Руководство по безопасной настройке и контролю сертифицированной версии зао «алтэкс-софт», 2011



Скачать 15.71 Kb.

страница8/14
Дата26.11.2016
Размер15.71 Kb.
Просмотров333
Скачиваний0
ТипРуководство
1   ...   4   5   6   7   8   9   10   11   ...   14
Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
116
обслуживании» – ситуацию, при которой компьютер не может обслуживать запросы пользователей, то в связи с этим данное право рекомендуется предоставлять только группе
«Администраторы».
Поэтому право «Принудительное удаленное завершение» в конфигурации
«Specialized Security – Limited Functionality» должно быть предоставлено только группе
«Администраторы»
, а в конфигурации «Enterprise» значение для данного параметра может быть не задано.
Право «Создание журналов безопасности» определяет, какие пользователи или процессы могут осуществлять запись данных аудита в журнал безопасности операционной системы. В случае, если злоумышленник обладает данной привилегией, это позволит ему регистрировать в журнале безопасности значительное количество записей аудита с целью его переполнения или скрытия каких-либо несанкционированных действий.
Поэтому право «Создание журналов безопасности» в конфигурации
«Specialized Security – Limited Functionality» должно быть предоставлено только учетным записям «Локальная служба» и «Сетевая служба».
Наличие у пользователя права «Увеличение приоритета диспетчирования» предоставляет ему разрешение «Запись свойства» для доступа к процессам, что в свою очередь определяет возможность управления пользователем приоритетом выполнения процессов. По этой причине, злоумышленник, обладающий данным правом, имеет возможность увеличить приоритет заданного процесса до уровня «реального времени», создав тем самым предпосылки для реализации атаки «отказ в обслуживании».
Исходя из этого, в конфигурации «Specialized Security – Limited Functionality» использование данной привилегии должно быть ограничено только участниками группы безопасности «Администраторы».
Право «Загрузка и выгрузка драйверов устройств» определяет, какие пользователи могут динамически загружать и выгружать драйверы устройств. Данная привилегия необходима для установки драйверов устройств «Plug and Play». Наличие данного права у злоумышленника, позволит ему выполнить загрузку злонамеренного кода под видом драйвера устройства и в последствии реализовать атаку «повышение привилегий». Данное право, наряду с членством в группе безопасности «Администраторы», должно быть предоставлено пользователям, выполняющим установку принтеров и инсталляцию драйверов.
Таким образом, для реализации повышенных требований к безопасности, в конфигурации «Specialized Security – Limited Functionality» право «Загрузка и выгрузка

Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
117
драйверов устройств» должно быть предоставлено только участникам группы безопасности «Администраторы».
Наличие права «Отказ во входе в качестве пакетного задания» не позволяет пользователю входить в систему с помощью средства обработки пакетных заданий
(планировщика заданий). Планировщик заданий часто используется в административных целях, однако его использование должно быть ограничено в средах с высокими требованиями к безопасности, что позволит предотвратить неправильное использование системных ресурсов или запуск злонамеренного кода.
Исходя из этого, в конфигурациях безопасности «Enterprise» и «Specialized
Security – Limited Functionality» использование данного права должно быть ограничено только для группы «Гости» и пользователей выполнивших Анонимный вход.
Право «Управление аудитом и журналом безопасности» определяет, какие пользователи могут задавать параметры аудита доступа к объектам для отдельных ресурсов, таких как файлы, объекты Active Directory и разделы реестра, а также очистку журнала безопасности. Поскольку данное право позволяет пользователям управлять журналом безопасности и аудитом для всей системы в целом, в конфигурации «Specialized Security –
Limited Functionality» оно должно быть предоставлено только участникам группы безопасности «Администраторы».
Право «Изменение параметров среды оборудования» определяет, каким группам безопасности и пользователям разрешено изменять значения общесистемных параметров среды. Данная информации обычно храниться в разделе реестра «Последняя удачная конфигурация» (Last Known Good Configuration). Модификация данных параметров может привести к сбоям аппаратного обеспечения и создать предпосылки для реализации атаки «отказ в обслуживании». Поэтому в конфигурации «Specialized Security – Limited
Functionality» данное право должно быть предоставлено только участникам группы безопасности «Администраторы».
Право «Запуск операций по обслуживанию тома» предоставляет пользователям полномочия на выполнение процедур обслуживания дисковых томов, таких как очистка, дефрагментация и управление всей конфигурацией диска. Наличие у пользователя данного права позволяет ему удалять тома на диске, что приводит к уничтожению содержащихся на них данных.
Исходя из этого, в конфигурации «Specialized Security – Limited Functionality» использование данной привилегии должно быть ограничено только участниками группы безопасности «Администраторы».

Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
118
Пользователи, которым предоставлено право «Профилирование одного процесса»
, могут использовать средства для контроля за производительностью несистемных процессов. Для использования оснастки «Системный монитор», как правило, не требуется специально предоставлять данное право. Однако в этом может возникнуть необходимость, если служба «Системный монитор» осуществляет сбор данных с помощью инструментария управления Windows WMI (Windows Management Instrumentation). Ввод ограничений на использование данного права позволяет избежать несанкционированного получения дополнительных сведений, которые могут быть использованы для организации атаки на систему. Кроме того, нарушитель сможет определить, какие процессы запущены в системе и какие пользователи в данный момент работают в ней, и принять меры для обхода таких средств защиты, как антивирусная программа или система обнаружения вторжений.
Поэтому право «Профилирование одного процесса» в конфигурации
«Specialized Security – Limited Functionality» должно быть предоставлено группе
«Администраторы
».
Право «Профилирование загруженности системы» определяет возможность наблюдения пользователями за рабочими характеристиками системных процессов. В свою очередь данное право может быть использовано злоумышленником для определения того, какие процессы запущены в системе, что в дальнейшем послужит ему базисом для организации различных атак.
Поэтому данное право в конфигурации «Specialized Security – Limited Functionality» должно быть предоставлено группе «Администраторы».
Право «Замена маркера уровня процесса» определяет возможность инициирования пользователями процесса замены стандартного маркера доступа, ассоциированного с запущенным дочерним процессом (подпроцессом). Данное право может быть использовано с целью изменения маркера доступа подпроцесса, что приведет к изменению контекста безопасности и повышению его привилегий.
Возможность использования права «Замена маркера уровня процесса» в конфигурации безопасности «Specialized Security – Limited Functionality» должна быть ограничена учетными записями «Локальная служба» и «Сетевая служба».
Пользователи, обладающие правом «Восстановление файлов и каталогов», могут игнорировать разрешения, установленные для файлов, каталогов и других постоянных объектов, при восстановлении архивированных файлов и каталогов на компьютерах под управлением операционной системы Microsoft® Windows Server™ 2003 R2. Кроме того, это право дает возможность пользователям назначать действующих участников безопасности

Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
119
(security principal) владельцами объектов. По своему характеру данное право аналогично праву «Архивирование файлов и каталогов».
Данное право в конфигурации «Specialized Security – Limited Functionality» должно быть предоставлено группе «Администраторы», а в конфигурации «Enterprise» значение для данного параметра может быть «не задано».
Пользователи, которым предоставлено право «Завершение работы системы», могут с помощью одноименной команды завершать работу операционной системы при интерактивной работе на компьютере. Неправильное назначение данного права может привести к отказу в обслуживании. Исходя из этого, данное право в конфигурации
«Specialized Security – Limited Functionality» должно быть предоставлено группе
«Администраторы».
Право «Овладение файлами или иными объектами» определяет возможность становления пользователем владельцем любого объекта системы, контролируемого средствами безопасности, в том числе объектов каталога Active Directory, файлов и папок, принтеров, разделов реестра, процессов и их потоков. Наличие данного права позволяет пользователю, обладающего им, действовать в обход прав доступа, установленных на объекте доступа и становиться его владельцем.
В конфигурации «Specialized Security – Limited Functionality» данное право должно быть предоставлено группе «Администраторы».
В домене Active Directory каждая учетная запись компьютера является полноценным участником безопасности с правом проверки подлинности и получения доступа к ресурсам домена. В некоторых случаях количество компьютеров в составе домена Active Directory должно строго контролироваться и быть ограничено. В таких ситуациях предоставление пользователям права добавлять рабочие станции к домену нецелесообразно. Кроме того, наличие данного права позволяет пользователям выполнять действия, которые сложно отследить. Исходя из этого в двух конфигурациях безопасности данное право должно быть предоставлено только группе «Администраторы».
Параметры безопасности
Данные параметры позволяют включать и отключать параметры безопасности компьютера и по существу позволяют пользователям операционной системы Microsoft®
Windows Server™ 2003 изменять параметры системного реестра, влияющие на безопасность, без непосредственного редактирования самого реестра. Они позволяют определить

Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
120
дополнительные характеристики, определяющие поведение системы, и в основном требуются только при повышении уровня ее защищенности.
С помощью редактора групповой политики необходимо настроить параметры безопасности операционной системы Microsoft® Windows Server™ 2003, представленные в таблице А.2.5. Параметры безопасности следует настраивать в редакторе групповой политики в следующем разделе пространства имен объекта групповой политики:
Конфигурация компьютера\Конфигурация Windows\Параметры безопасности
\Локальные политики\Параметры безопасности.
Таблица А.2.5 – Параметры, используемые для обеспечения безопасности компьютеров под управлением операционной системы Microsoft® Windows Server™ 2003

п/п
Название параметра
Конфигурация
«Enterprise»
Конфигурация
«Specialized
Security – Limited
Functionality»
1.

Учетные записи: ограничить использование пустых паролей только для консольного входа
Включен
Включен
2.

Аудит: аудит доступа глобальных системных объектов
Отключен
Отключен
3.

Аудит: аудит прав на архивацию и восстановление
Отключен
Отключен
4.

Аудит: немедленное отключение системы, если невозможно внести в журнал записи об аудите безопасности
Отключен
Отключен
5.

Устройства: разрешать отстыковку без входа в систему (laptop)
Отключен
Отключен
6.

Устройства: разрешено форматировать и извлекать съемные носители
Администраторы
Администраторы
7.

Устройства: запретить пользователям установку драйверов принтера
Включен
Включен
8.

Устройства: разрешить доступ к дисководам компакт-дисков только локальным пользователям
Не определено
Отключен
9.

Устройства: разрешить доступ к дисководам гибких дисков только локальным пользователям
Не определено
Отключен

Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
121

п/п
Название параметра
Конфигурация
«Enterprise»
Конфигурация
«Specialized
Security – Limited
Functionality»
10.

Член домена: всегда требуется цифровая подпись или шифрование потока данных безопасного канала
Включен
Включен
11.

Член домена: шифрование данных безопасного канала, когда это возможно
Включен
Включен
12.

Член домена: цифровая подпись данных безопасного канала, когда это возможно
Включен
Включен
13.

Член домена: отключить изменение пароля учетных записей компьютера
Отключен
Отключен
14.

Член домена: максимальный срок действия пароля учетных записей компьютера
30 дней
30 дней
15.

Член домена: требует стойкого ключа сеанса
Включен
Включен
16.

Интерактивный вход в систему: не отображать последнее имя пользователя
Включен
Включен
17.

Интерактивный вход в систему: не требовать нажатия CTRL+ALT+DEL
Отключен
Отключен
18.

Интерактивный вход в систему: количество предыдущих подключений к кэшу (в случае отсутствия доступа к контроллеру домена)
0 входов
0 входов
19.

Интерактивный вход в систему: напоминать пользователям об истечении срока действия пароля заранее
14 дней
14 дней
20.

Интерактивный вход в систему: требовать проверки на контроллере домена для отмены блокировки компьютера
Включен
Включен
21.

Интерактивный вход в систему: поведение при извлечении смарт-карты
Блoкиpoвкa paбoчeй cтaнции
Блoкиpoвкa paбoчeй cтaнции
22.

Клиент сети Microsoft: использовать цифровую подпись (всегда)
Включен
Включен
23.

