Руководство по безопасной настройке и контролю сертифицированной версии зао «алтэкс-софт», 2011



Скачать 15.71 Kb.

страница7/14
Дата26.11.2016
Размер15.71 Kb.
Просмотров309
Скачиваний0
ТипРуководство
1   2   3   4   5   6   7   8   9   10   ...   14
Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
106
Параметр «Аудит входа в систему» используется для отслеживания успешных и неудавшихся попыток входа в систему следующих типов: интерактивный вход, сетевой вход, вход в качестве службы и вход в качестве пакетного задания. События, контролируемые параметром «Аудит входа в систему», заносятся в журнал регистрации событий на том компьютере, где сделана попытка войти в систему.
Этот параметр позволяет администратору контролировать перечисленные события и вести учет успешных и неудавшихся попыток входа в компьютеры под управлением операционной системы Microsoft® Windows Server™ 2003. Для конфигурации «Enterprise», параметр «Аудит управления учетными записями» должен иметь значение
«Успех», а для
«Specialized Security – Limited Functionality» - «Успех, отказ».
Параметр «Аудит изменения политики» служит для отслеживания изменений прав пользователей и политики аудита. Настройка данного параметра позволяет администратору подтверждать санкционированные изменения и выявлять несанкционированные. Все изменения прав пользователей или политики аудита записываются в виде событий в журнал регистрации событий.
Для конфигурации «Enterprise» и «Specialized Security – Limited Functionality» параметр «Аудит управления учетными записями» должен иметь значение
«Успех».
Параметр «Аудит использования привилегий» позволяет отслеживать действия, для выполнения которых требуется использование предоставленных учетной записи пользователя особых привилегий. При их использовании соответствующие события будут записаны в журнал регистрации событий. Кроме того, этот параметр используется для учета попыток создания резервных копий и восстановления файлов или папок с помощью соответствующих прав пользователя. Однако эти события будут фиксироваться только в том случае, если активирован параметр безопасности для отслеживания попыток создания резервных копий и восстановления.
Данный параметр должен быть активирован для конфигурации безопасности
«Specialized Security – Limited Functionality». При этом рекомендуется осуществлять аудит только неуспешных попыток использования привилегий, поскольку при аудите успешных попыток в журнале безопасности будет регистрироваться значительное количество записей аудит, что в свою очередь приведет к его быстрому переполнению.
Параметр «Аудит системных событий» позволяет отслеживать успешные и неудачные системные события для выявления случаев несанкционированного доступа к системе. К числу системных событий относятся запуск и выключение компьютеров,

Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
107
переполнение журналов регистрации событий, и прочие, имеющие отношение к безопасности события, которые оказывают влияние на систему в целом.
По этой причине в конфигурациях «Enterprise» и «Specialized Security – Limited
Functionality» параметр «Аудит системных событий» должен иметь значение
«Успех».
Параметры назначения прав пользователей
Задачи, которые пользователь имеет право выполнять в домене или в операционной системе, установленной на компьютере, называются правами пользователя. Существует два типа прав: права, связанные с входом в систему, и привилегии. Права, связанные с входом в систему, определяют, кто и как имеет право входить в систему на конкретном компьютере. С помощью привилегий контролируется доступ с данного компьютера ко всем ресурсам системы, причем привилегии могут переопределять разрешения, установленные для отдельных объектов.
Приведенные далее рекомендации помогут правильно определить оптимальные значения для соответствующих параметров назначений прав пользователя (см. таблицу
А.2.4).
В операционной системе Microsoft® Windows Server™ 2003 параметры назначения прав пользователей следует настраивать в редакторе групповой политики в следующем разделе пространства имен объекта групповой политики: Конфигурация компьютера\
Конфигурация Windows\Параметры безопасности\Локальные политики\
Назначение прав пользователей.
Таблица А.2.4 – Параметры назначения прав пользователей, используемые для обеспечения безопасности компьютеров под управлением операционной системы Microsoft® Windows
Server™ 2003

п/п
Название параметра
Конфигурация
«Enterprise»
Конфигурация
«Specialized Security –
Limited Functionality»
1.

