Руководство по безопасной настройке и контролю сертифицированной версии зао «алтэкс-софт», 2011



Скачать 15.71 Kb.

страница6/14
Дата26.11.2016
Размер15.71 Kb.
Просмотров307
Скачиваний0
ТипРуководство
1   2   3   4   5   6   7   8   9   ...   14
Раздел групповой политики
Раздел шаблона безопасности
Политика учетных записей (Account Policy)
[System Access]
Политика аудита (Audit Policy)
[System Log]
[Security Log]
[Application Log]
Назначение прав пользователя (User Rights
Assignment)
[Privilege Rights]
Параметры безопасности (Security Options)
[Registry Values]
Журналы событий (Event Log)
[Event Audit]
Группы с ограниченным доступом (Restricted
Groups)
[Group Membership]
Системные службы (System Services)
[Service General Setting]
Реестр (Registry)
[Registry Keys]
Файловая система (File System)
[File Security]

А.2

Параметры безопасности компьютеров под управлением операционной системы
Microsoft
®
Windows Server 2003
A.2.1

Описание параметров безопасности, общих для всех рядовых серверов в рамках
домена Active Directory
Параметры безопасности, представленные в данном разделе, учитывают особенности конфигураций «Enterprise Client» и «Specialized Security – Limited Functionality». В данном разделе рассматриваются основные параметры безопасности, для настройки которых в домене Active Directory используется групповая политика. Применяемые параметры безопасности являются общими для всех рядовых серверов (Member Server Baseline Policy) в рамках домена Active Directory и позволяют обеспечить базовый уровень защищенности
(Baseline Level) компьютеров. Применение рекомендованных параметров безопасности позволяет защитить информацию, обрабатываемую на компьютерах в организации.
Параметры политики учетных записей
Поскольку политика учетных записей домена определяется в рамках всего домена, она не может быть переопределена любой другой политикой безопасности. Контроллер домена всегда получает политику учетных записей от объекта групповой политики «Default

Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
97
Domain Policy» (Политика домена, используемая по умолчанию), даже если имеется другая политика учетных записей, примененная к организационному подразделению, которое содержит учетную запись контроллера домена.
При отсутствии политики учетных записей или ее неправильной настройке пользователи получают возможность использования простых форм паролей, не отвечающих требованиям сложности (например, совпадающие с именем входа пользователя), и возможность пользоваться одним и тем же паролем на протяжении неограниченного времени, что дает злоумышленнику возможность организации атак различных типов, направленных на подбор пароля пользователя.
С другой стороны, если настройки политики учетных записей будут чрезмерно жесткими, это приведет к частой смене пользователями своих паролей и увеличению случаев блокирования учетных записей в результате неправильного ввода пароля самими же пользователями. Приведенные далее рекомендации помогут правильно определить оптимальные значения для соответствующих параметров политики учетных записей, к которым относят политику паролей и политику блокировки учетной записи.

Политика паролей
Использование регулярно изменяемых, сложных паролей снижает вероятность их подбора. Параметры политики паролей служат для определения уровня сложности и длительности использования паролей.
Для обеспечения требуемого уровня безопасности с помощью редактора объекта групповой политики необходимо настроить параметры политики паролей в следующем разделе пространства имен ОГП «Default Domain Policy»: Конфигурация компьютера\
Конфигурация Windows\Параметры безопасности\Политики учетных записей
\Политика паролей (см. таблицу А.2.1).
Таблица А.2.1 – Параметры политики паролей, используемые для обеспечения безопасности компьютеров под управлением операционной системы Microsoft
®
Windows
Server 2003
Название параметра
Конфигурация безопасности
Enterprise Client
Specialized Security –
Limited Functionality
Максимальный срок действия пароля
90 дней
90 дней
Минимальная длина пароля
8 символов
12 символов

Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
98
Название параметра
Конфигурация безопасности
Enterprise Client
Specialized Security –
Limited Functionality
Минимальный срок действия пароля
1 день
1 день
Пароль должен отвечать требованиям сложности
Включен
Включен
Хранить пароли, используя обратное шифрование
Отключен
Отключен
Требовать неповторяемости паролей
24 хранимых пароля
24 хранимых пароля
Параметр безопасности «Максимальный срок действия пароля» определяет частоту смены паролей пользователями, а также ограничивает период времени, в течение которого злоумышленник, подобравший пароль пользователя, сможет получать доступ к компьютеру. Значение данного интервала может находиться в диапазоне от 0 до 999 дней.
Подобрать можно практически любой пароль, следовательно, чем чаще пароль изменяется, тем меньше у злоумышленника возможностей им воспользоваться. В то же время, установка слишком низкого значения может привести к резкому росту количества обращений в службу технической поддержки пользователей сети. Установка для трех типов конфигураций безопасности рекомендованного значения параметра «Максимальный срок действия пароля» равным «90 дням» позволит обеспечить регулярность смены пароля, повышая тем самым безопасность его использования.
Параметр безопасности «Минимальная длина пароля» определяет минимальное количество символов пароля. Данный параметр не позволяет использовать пустые пароли, а также пароли, количество символов в которых меньше минимально допустимого.
Увеличение длины пароля на один символ приводит к экспоненциальному повышению сложности его подбора. Например, использование семизначного пароля означает 1x10 7
возможных комбинаций. С учетом регистра, количество комбинаций (при использовании только символов латинского алфавита) составляет 52 7
. Следовательно, 7- символьный пароль, состоящий только из символов алфавита без знаков пунктуации, с учетом регистра имеет 62 7
комбинаций. При скорости 1 000 000 подстановок в секунду для взлома такого пароля потребуется всего 48 минут. 8-символьный пароль означает 2x10 11
комбинаций. При скорости 1 000 000 подстановок в секунду (показатель многих программ для определения паролей), все возможные комбинации будут проверены через 59 часов.
Увеличение длины пароля на один символ также приводит к экспоненциальному повышению его надежности. Использование паролей длиной не менее восьми символов приводит к значительному усилению даже менее надежного механизма хеширования

Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
99
паролей, как LMHash, поскольку в этом случае злоумышленнику необходимо взломать две части каждого пароля.
В тоже время, применение слишком длинных паролей приводит к учащению ошибок при вводе пароля, увеличению числа заблокированных учетных записей и, как следствие, обращений в службу технической поддержки. Кроме того, использование слишком длинных паролей может привести к фактическому снижению безопасности, поскольку пользователи из боязни забыть пароль вынуждены его записывать.
Исходя их этого, в конфигурации «Enterprise Client» рекомендуемое минимальное значение длина пароля составляет 8 символов. Пароли такой длины позволяют обеспечить соответствующий уровень безопасности и сравнительно легко запоминаются пользователями. В конфигурации безопасности «Specialized Security – Limited Functionality» должны использоваться пароли длинной не менее 12 символов.
Параметр безопасности «Минимальный срок действия пароля» устанавливает длительность периода времени использования пароля до того, как пользователь получит право его сменить. Значение данного параметра может находиться в диапазоне от 1 до 998 дней. При использовании значения равным 0, пользователь получает возможность смены пароля немедленно.
Только при значениях данного параметра, отличных от нуля, обеспечивается эффективность использования параметра безопасности «Требовать неповторяемости паролей»
. В ином случае пользователь имеет возможность сменить пароль несколько раз подряд, пока не достигнет уже использованного однажды значения. Принятое по умолчанию значение не в полной мере соответствует этой рекомендации, поэтому для трех конфигураций безопасности рекомендуется установить значение параметра «Минимальный срок действия пароля» равным «1 день». Это ограничение не позволит менять пароль чаще одного раза в два дня и, таким образом, препятствует повторному использованию старого пароля пользователями. Кроме того, необходимость использования пароля не менее 1 дня способствует его запоминанию и не дает возможности сразу ввести 24 пароля с целью обхода параметра безопасности «Требовать неповторяемости паролей».
Параметр безопасности «Пароль должен отвечать требованиям сложности» служит для проверки новых паролей на соответствие минимальным базовым требованиям, которые предъявляются к их надежности, а именно:

пароль не может содержать имя учетной записи пользователя или какую-либо его часть;

Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
100

пароль должен состоять не менее чем их шести символов (данное требование переопределяется параметром безопасности «Минимальная длина пароля»);

в пароле должны присутствовать символы трех категорий из числа следующих четырех:

прописные буквы английского алфавита от А до Z;

строчные буквы английского алфавита от а до z;

десятичные цифры (от 0до 9);

неалфавитные символы (например, !, $, &; #, %),
Использование пользователями сложных паролей помогает противостоять атакам на сетевые пароли – как словарным, так и основанным на методе прямого перебора. Словарная атака (dictionary attack) направлена на попытки использовать злоумышленником в качестве пароля либо общеупотребительные слова из орфографического словаря, либо наиболее распространенные пароли и часто используемые словообразования. Атака методом прямого перебора (brute force attack) основана на переборе нарушителем всевозможных комбинации до тех пор, пока одна из них не совпадет с паролем.
Использование пользователями паролей, соответствующих вышеуказанным критериям, позволяет значительно увеличить промежуток времени, который необходим злоумышленнику для осуществления словарных атак. В частности, при использовании 8- символьного пароля, включающего цифры и прописные и строчные символы латинского алфавита, число возможных комбинаций пароля составит 2,18х10 14
. При скорости 1 000 000 подстановок в секунду все возможные комбинации будут проверены примерно через 7 лет.
Поэтому во всех конфигурациях безопасности данный параметр безопасности должен иметь значение «Включен».
Параметр безопасности «Требовать неповторяемости паролей» определяет число новых паролей, которые должны быть сопоставлены учетной записи пользователя, прежде чем можно будет снова использовать старый пароль. Эффективность данного параметра обеспечивается использованием параметра «Минимальный срок действия пароля»
, который предотвращает попытки слишком частого изменения пароля пользователем.
Для трех рассматриваемых конфигураций безопасности рекомендуемое значение данного параметра соответствует «24 хранимых пароля». Установка максимального значения («24 хранимых пароля» является максимально возможным значением) предотвращает повторное (случайное или преднамеренное) использование пользователем пароля, повышая тем самым безопасность системы. Кроме того, утраченные пароли станут

Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
101
недействительными еще до того, как злоумышленник успеет взломать с их помощью учетную запись пользователя.
Параметр безопасности «Хранить пароли всех пользователей в домене, используя обратимое шифрование» определяет возможность использования операционной системой обратимого шифрования при сохранении паролей. Этот параметр обеспечивает поддержку приложений, использующих протоколы, которым для проверки подлинности нужно знать пароль пользователя. Хранение паролей с использованием обратимого шифрования фактически является альтернативой хранению их открытым текстом. Поэтому данную политику следует использовать лишь в исключительных случаях, если потребности приложения важнее, чем безопасность пароля. Эта политика является обязательной при использовании протокола аутентификации Challenge-Handshake
Authentication Protocol (CHAP) и при использовании проверки подлинности методом Digest
Authentication.
Поскольку активация данного параметра приводит к значительному повышению уязвимости операционной системы Microsoft
®
Windows Server 2003, во всех конфигурациях безопасности данную возможность необходимо отключить.
Политика блокировки учетной записи
Политика блокировки, определяет необходимость блокировки учетной записи, если в течение заданного периода времени системой регистрируется определенное количество неудачных попыток входа. Количество неудачных попыток входа в систему и период времени блокировки устанавливаются с помощью параметров политики блокировки учетной записи. Пользователь не сможет войти в систему, если его учетная запись заблокирована, поскольку все попытки входа в систему отслеживаются.
С целью предотвращения возможности подбора пароля злоумышленником и снижения вероятности получения несанкционированного доступа к сети с использованием редактора объектов групповой политики необходимо настроить параметры политики блокировки учетной записи в следующем разделе пространства имен ОГП «Default Domain
Policy»:
Конфигурация компьютера\Конфигурация
Windows\Параметры безопасности\Политики учетных записей\Политика блокировки учетной записи (см. таблицу А.2.2).

Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
102
Таблица А.2.2 – Параметры политики блокировки учетной записи, используемые для обеспечения безопасности компьютеров под управлением операционной системы Microsoft
®
Windows Server 2003
Название параметра
Конфигурация безопасности
Enterprise Client
Specialized Security –
Limited Functionality
Время до сброса счѐтчика блокировки
15 минут
15 минут
Пороговое значение блокировки
50 ошибок входа
10 ошибок входа
Продолжительность блокировки учѐтной записи
15 минут
15 минут
Параметр безопасности «Блокировка учетной записи на» служит для определения периода времени, по прошествии которого пользователь сможет повторить попытку входа в систему. В течение указанного периода времени учетная запись пользователя будет заблокирован. В случае если значение данного параметра безопасности установлено равным нулю, учетная запись будет недоступна до тех пор, пока администратор вручную не разблокирует ее. Это является хорошей практикой, но может привести к увеличению числа заблокированных учетных записей вследствие ошибок при вводе пароля и, как результат, обращений в службу технической поддержки.
Установка значения параметра «Блокировка учетной записи на» равное
«15 минут» в конфигурациии «Enterprise Client» и «15 минут» в конфигурации
«Specialized Security – Limited Functionality» обеспечивает достаточную защищенность системы от атак типа «отказ в обслуживании» (при реализации которых злоумышленник может умышленно осуществлять неудачные попытки входа с использованием различных учетных записей пользователей с целью их блокирования системой), не вызывая при этом увеличения количества обращений в службу поддержки пользователей сети.
Параметр безопасности «Пороговое значение блокировки» определяет число неудачных попыток входа в систему, после которых учетная запись пользователя блокируется. Блокированную учетную запись нельзя использовать до тех пор, пока администратором не будет сброшена блокировка или пока не истечет интервал блокировки.
Поскольку уполномоченные пользователи могут заблокировать собственные учетные записи, неправильно введя пароль, то чтобы избежать непреднамеренной блокировки учетных записей необходимо установить высокое пороговое значение блокировки. Для конфигурации безопасности «Enterprise Client» рекомендуется установить значение

Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
103
блокировки равным «50 ошибок входа в систему», для конфигурации «Specialized
Security – Limited Functionality» - равным «10 ошибок входа в систему». Указанные значения позволят избежать частого обращения пользователей в службу поддержки в случае непреднамеренной блокировки ими собственной учетной записи, однако не исключат возможные реализации атак типа «отказ в обслуживании», направленных на преднамеренную блокировку учетных записей.
Параметр безопасности «Сброс счетчика блокировки через» служит для определения периода времени, который должен пройти после неудачной попытки входа в систему, прежде чем счетчик неудачных попыток будет сброшен в 0. Использование значения по умолчанию или определение слишком длинного интервала делает систему уязвимой перед проведением атаки типа «отказ в обслуживании». Нарушитель может преднамеренно выполнить несколько попыток входа в систему от имени всех пользователей, что приведет к блокировке их учетных записей. Если интервал времени, по прошествии которого выполняется сброс счетчика, не определен, администратору придется разблокировать все учетные записи вручную. С другой стороны, при использовании продуманного значения, учетные записи пользователей будут разблокированы автоматически по истечении заданного периода времени, что уменьшит число обращений в службу поддержки.
Таким образом, для конфигурации безопасности «Enterprise Client» рекомендуется установить значение параметра «Сброс счетчика блокировки через» равным «15 минутам»
, для конфигурации «Specialized Security – Limited Functionality» - также, равным
«15 минутам».
В случае, когда компьютер является автономным компьютером под управлением операционной системы Microsoft
®
Windows Server 2003 в конфигурации «Specialized Security
– Limited Functionality», параметры политики учетных записей должны определяться для него отдельно от существующей в домене политики учетных записей пользователей.

Параметры локальной политики
Параметры локальной политики должны быть настроены централизованно для всего множества компьютеров, функционирующих в заданной конфигурации безопасности. Для этого используется объекты групповой политики, базирующиеся на основе службы каталогов Active Directory. К параметрам локальной политики относят политику аудита, назначение прав пользователям и параметры безопасности.

Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
104
Параметры политики аудита
Параметры политики аудита определяют категории событий безопасности, которые отслеживаются системой и включаются в соответствующий отчет. В результате этого создается журнал регистрации определенных действий самой системы и пользователей
(далее – журнал регистрации событий безопасности). Таким образом, администратор получает возможность отслеживать действия, относящиеся к безопасности, например, доступ к контролируемому объекту, вход/выход пользователя в/из системы, а также изменения параметров политики аудита.
Перед внедрением политики аудита необходимо определить категории событий, которые будут отслеживаться системой. Политика аудита определяется выбранными для каждой категории событий параметрами. Путем определения параметров для различных категорий событий можно создавать политику аудита, удовлетворяющую всем требованиям безопасности организации.
Если политика аудита не настроена, то в случае возникновения нарушений, связанных с безопасностью, будет сложно (или невозможно) определить сущность, источник и другие параметры нарушений. С другой стороны, если подсистема аудита отслеживает большое количество событий аудита, журнал регистрации событий безопасности будет переполнен бесполезной информацией. Приведенные далее рекомендации помогут взвешенно подойти к определению отслеживаемых действий и метода сбора данных аудита.
С помощью редактора групповой политики необходимо настроить параметры политики аудита в следующем разделе пространства имен объекта групповой политики:
Конфигурация компьютера\Конфигурация Windows\Параметры безопасности
\Локальные политики\Политика аудита (см. таблицу А.2.3).
Таблица А.2.3 – Параметры политики аудита, используемые для обеспечения безопасности компьютеров под управлением операционной системы Microsoft
®
Windows
Server 2003
Название параметра
Конфигурация
«Enterprise»
Конфигурация
«Specialized Security –
Limited Functionality»
Аудит входа в систему
Успех
Успех, Отказ
Аудит изменения политики
Успех
Успех
Аудит системных событий
Успех
Успех
Аудит событий входа в систему
Успех
Успех, Отказ

Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
105
Название параметра
Конфигурация
«Enterprise»
Конфигурация
«Specialized Security –
Limited Functionality»
Аудит управления учетными записями
Успех
Успех, Отказ
Аудит использования привилегий
Не определено
Отказ
Аудит доступа к службе каталогов
Не определено
Отказ
Параметр «Аудит событий входа в систему» используется для определения, подлежит ли аудиту каждая попытка пользователя войти в систему или выйти из нее на другом компьютере, при условии, что обработка запроса на проверку правильности учетной записи пользователя осуществляется компьютером, ведущим журнал регистрации событий.
Таким образом, события, контролируемые параметром «Аудит событий входа в систему» заносятся в журнал на том компьютере, где хранится учетная запись пользователя.
Этот параметр позволяет вести учет успешных и неудавшихся попыток входа пользователей в систему. Параметр позволяет администратору определять системы в сети, доступ к которым был получен с компьютера под управлением операционной системе
Microsoft® Windows Server™ 2003. Для конфигурации «Enterprise», параметр «Аудит событий входа в систему» должен иметь значение «Успех», а для «Specialized
Security – Limited Functionality» - «Успех, Отказ».
Параметр «Аудит управления учетными записями» используется для отслеживания попыток создания новых пользователей и групп, переименования пользователей и групп, активации и деактивации учетных записей пользователей, изменения пароля учетных записей, а также включения аудита событий управления учетными записями.
Активация этого параметра политики аудита позволяет администратору контролировать злонамеренное, случайное и санкционированное создание учетных записей пользователей и групп. Для конфигурации «Enterprise», параметр «Аудит управления учетными записями» должен иметь значение «Успех», а для «Specialized Security –
Limited Functionality» - «Успех, отказ».
Параметр «Аудит доступа к службе каталогов» может быть активирован только на контроллерах домена. По этой причине на уровне рабочих станций он не определяется.



Поделитесь с Вашими друзьями:
1   2   3   4   5   6   7   8   9   ...   14


База данных защищена авторским правом ©nethash.ru 2017
обратиться к администрации

войти | регистрация
    Главная страница


загрузить материал