Клиент сети Microsoft: использовать цифровую подпись (с согласия сервера)
Включен
Включен
24.

Клиент сети Microsoft: посылать незашифрованный пароль сторонним
SMB-серверам
Отключен
Отключен

Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
122

п/п
Название параметра
Конфигурация
«Enterprise»
Конфигурация
«Specialized
Security – Limited
Functionality»
25.

Сервер сети Microsoft: длительность простоя перед отключением сеанса
15 минут
15 минут
26.

Сервер сети Microsoft: использовать цифровую подпись (всегда)
Включен
Включен
27.

Сервер сети Microsoft: использовать цифровую подпись (с согласия клиента)
Включен
Включен
28.

Сервер сети Microsoft: отключать клиентов по истечении разрешенных часов входа
Включен
Включен
29.

Автоматический вход в систему
Отключен
Отключен
30.

Запрет IP маршрутизации от источника
Источник направляющий маршрутизацию полностью отключен
Источник направляющий маршрутизацию полностью отключен
31.

Изменение таблицы маршрутизации в ответ на ICMP-редирект пакеты
Отключен
Отключен
32.

Интервал отправки пакетов проверки активности соединения
300000 миллисекунд
300000 миллисекунд
33.

Не производить показ NetBIOS имени компьютера
Включен
Включен
34.

Запрет на создание коротких NetBIOS имен
Отключен
Включен
35.

Использование IRDP-протокола
Отключен
Отключен
36.

Количество неудачных попыток передачи данных, перед разрывом соединения
3 раз
3 раз
37.

Предельный размер (в процентном соотношении) журнала событий, по достижении которого система будет формировать предупреждение
90 процентов
90 процентов
38.

Сетевой доступ: не разрешать перечисление учетных записей SAM и общих ресурсов анонимными пользователями
Включен
Включен

Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
123

п/п
Название параметра
Конфигурация
«Enterprise»
Конфигурация
«Specialized
Security – Limited
Functionality»
39.

Сетевой доступ: не разрешать перечисление учетных записей SAM анонимными пользователями
Включен
Включен
40.

Сетевой доступ: не разрешать сохранение учетных данных или цифровых паспортов
.NET для сетевой проверки подлинности пользователя
Включен
Включен
41.

Сетевой доступ: разрешать применение разрешений 'Для всех' к анонимным пользователям
Отключен
Отключен
42.

Сетевой доступ: запретить анонимный доступ к именованным каналам и общим ресурсам
Включен
Включен
43.

Сетевой доступ: paзpeшaть aнoнимный дocтуп к имeнoвaнным кaнaлaм
Источник доступа:Не определено
Источник доступа:COMNAP
COMNODE
SQL\QUERY
SPOOLSS
EPMAPPER
LOCATOR
TrkWks
TrkSvr

Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
124

п/п
Название параметра
Конфигурация
«Enterprise»
Конфигурация
«Specialized
Security – Limited
Functionality»
44.

Сетевой доступ: удаленно доступные пути и вложенные пути реестра список:
System\CurrentContro lSet\Control\Print\Prin ters
System\CurrentContro lSet\Services\Eventlog
Software\Microsoft\O
LAP Server
Software\Microsoft\W
indows
NT\CurrentVersion\Pr int
Software\Microsoft\W
indows
NT\CurrentVersion\W
indows
System\CurrentContro lSet\Control\ContentI
ndex
System\CurrentContro lSet\Control\Terminal
Server
System\CurrentContro lSet\Control\Terminal
Server\UserConfig
System\CurrentContro lSet\Control\Terminal
Server\DefaultUserCo nfiguration
Software\Microsoft\W
indows
NT\CurrentVersion\Pe rflib
System\CurrentContro lSet\Services\Sysmon
Log список:
System\CurrentCont rolSet\Control\Print\
Printers
System\CurrentCont rolSet\Services\Even tlog
Software\Microsoft\
OLAP Server
Software\Microsoft\
Windows
NT\CurrentVersion\
Print
Software\Microsoft\
Windows
NT\CurrentVersion\
Windows
System\CurrentCont rolSet\Control\Conte ntIndex
System\CurrentCont rolSet\Control\Termi nal Server
System\CurrentCont rolSet\Control\Termi nal
Server\UserConfig
System\CurrentCont rolSet\Control\Termi nal
Server\DefaultUserC
onfiguration
Software\Microsoft\
Windows
NT\CurrentVersion\
Perflib
System\CurrentCont rolSet\Services\Sys monLog

Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
125

п/п
Название параметра
Конфигурация
«Enterprise»
Конфигурация
«Specialized
Security – Limited
Functionality»
45.