Доступ к компьютеру из сети
Не задано
Группа: контроллеры домена предприятия
Все пользователи, прошедшие проверку
(гость в эту группу не входит)

Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
108

п/п
Название параметра
Конфигурация
«Enterprise»
Конфигурация
«Specialized Security –
Limited Functionality»
Группа: администраторы
2.
Работа в режиме операционной системы
Не задано
Никто
3.

Настройка квот памяти для процесса
Не задано
Локальная служба 'LOCAL SERVICE'
Сетевая служба 'NETWORK SERVICE'
Группа: администраторы
4.

Локальный вход в систему
Группа: администраторы
Группа: опытные пользователи
Группа: операторы архива
Группа: администраторы
5.

Разрешать вход в систему через службу терминалов
Группа: администраторы
Группа: пользователи удаленного рабочего стола
Группа: администраторы
6.
Архивирование файлов и каталогов
Не задано
Группа: администраторы
7.

Обход перекрестной проверки
Не задано
Все пользователи, прошедшие проверку
(гость в эту группу не входит)
8.

Изменение системного времени
Не задано
Локальная служба 'LOCAL SERVICE'
Группа: администраторы
9.
Создание страничного файла
(pagefile)
Не задано
Группа: администраторы
10.

Отладка программ
Группа: администраторы
Не задано
11.

Cоздание маркерного объекта
Не задано
Никто

Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
109

п/п
Название параметра
Конфигурация
«Enterprise»
Конфигурация
«Specialized Security –
Limited Functionality»
12.

Cоздание объектов в глобальном пространстве имѐн
Не задано
Группа: все участники безопасности, вошедшие в систему в качестве службы.
Принадлежность контролируется операционной системой(СЛУЖБА)
Группа: администраторы
13.
Cоздание постоянных объектов совместного использования
Не задано
Никто
14.
Отказ в доступе к этому компьютеру из сети
Группа: гости
АНОНИМНЫЙ ВХОД
Группа: гости
АНОНИМНЫЙ ВХОД
15.
Отказ во входе в качестве пакетного задания
Группа: гости
Группа: гости
16.

Отклонить локальный вход
Не задано
Группа: гости
17.
Запретить вход в систему через службу терминалов
Группа: гости
Группа: гости
18.
Разрешение доверия к учетным записям при делегировании
Не задано
Группа: администраторы
19.
Принудительное удаленное завершение
Не задано
Группа: администраторы
20.

Создание журналов безопасности
Не задано
Локальная служба 'LOCAL SERVICE'
Сетевая служба 'NETWORK SERVICE'
21.
Управление аудитом и журналом безопасности
Не задано
Группа: администраторы

Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
110

п/п
Название параметра
Конфигурация
«Enterprise»
Конфигурация
«Specialized Security –
Limited Functionality»
22.

Олицетворение клиента после проверки подлинности
Не задано
Группа: все участники безопасности, вошедшие в систему в качестве службы.
Принадлежность контролируется операционной системой(СЛУЖБА)
Группа: администраторы
23.
Увеличение приоритета диспетчирования
Не задано
Группа: администраторы
24.
Загрузка и выгрузка драйверов устройств
Не задано
Группа: администраторы
25.

Закрепление страниц в памяти
Не задано
Никто
26.
Изменение параметров среды оборудования
Не задано
Группа: администраторы
27.
Запуск операций по обслуживанию тома
Не задано
Группа: администраторы
28.

Профилирование одного процесса Не задано
Группа: администраторы
29.
Профилирование загруженности системы
Не задано
Группа: администраторы
30.
Извлечение компьютера из стыковочного узла
Не задано
Группа: администраторы
31.

Замена маркера уровня процесса
Не задано
Локальная служба 'LOCAL SERVICE'
Сетевая служба 'NETWORK SERVICE'
32.
Восстановление файлов и каталогов
Не задано
Группа: администраторы
33.

