействованы собственные версии системных DDL-библиотек, расположенных в текущей папке, что может увеличить уровень ущерба, который может быть им нанесен. Поэтому во всех конфигурациях безопасности поиск системных DDL-библиотек сначала должен осуществляется в папках, определенных через системную переменную path, и только затем в текущей рабочей папке.
При настройке дополнительных параметров безопасности с использованием редактора реестра для задания режима безопасного поиска DLL-библиотек необходимо осуществить создание (модификацию) значения следующего параметра реестра:
Раздел: HKEY_LOCAL_MACHINE\SYSTEM
Подраздел: \CurrentControlSet\Control\Session Manager\
Имя элемента: SafeDllSearchMode
Тип данных:
REG_DWORD

Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
72
Значение: 1
Параметр «Разрешить компьютеру игнорировать все запросы на разрешения имен NetBIOS за исключением WINS-серверов» определяет возможность обработки системой запросов на разрешение собственного NetBIOS-имени, поступающих от клиентских компьютеров. Поскольку протокол NetBIOS не обеспечивает аутентификацию отправителя (компьютера, формирующего запрос на разрешение NetBIOS- имени), существует угроза посылки злоумышленником специально сформированного запроса, что приведет к отказу в обслуживании системы и прекращению обработки легитимных запросов на разрешение собственного имени. Таким образом, во всех рассматриваемых конфигурациях безопасности получение запросов на разрешение NetBIOS- имени должно быть разрешено только от WINS-серверов.
При настройке дополнительных параметров безопасности с использованием редактора реестра для включения возможности обработки запросов на разрешение NetBIOS- имени только от WINS-серверов необходимо осуществить создание (модификацию) значения следующего параметра реестра:
Раздел: HKEY_LOCAL_MACHINE\System
Подраздел: \CurrentControlSet\Services\LanmanServer\Parameters
Имя элемента: NoNameReleaseOnDemand
Тип данных:
REG_DWORD
Значение: 1

Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
73
3

Последовательность действий по контролю сертифицированной
версии операционной системы Microsoft
®
Windows Server 2003
Контроль маркирования сертифицированной версии операционной системы
Microsoft
®
Windows Server 2003 в совокупности с контролем исходного состояния, настроек безопасности, а так же контроль установленных сертифицированных обновлений безопасности, основанный на вычислении контрольных сумм, направлен на получение однозначного соответствия сертифицированной версии Microsoft
®
Windows Server 2003, тому ПО, которое установлено на рабочей станции.
3.1

Контроль маркирования сертифицированной версии операционной системы
Microsoft
®
Windows Server 2003
Порядок проведения контроля маркирования:
1.
Удостовериться, что комплект поставки сертифицированной версии «Microsoft
®
Windows
®
Server 2003» соответствует комплектам поставки установленного образца
, и соответствует комплектности, приведенной в формуляре.
2.
Удостовериться, что упаковка с дистрибутивом операционной системы, заклеена неповрежденной этикеткой со штриховым кодом и уникальным учѐтным номером дистрибутива (рисунок 3.1).
Рисунок 3.1 - Образец этикетки со штриховым кодом и уникальным номером дистрибутива
3.
Удостовериться в том, что номер диска (указан на оптическом носителе дистрибутива ОС) и уникальный учетный номер дистрибутива (указан на этикетке с ШК), установленной на рабочей станции, соответствует номерам, указанным в разделе 2.8
Формуляра на сертифицированную версию Microsoft
®
Server 2003.
4.
Удостовериться в том, что номера знаков соответствия ФСТЭК России (на формуляре/упаковке с дистрибутивом ОС на лицензионных стикерах ОС) соответствуют номерам, указанным в разделе 2 Формуляра на сертифицированную версию Microsoft
®
Windows
®
Server 2003.

Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
74
3.2

Автоматизированный контроль сертифицированной версии операционной
системы Microsoft
®
Windows
®
Server 2003.
3.2.1
Общие положения
Автоматизированный контроль соответствия сертифицированной версии направлен на получение однозначного соответствия операционной системы, установленной на контролируемом АРМ, сертифицированной версии Microsoft Windows Server 2003.
Автоматизированный контроль соответствия сертифицированной версии производится с использованием программы контроля сертифицированной версии Microsoft Windows Server
2003 и включает в себя проверку операционной системы на предмет соответствия сертифицированной версии и комплекс мероприятий, направленных на обеспечения безопасности:
- контроль и установка сертифицированных обновлений безопасности операционной системы Microsoft Windows Server 2003;
- фиксация и контроль исполняемых файлов и библиотек Microsoft Windows Server
2003;
- настройка параметров безопасности операционной системы на сертифицированные конфигурации «Enterprise» («Корпоративный клиент Server 2003») и «Specialized
Security - Limited Functionality, SSLF» («Безопасная среда Server 2003») при ролях
«Рядовой сервер» и «Контроллер домена»;
- создание проекта сертификата соответствия требованиям безопасности информации.
3.2.2
Назначение программы «Server03_Check»
Программа
“Server03_Check” предназначена для настройки и контроля сертифицированной версии операционной системы Microsoft Windows Server 2003 для функционирования на объектах информатизации при обработке конфиденциальной информации и информации, содержащей персональные данные.
Программа «Server03_Check» предназначена для решения следующих задач: проверка операционной системы на предмет соответствия сертифицированной версии, просмотр отчета по контролю системы на предмет соответствия сертифицированной версии;

Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
75
предоставление сертифицированных обновлений, проверка и просмотр отчета по контролю обновлений системы; фиксация и контроль исполняемых файлов и библиотек Microsoft Server 2003 и программ, установленных в еѐ среде; настройка параметров безопасности операционной системы на сертифицированные конфигурации «Enterprise» («Корпоративный клиент Server 2003») и «Specialized
Security - Limited Functionality, SSLF» («Безопасная среда Server 2003»), а также настройка параметров безопасности на произвольный пользовательский профиль; создание проекта сертификата соответствия требованиям безопасности информации.
3.2.3
Установка и запуск на выполнение программы «Server03_Check»
Для установки программы необходимо выполнить следующую последовательность действий:
1)
Начать сеанс Microsoft Windows Server 2003 с правами локального администратора.
2)
Установить .NET Framework 4.0. Для этого запустить файл DotNetFX/ dotNetFx40_Full_x86_x64.exe с диска Media Kit и произвести процедуру инсталляции в директорию по-умолчанию.
3)
Произвести установку драйвера электронного ключа eToken с записанным цифровым сертификатом организации.
Для этого выполнить файл etokenpkiclient51sp1/PKIClient-x32-5.1-SP1.msi с диска MediaKit.
4)
Загрузить с Центра сертифицированных обновлений ЗАО «АТТЭКС-СОФТ» по адресу http://www.altx-soft.ru/downloads.htm и произвести установку цифровых сертификатов удостоверяющих центров ЗАО «АЛТЭКС-СОФТ». Для этого произвести последовательную загрузку Сертификата № 1 и Сертификата №2 с сайта компании ЗАО «АЛТЭКС-СОФТ». Для этого необходимо щелкнуть мышью по соответствующей ссылке и появившемся окне нажать кнопку «Открыть» (см. рисунок 3.2). В появившемся окне нажать кнопку «Установить сертификат» (см. рисунок 3.3).
Примечание: а) Для обеспечения гарантированной корректной работы при наличии нескольких установленных браузеров обозревателем по-умолчанию следует устанавливать
Microsoft Explorer. В противном случае для других обозревателей установленных по

Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
76
умолчанию может потребоваться ручная установка цифровых сертификатов (после их сохранения на локальный диск компьютера); б) Для x64 версий Windows Server 2003 может потребоваться исправление KB942589, для скачивания перейдите по ссылке.
5)
Выполнить файл «Server03_Check_Setup.msi» и произвести установку программы.
В процессе установки программы будет предложено выбрать каталог программы и пользователей, для которых программа устанавливается.
6)
Вставить электронный ключ eToken в USB-порт и произвести запуск программы
«Server03_Check» выполнением файла Check.exe из каталога установки программы или меню «Пуск». Главное окно программы представлено на рисунке
3.5.
Рисунок 3.2 – Сайт Центра сертифицированных обновлений ЗАО «АЛТЭКС-СОФТ»