Сетевой доступ: удаленно доступные пути реестра список:
System\CurrentContro lSet\Control\ProductO
ptions
System\CurrentContro lSet\Control\Server
Applications
Software\Microsoft\W
indows
NT\CurrentVersion список:
System\CurrentCont rolSet\Control\Produ ctOptions
System\CurrentCont rolSet\Control\Serve r Applications
Software\Microsoft\
Windows
NT\CurrentVersion
46.

Сетевой доступ: разрешать анонимный доступ к общим ресурсам список:
Не определено список:
Ни для кого(список пуст)
47.

Сетевой доступ: модель совместного доступа и безопасности для локальных учетных записей
Обычнaя - лoкaльныe пoльзoвaтeли удocтoвepяютcя кaк oни caми
Обычнaя - лoкaльныe пoльзoвaтeли удocтoвepяютcя кaк oни caми
48.

Сетевая безопасность: не хранить хэш- значения LAN Manager при следующей смене пароля
Включен
Включен
49.

Сетевая безопасность: уровень проверки подлинности LAN Manager отправлять только
NTLMv2-ответ
(отказывать LM) отправлять только
NTLMv2-ответ
(отказывать LM и
NTLM)
50.

Сетевая безопасность: требование цифровой подписи для LDAP-клиента
Сoглacoвaниe пoдпиcывaния
Сoглacoвaниe пoдпиcывaния
51.

Сетевая безопасность: минимальная сеансовая безопасность для клиентов на базе NTLM SSP (включая безопасный
RPC)
Требовать сеансовую безопасность
NTLMv2, требовать
128-разрядное шифрование
Требовать сеансовую безопасность
NTLMv2, требовать
128-разрядное шифрование

Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
126

п/п
Название параметра
Конфигурация
«Enterprise»
Конфигурация
«Specialized
Security – Limited
Functionality»
52.

Сетевая безопасность: минимальная сеансовая безопасность для серверов на базе NTLM SSP (включая безопасный
RPC)
Требовать сеансовую безопасность
NTLMv2, требовать
128-разрядное шифрование
Требовать сеансовую безопасность
NTLMv2, требовать
128-разрядное шифрование
53.

Консоль восстановления: разрешить автоматический вход администратора
Отключен
Отключен
54.

Консоль восстановления: paзpeшить кoпиpoвaниe диcкeт и дocтуп кo вceм диcкaм и пaпкaм
Включен
Отключен
55.

Завершение работы: разрешить завершение работы системы без выполнения входа в систему
Отключен
Отключен
56.

Завершение работы: очистка страничного файла виртуальной памяти
Отключен
Отключен
57.

Системная криптография: обязательное применение сильной защиты ключей пользователей, хранящихся на компьютере пользователь получает запрос при первом использовании ключа пользователь должен вводить пароль при каждом использовании ключа
58.

Системная криптография: использование
FIPS-совместимые алгоритмы для шифрования, хэширования и подписывания
Отключен
Отключен
59.

Системные объекты: учитывать регистр для подсистем, отличных от Windows
Включен
Включен
60.

Системные объекты: усилить разрешения по умолчанию для внутренних системных объектов(запретить доступ к основным базовым библиотекам)
Включен
Включен
61.

Параметры системы: необязательные подсистемы список:
Ни для кого(список пуст) список:
Ни для кого(список пуст)



Поделитесь с Вашими друзьями:
1   ...   4   5   6   7   8   9   10   11   ...   14


База данных защищена авторским правом ©nethash.ru 2017
обратиться к администрации

войти | регистрация
    Главная страница


загрузить материал