Завершение работы системы
Не задано
Группа: администраторы
34.
Овладение файлами или иными объектами
Не задано
Группа: администраторы
Параметр «Доступ к компьютеру из сети» определяет категории пользователей, которым предоставлено право подключения к данному компьютеру по сети.

Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
111
Это право необходимо при работе с рядом сетевых протоколов, включая протоколы SMB
(Server Message Block), NetBIOS (Network Basic Input/Output System), CIFS (Common Internet
File System), HTTP (Hypertext Transfer Protocol) и COM+ (Component Object Model Plus).
Пользователи, работающие на подключенном к сети компьютере, могут иметь доступ к открытым для них сетевым ресурсам. В свою очередь некоторые программы автоматически добавляют к списку учетных записей пользователей, которым предоставлено данное право, группу «Все». При наличии такой группы доступ к компьютерам сети смогут иметь анонимные пользователи, наряду с теми, кто прошел процедуры идентификации и аутентификации. Чтобы не допустить этого, в конфигурации «Specialized Security – Limited
Functionality» данное право следует предоставить группам «Контроллеры домена предприятия»,«Администраторы» и
«Все пользователи прошедшие проверку».
Право «Работа в режиме операционной системы» разрешает процессу проходить проверку подлинности как обычному пользователю, выступая в последствии от его имени, и таким образом получать доступ к тем же ресурсам, что и любой пользователь.
Эта привилегия требуется только для служб проверки подлинности низкого уровня.
Потенциально доступ не ограничен ресурсами, назначенными пользователю по умолчанию, поскольку для процесса вызова может потребоваться, чтобы в описатель доступа были внесены еще какие-либо разрешения. Более важным является тот фактор, что процесс вызова может создать анонимный описатель, способный поддержать любые разрешения на доступ. Кроме того, этот описатель не может служить уникальным идентификатором при отслеживании событий в журнале аудита. По этим причинам, в конфигурации безопасности «Specialized Security – Limited Functionality» указанной привилегией не должен обладать никто.
Параметр «Настройка квот памяти для процесса» определяет, какие учетные записи могут использовать процесс, обладающий разрешением «Запись свойства» для доступа к другому процессу, с целью увеличить назначенную последнему квоту ресурсов процессора. Данная привилегия используется для настройки системы, но ее использование может вызвать неблагоприятные последствия, например, в случае атаки типа «отказ в обслуживании» (Denial of Service).
Исходя из этого, в конфигурации «Specialized Security – Limited Functionality» право
«Настройка квот памяти для процесса» необходимо предоставить только группе
«Администраторы», «Локальная служба» (Local Service) и «Сетевая служба»
(Network Service).

Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
112
Право «Локальный вход в систему» определяет перечень пользователей, которые могут осуществлять интерактивный вход в систему. Оно также необходимо при входе в систему с помощью службы терминалов или службы Internet Information Service (IIS).
Учетная запись с правом локального входа в систему позволяет использовать для входа консоль компьютера. Если предоставить это право группе «Все», то помимо пользователей, обладающих действительными учетными записями, вход в систему может быть выполнен несанкционированным пользователем, с целью загрузить и выполнить злонамеренную программу для получения более высоких привилегий.
Исходя из этого, в конфигурации «Enterprise» это право необходимо предоставить только группе «Администраторы», а в конфигурации «Specialized Security –
Limited
Functionality
»
- группам
«Администраторы»,
«Опытные пользователи» и «Операторы архива».
Параметр «Разрешать вход в систему через службу терминалов» предоставляет соответствующим пользователям и членам групп входить в систему в качестве клиента службы терминалов. При использовании «Удаленного помощника» корпоративной службой поддержки необходимо создать соответствующую группу и предоставить ей с помощью групповой политики право входа в систему через службу терминалов. Если служба поддержки в организации не использует возможности
«Удаленного помощника», данное право необходимо предоставить только группе
«Администраторы»
, что позволит ограничить возможность доступа к компьютерам с использованием «Удаленного помощника» нежелательных пользователей. Кроме того, необходимо воспользоваться таким средством, как группы с ограниченным доступом, для обеспечения отсутствия в составе группы безопасности «Пользователи удаленного рабочего стола» учетных записей каких-либо пользователей.
Исходя из этого, в конфигурации «Specialized Security – Limited
Functionality» право «Разрешать вход в систему через службы терминалов» необходимо предоставить только группе «Администраторы», а в конфигурации «Enterprise» - группам «Администраторы» и «Пользователи удаленного рабочего стола».
Параметр
«Архивирование файлов и каталогов» предоставляет соответствующим пользователям обходить ограничения на доступ к файлам и каталогам при создании архивной копии системы. Это право действует только тогда, когда приложение обращается к файлам и каталогам посредством интерфейса API для архивирования

Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
113
файловой системы NTFS, как например программа NTBACKUP.EXE. В противном случае применяются обычные разрешения на доступ к файлам и каталогам.
В конфигурации «Specialized Security – Limited Functionality», данное право, определяющее границы доступа к файлам и папкам на клиентских компьютерах, необходимо предоставить только локальной группе «Администраторы».
Параметр «Обход перекрестной проверки» в конфигурации «Specialized
Security – Limited Functionality», должен быть предоставлен всем пользователям, прошедшим проверку (Гость в эту группу не входит).
Параметр «Изменение системного времени» предоставляет пользователям право изменять время и дату на внутренних часах компьютеров. Действия пользователей, обладающих таким правом, могут повлиять на отображение записей в журналах регистрации событий. Изменение системного времени приводит к тому, что записанным событиям соответствует новое время, а не время их действительного возникновения. Кроме того, несоответствие между временами, установленными на локальном компьютере и на контроллерах домена, может вызвать проблемы в работе протокола проверки подлинности
Kerberos, в результате чего пользователи не смогут подключиться к домену или получить права на доступ к ресурсам домена после входа в сеть. Вследствие этого, в конфигурации
«Specialized Security – Limited Functionality» данным правом должны обладать только члены группы «Администраторы» и «Локальная служба 'LOCAL SERVICE'».
Параметр «Создание страничного файла» определяет возможность создания пользователем, обладающим данным правом, страничного файла и изменения его размера.
Создавая файл подкачки значительного размера, или делая его очень маленьким, злоумышленник может влиять на производительность системы.
Исходя из этого, в конфигурации «Specialized Security – Limited Functionality» данное право должно быть предоставлено только группе безопасности «Администраторы».
Параметр «Создание постоянных объектов совместного использования» определяет, какие учетные записи могут использоваться процессами для создания объекта каталога в диспетчере объектов системы. Это означает, что пользователь, обладающий данной привилегией, сможет создавать общие папки, принтера и другие объекты. Данная привилегия необходима для компонентов режима ядра, которые расширяют пространство имен объектов. Поскольку компоненты, работающие в режиме ядра, уже обладают этой привилегией, им не нужно специально назначать ее.
Исходя из этого, в конфигурации «Specialized Security – Limited Functionality» данное право не должно быть предоставлено никому (значение «No One» – Никто).

Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
114
Параметр «Создание маркерного объекта» определяет, какие учетные записи могут использоваться процессами для создания маркера доступа, позволяющего получать доступ к локальным ресурсам. В средах, в которых предъявляются высокие требования к безопасности, данное право не должно быть предоставлено никому. Процессам, которым необходима данная привилегия, рекомендуется использовать учетную запись «Локальная система» (Local System), уже включающую данную привилегию, а не отдельную учетную запись пользователя, специально назначая ей эту привилегию.
Исходя из этого, в конфигурации «Specialized Security – Limited Functionality» использование данной привилегии должно быть запрещено для всех (значение «No One» –
Никто).
Параметр «Отладка программ» предоставляет пользователя право вызывать отладчик для работы с любым процессом или ядром. Данное право не требуется разработчикам, которые отлаживают приложения, запускаемые в рамках их собственной пользовательской учетной записи. Однако разработчикам, отлаживающим системные компоненты или приложения, запускаемые в рамках других учетных записей, такое право необходимо. Данное право обеспечивает пользователям доступ к самым важным компонентам операционной системы. При отладке можно получить точные сведения о системе из системной памяти. Некоторые средства несанкционированного доступа используют право на отладку программ для извлечения хешированных паролей и других сведений, критичных для безопасности. Для минимизации риска в конфигурации
«Enterprise» данной привилегией должны обладать только участники группы безопасности
«Администраторы».
Назначение права «Отказ в доступе к компьютеру из сети» означает для пользователей запрет на доступ к данному компьютеру через сеть. Данный параметр имеет больший приоритет по сравнению с параметром «Доступ к компьютеру из сети», если учетная запись пользователя контролируется обеими политиками. В средах, в которых предъявляются высокие требования к безопасности, удаленный доступ пользователей к рабочим станциям должен быть блокирован. Для обеспечения контролируемого доступа к совместно используемым ресурсам должны быть использованы файловые сервера.
В связи с этим, в обеих конфигурациях доступ к рабочим станциям из сети наряду с анонимными пользователями, должны быть лишены пользователи группы «Гость».
Параметр «Отклонить локальный вход» определяет, каким пользователям запрещается интерактивный вход в систему на данном компьютере с консоли. Если злоумышленнику разрешен интерактивный вход в ОС на заданном компьютере, то он

Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
115
обладает потенциальной возможностью загрузки злонамеренного кода и, таким образом, повышения собственных полномочий в системе. Кроме того, с этим связано наличие других угроз безопасности. Таким образом, данное право должно быть предоставлено только тем категориям пользователей, которые осуществляют интерактивную регистрацию в системе.
Данная политика отменяет политику «Локальный вход в систему», если учетная запись пользователя контролируется обеими политиками.
Исходя из этого, в конфигурации безопасности «Specialized Security – Limited
Functionality» интерактивный локальных вход в систему должен быть запрещен с использованием учетной записи группы «Гость».
Назначение права «Запретить вход в систему через службу терминалов» означает для пользователей запрет на подключение к компьютерам с помощью удаленного рабочего стола. Введение запрета на подключение к компьютерам через службы терминалов для группы «Все» означает распространение этого запрета и на определенную по умолчанию группу «Администраторы». Поэтому право «Запретить вход в систему через службу терминалов» в конфигурациях «Enterprise» и
«Specialized Security – Limited Functionality» должно быть предоставлено группе «Гости».
Параметр «Разрешение доверия к учетным записям при делегировании» определяет, какие пользователи обладают полномочиями по управлению атрибутом
«Доверен для делегирования» в отношении объектов «пользователь» или
«компьютер» каталога Active Directory. Серверный процесс, который работает на компьютере (или в контексте безопасности пользователя), доверенном для делегирования, может получать доступ к ресурсам другого компьютера, используя делегированные учетные данные клиента, при условии, что для учетной записи клиента не установлен атрибут
«Учетная запись важна и не может быть делегирована»
. Таким образом, наличие у злоумышленника данной привилегии может позволить ему выступать от имени
(имперсонировать) другого пользователя при доступе к защищаемым ресурсам.
Исходя из этого, в конфигурации безопасности «Specialized Security – Limited
Functionality» использование данной привилегии должно быть предоставлено группе
«Администраторы».
Право «Принудительное удаленное завершение» дает возможность пользователям дистанционно по сети отключать компьютеры под управлением операционной системы Microsoft® Windows Server™ 2003. Так как любой пользователь, имеющий право на отключение компьютера, может спровоцировать атаку типа «отказ в



Поделитесь с Вашими друзьями:
1   2   3   4   5   6   7   8   9   10   ...   14


База данных защищена авторским правом ©nethash.ru 2017
обратиться к администрации

войти | регистрация
    Главная страница


загрузить материал