Рисунок 3.3- Открытие цифрового сертификатов удостоверяющего центра

Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
77
Рисунок 3.4 - Установка цифрового сертификатов удостоверяющего центра
Рисунок 3.5 – Главное окно программы контроля сертифицированной версии
Microsoft Windows Server 2003

Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
78
Важно! При первом запуске программы нажмите кнопку
. Данная кнопка заменяет файл Sceregvl.inf описанный в разделе 2.
Для полнофункциональной работы программы с автоматизированного рабочего места должен присутствовать доступ в сеть Интернет, а именно к сайту по адресу: http://check.altx- soft.ru/
. В случае отсутствия доступа в нижней части клиентской части программы, будет отображен индикатор
. При этом все параметры контролируемой системы, будут сохранены в файл-отчѐт offlineReport.xml. Данный отчет сохраняется в папку с установленной программой автоматически после запуска сканирования.
Примечание: 1) При отсутствии доступа к сайту следует проверить настройки брэндмауэра, антивируса и при необходимости внести выполняемый файл программы
«Server03_Check» check.exe в число доверенных файлов.
2) Сформированный при отсутствии подключения к сети Интернет файл отчета
«offlineReport.xml» можно загрузить на защищенный сайт ЗАО «АЛТЭКС-СОФТ» для последующей генерации отчета (см. п.п. Проверка операционной системы на предмет соответствия сертифицированной версии и просмотр отчета по контролю системы). Для этого необходимо в окне обозревателя перейти по адресу http://check.altx- soft.ru/uploadReport.aspx и выбрать данный файл в окне выбора, представленном на рисунке
3.6.

Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
79
Рисунок 3.6 – Вид окна загрузки отчета программы сформированного при отсутствии подключения к сети Интернет.
3.2.4
Выполнение программы «Server03_Check»
3.2.4.1
Проверка операционной системы на предмет соответствия сертифицированной версии и просмотр отчета по контролю системы
Чтобы произвести проверку соответствия установленной Microsoft Windows Server
2003 сертифицированной версии необходимо нажать кнопку «Запустить сканирование».
Программа осуществит проверку и в случае корректного результата на экран будет выведено сообщение, представленное на рисунке 3.7. После проведения проверки сертифицированной версии Windows становится доступной функция просмотра отчета о состоянии системы.
Рисунок 3.7 – Главное окно программы при контроле соответствия сертифицированной версии Microsoft Windows Server 2003
Просмотр отчета по контролю системы происходит при нажатии кнопки
(«Просмотреть отчет по контролю системы»). После нажатия кнопки и ввода пароля

Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
80
электронного ключа e-token осуществляется переход на защищенный сайт ЗАО «АЛТЭКС-
СОФТ», где пользователь может просмотреть результаты контроля.
В случае успешного завершение контроля, т.е. полного соответствия текущей версии операционной системы Microsoft Windows Server 2003 сертифицированной версии и установленных сертифицированных обновлений на экране будет отображено окно, изображенное на рисунке 3.8.
В случае соответствия текущей версии операционной системы Microsoft Windows
Server 2003 сертифицированной, но отсутствии некоторых критических для безопасности сертифицированных обновлений на экране пользователя будет отображено окно, изображенное на рисунке 3.9, где будут указаны необходимые для установки обновлений безопасности ссылки на сайт корпорации Microsoft.

Рисунок 3.8 – Вид окна программы при соответствии сертифицированной версии и полном соответствии сертифицированных обновлений

Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
81
Рисунок 3.9 – Вид окна программы при соответствии сертифицированной версии и не установленных сертифицированных обновлениях.
3.2.4.2
Проверка обновлений и просмотр отчета по контролю обновлений системы
Функция контроля обновлений состоит в проверке скачанных на локальных компьютер обновлений, опубликованных на защищенной части сайта компании ЗАО
«АЛТЭКС-СОФТ». Проверка состоит в сравнивании контрольных сумм, рассчитанных по уровню 3 согласно ГОСТ 28147-89, с контрольными суммами, зафиксированными на защищенном сайте компании ЗАО «АЛТЭКС-СОФТ».
Для запуска этой функции необходимо выбрать опцию «файл (1 обновление)», либо
«папка (все файлы из папки)» переключателя «Контроль обновлений» главного окна программы, нажать кнопку «Начать контроль» и выбрать соответственно файл или папку с исполняемыми файлами обновлений.
После завершения проверки необходимо нажать кнопку «Открыть отчет». После этого осуществляется переход на защищенную часть сайта компании ЗАО «АЛТЭКС-
СОФТ», где будет произведено сравнение скачанных файлов с контрольными образами на сайте. В случае успеха на экран будет выведено окно, представленное на рисунке 3.10.

Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
82
Рисунок 3.10 – Вид окна с результатами контроля обновлений
3.2.4.3 Фиксация и контроль исполняемых файлов и библиотек
Программа «Server03_Check» позволяет производить фиксацию исполняемых файлов или библиотек, содержащихся в выбранной папке). Таким образом могут быть проверены файлы системных каталогов Windows или установочных каталогов программ, работающих под управлением контролируемой операционной системы Microsoft Windows Server 2003.
Контроль зафиксированного состояния производится методом контрольного суммирования по уровню 3, согласно ГОСТ 28147-89 с контролем добавленных и удаленных файлов.
Фиксация файлов с исполняемым кодом
Рисунок 3.11 – Окно программы при выборе параметров режима «Фиксация файлов»

Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
83
Для фиксации файлов с исполняемым кодом необходимо нажать кнопку «Провести фиксацию и контроль файлов» главного окна программы, в кнопочном переключателе выбрать кнопку «Фиксация». В появившемся окне необходимо определить следующие параметры (см. рисунок 3.11):
- папка, где будет формироваться файл отчета по контролю. По умолчанию – это папка «FixResults»;
- тип фиксируемых файлов (*.dll, *.exe, *.inf);
- название отчета по фиксации;
- папка расположения фиксируемых файлов.
После нажатия кнопки «Далее» на экран будет представлено окно (см. рисунок 3.11), в котором будет отображаться результаты фиксации файлов с исполняемым кодом. Для запуска процесса фиксации файлов необходимо нажать кнопку «Старт».
Контроль файлов с исполняемым кодом
Контроль файлов может проводиться в ручном режиме или при запуске системы.
Важно: Использование контроля файлов с исполняемым кодом при загрузке системы
необходимо для обеспечения требований РД ФСТЭК «АС защита от НСД к информации.
Классификация АС и требования к защите информации», приказа ФСТЭК № 58 «Об
утверждении положения о методах и способах защиты информации в информационных
системах персональных данных», а именно обеспечение требования «…целостности
программных средств при загрузке системы по наличию имен (идентификаторов)
компонентов средств защиты информации» ( «…проверки по контрольным суммам
компонентов средств защиты информации» в трактовке требования Приказа № 58 для
многопользовательского режима работы).
Для контроля зафиксированных файлов с исполняемым кодом в ручном режиме необходимо в кнопочном переключателе, появляющемся при нажатии кнопки «Провести фиксацию и контроль файлов», нажать кнопку «Контроль». В представленном окне (см. рисунок 3.12) будут списком обозначены отчеты по фиксации, хранящиеся в папке FixResults рабочего каталога с программой. Предоставляется возможность выбрать один из отчетов по фиксации и нажать кнопку «Старт». Будет проведен расчет текущих значений контрольных сумм файлов с исполняемым кодом в папке фиксации.

Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
84
Рисунок 3.12 – Выбор отчета по фиксации и проведение контроля файлов в ручном режиме
Для контроля зафиксированных файлов с исполняемым кодом при запуске системы необходимо в кнопочном переключателе, появляющемся при нажатии кнопки «Провести фиксацию и контроль файлов», нажать кнопку «Расписание». На экран будет представлено окно, изображенное на рис. 3.13.

Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
85
Рисунок 3.13 – Выбор отчета по фиксации и формирование задания планировщика задач для проведения контроля файлов при запуске системы
В данном окне пользователь может создать задачу планировщика Windows, состоящую в автоматизированном контроле выбранного результата фиксации файлов с исполняемым кодом. В данном окне пользователь может установить приоритет этого задания и выбрать необходимый результат фиксации. Программа Чек создает единственное задание планировщика задач, поэтому каждая последующая задача «затирает» предыдущую.
При нажатии кнопки «Удалить» - задача контроля файлов с исполняемым кодом удаляется из планировщика задач.
Пользователь имеет возможность просмотреть сформированное задание планировщика заданий при выборе ярлыка «Запланированные задания» Панели управления
Windows (задание Server03_Check Fix Control). В случае необходимости можно изменить параметры выполнения задания, например, поставить его на периодический контроль (см. рисунок 3.14). Результаты выполнения задания можно просмотреть с помощью программы
«Check».

Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
86
Рисунок 3.14 – Редактирование параметров задания планировщика задач для проведения контроля файлов при запуске системы
Просмотр результатов фиксации
Для просмотра результатов фиксации необходимо в кнопочном переключателе, появляющемся при нажатии кнопки «Провести фиксацию и контроль файлов», нажать кнопку «Расписание». В окне, представленном на рисунке 3.15 необходимо выбрать результат фиксации и нажать кнопку «Далее». На следующем шаге контроля (см. рисунок
3.16) показываются все операции контроля, проведенные по выбранной фиксации с показом результата операции: контроль завершен успешно –означает, что в выбранных папках присутствуют все контролируемые файлы с исполняемым кодом, их контрольные суммы соответствуют эталонным, отсутствуют добавленные файлы с исполняемым кодом; не
успешно – если обнаружены к.л. коллизии при контроле. В случае выбора неуспешной операции контроля и нажатия кнопки «Далее» в представленном на рисунке 3.17 окне можно просмотреть списки измененных, отсутствующих и добавленных файлов с исполняемым кодом. В данном окне при нажатии кнопки «Сохранить в отчет» - происходит сохранение отчета по коллизиям контроля в html-формат.

Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
87
Рисунок 3.15 – Выбор результата фиксации
Рисунок 3.16 – Результаты контроля выбранной фиксации

Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
88
Рисунок 3.17 – Коллизии контроля файлов с исполняемым кодом
3.2.4.4 Установка значений параметров безопасности на сертифицированные конфигурации
С использованием программы «Server03_Check» можно произвести следующие операции по работе с параметрами безопасности:
- поиск параметра безопасности по названию;
- редактирование значений параметров безопасности;
- сохранение конфигурации параметров безопасности в файл настроек;
- загрузка и применение значений параметров безопасности из выбранного файла настроек;
- применение конфигурации параметров безопасности «Корпоративный клиент
Server 2003»;
- применение конфигурации параметров безопасности «Безопасная среда Server
2003»;
- формирование и сохранение в формат html отчета о соответствии настроек безопасности конфигурациям «Корпоративный клиент Server 2003» или
«Безопасная среда Server 2003».
Поиск параметра безопасности по названию

Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
89
Работа со значениями параметров безопасности доступна при нажатии кнопки
«Конфигурации безопасности». При этом на экран будет представлено окно, изображенное на рисунке 3.18.
Рисунок 3.18 – Интерфейс программы по работе со значениями параметров безопасности
Поиск параметра по значению происходит при наборе соответствующей текстовой строки в поле «Поиск».
Примечание: 1) Несертифицированные (не заявленные в Задании по безопасности) параметры показаны в списке с желтой точкой (см. параметр «Хранить пароли, используя обратимое шифрование» на рисунке 3.19).
2) Описание отдельных параметров безопасности представлено в разделе 2 настоящего документа. 3) Для загрузки текущих значений параметров безопасности из другого режима работы программы необходимо выбрать из ниспадающего меню «Загрузить конфигурацию» подпункт «Текущие значения параметров безопасности». В данном списке не отображаются параметры с неопределенными значениями.
4) Для отображения дерева всех доступных к редактированию параметров безопасности необходимо выбрать из ниспадающего меню «Загрузить конфигурацию» подпункт «Все доступные параметры системы».

Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
90
Редактирование значений параметров безопасности
Для редактирования значения параметра безопасности необходимо его выбрать щелчком левой клавиши мыши, ввести необходимое значение и нажать кнопку
«Применить».
Для редактирования числовых параметров доступно уменьшение и увеличение текущего значения на единицу и ручной ввод. Значения текстовых параметров вводятся в ручную. Для параметров, принимающих определенные значения – указанные значения оформляются в виде ниспадающего списка.
Сохранение конфигурации параметров безопасности в файл настроек
Для сохранения конфигурации параметров безопасности в файл настроек необходимо выбрать из ниспадающего меню «Экспорт» пункт «Сохранить текущую конфигурацию».
Пользователю будет предоставлена возможность указания пути для сохранения *.inf файла с настройками значений параметров безопасности текущей конфигурации.
Для реализации этой функции необходимо выбрать из ниспадающего меню
«Загрузить конфигурацию» подпункт «Корпоративный клиент Server 2003». На экран будет представлено окно, показанное на рисунке 3.20.
Рисунок 3.19 – Окно программы «Server03_Check» при применении конфигурации
«Корпоративный клиент Server 2003»

Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
91
Каждый из параметров безопасности имеет эталонное значение согласно сертифицированной конфигурации и текущее значение конфигурации системы. В случае их равенства в правой части строки параметра располагается зеленая кнопка «Настроен» - параметр считается настроенным. В противном случае – параметр считается не настроенным и на этом месте располагается красная кнопка с надписью «Не настроен». В случает выбора из ниспадающего меню «Параметры» подпункта «Показывать только ненастроенные параметры» в списке параметров будут присутствовать только ненастроенные параметры безопасности.
В случае установки текущего значения равного эталонному вручную – кнопка «Не настроен» меняется на «Настроен».
Внизу в информационной панели присутствует следующая информация:
- общее количество параметров сертифицированной конфигурации;
- количество настроенных и ненастроенных параметров безопасности;
- информационное сообщение соответствуют ли настройки параметров безопасности системы в целом сертифицированной конфигурации.
При нажатии кнопки «Настроить систему» происходит установка эталонных значения для всех ненастроенных параметров безопасности.
2) В дереве параметров программы сертифицированных конфигураций отсутствуют параметры со значением «не определено».
Выполнение этой функции аналогично выполнению функции Применение конфигурации параметров безопасности «Корпоративный клиент Server 2003».

Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
92
Рисунок 3.20 – Пример отчета о соответствии настроек безопасности конфигурациям
«Корпоративный клиент Server 2003»/«Безопасная среда Server 2003»
3.2.5
Установка параметров прокси-сервера
По-умолчанию программа осуществляет работу с интернет с настройками подключения Internet Explorer. В случае, если необходимо установить специфичные настройки прокси-сервера следует нажать кнопку главного окна программы и в появившемся окне (см. рисунок 3.21) в ниспадающем списке «Прокси сервер» выбрать значение «НТТР» и указать IP адрес и порт прокси, а в случае необходимости логин и пароль.
Рисунок 3.21 –Ввод параметров прокси-сервера
3.2.6
Поиск и диагностика неисправностей программы «Server03_Check»
Самой распространѐнной неисправностью является отсутствие доступа в интернет
(т.е. с сервером «
https://checks.altx-soft.ru/
»). Проверьте Ваши настройки сетевого подключения, брандмауэр, антивирусное ПО. Возможно, указанные средства блокирует работу программы контроля, запрещая ей сетевую активность.
Все основные действия программы «Server03_Check» записываются в журнал (лог) работы программы (см. рисунок 3.22). При появлении ошибок следует вызвать журнал работы программы (нажать кнопку
«Лог событий» главного окна программы) и передать его содержание, а при необходимости и скриншоты экранов ошибок в службу

Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
93
технической поддержки ЗАО «АЛТЭКС-СОФТ» support@altx-soft.ru для диагностики неисправности.

Рисунок 3.22 – Вид информационного окна программы, содержащей техническую информацию, при отсутствии доступа к серверу контроля.


Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
94
Приложение А
А.1

Групповая политика
Групповая политика представляет собой набор правил, определяющих параметры системы: безопасность, работу приложений и служб, установку программного обеспечения и т.д. Цель политик безопасности – определить процедуры выбора конфигурации и управления безопасностью в среде функционирования. Групповая политика помогает применить технические рекомендации в политике безопасности для всех компьютеров и серверов в доменах Active Directory.
Применение групповой политики осуществляется с целью контроля использования программ, сетевых ресурсов и операционной системы пользователями и компьютерами.
Групповые политики позволяют легко и единообразно управлять настройками большого количества вариантов среды серверных компьютерных систем путем выборочного включения и выключения отдельных функций. В случае использования групповой политики для создания настроек безопасности, любые изменения, осуществляемые по отношению к какой-либо из политик, будут относиться ко всем серверам, клиентским компьютерам и пользователям, использующим эту политику.
Существует два типа групповых политик. Первый тип – это локальная групповая политика. Локальная групповая политика может быть только одна, и это единственная групповая политика, доступная на компьютерах, не являющихся членом домена. Она применяется также на всех компьютерах, которые входят в состав домена Active Directory, являясь его участниками.
Второй тип групповой политики – это групповая политика Active Directory.
Интегрирование групповой политики со службой каталогов Active Directory позволяет обеспечить большую безопасность и гибкость управления пользователями и объектами сети, позволяя администраторам объединить их в логические группы, такие как организационные подразделения (Organizational Unit), а затем назначать группам единые параметры конфигурации, что обеспечит непротиворечивость их конфигураций. Использование групповой политики в сочетании со структурой организационных подразделений позволяет определять специфические настройки безопасности для тех или иных функций конкретного клиентского компьютера или сервера.
Объекты групповой политики, основанные на Active Directory, фактически состоят из двух разных объектов:

контейнера групповой политики GPC (Group Policy Container), расположенного в каталоге Active Directory. Данный объект содержит список компонентов,

Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
95
используемый для определения того, параметры какой группы конфигурационных параметров (относящихся к пользователю или компьютеру) сконфигурированы в данном ОГП, информацию о версии групповой политики и информацию о состоянии, используемую для указания того, является ли ОГП действующим, или он заблокирован;

шаблона групповой политики GPT (Group Policy Template). Данный объект содержит большинство фактических параметров настройки для групповой политики и расположен в папке совместно используемого ресурса Sysvol на каждом контроллере домена.

Шаблоны безопасности
Шаблон безопасности представляет собой текстовый файл, в котором определены параметры безопасности операционной системы Microsoft
®
Windows Server 2003. Каждый шаблон храниться в обычном текстовом файле с расширением .inf, что позволяет копировать, импортировать и экспортировать параметры безопасности.
Шаблоны безопасности могут импортироваться как в локальные объекты групповой политики, так и в объекты групповой политики, определяемые в Active Directory. В этом случае все компьютеры и учетные записи пользователей, на которые распространяется групповая политика, применяют конфигурацию безопасности, описанную с помощью данного шаблона. Импорт шаблонов безопасности упрощает администрирование, так как конфигурация безопасности автоматически настраивается сразу для нескольких объектов.
Для изменения шаблонов используется редактор (оснастка) шаблонов безопасности из состава оснасток консоли управления Microsoft Management Console или любой текстовый редактор (например, программа «Блокнот»). Шаблоны безопасности содержат все параметры безопасности, назначаемые объекту групповой политики, кроме относящихся к политикам открытых ключей и политике IPSec. Некоторые разделы шаблона могут содержать списки управления доступом Access Control List (ACL), которые определенны на языке Security
Descriptor Definition Language (SDDL).
В таблице А.1.1 показано соответствие между разделами групповой политики и секциями файла шаблона безопасности.

Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
96
Таблица А.1.1 – Формат шаблона безопасности


Поделитесь с Вашими друзьями:
1   2   3   4   5   6   7   8   9   ...   14


База данных защищена авторским правом ©nethash.ru 2017
обратиться к администрации

войти | регистрация
    Главная страница


загрузить материал