Руководство по безопасной настройке и контролю сертифицированной версии зао «алтэкс-софт», 2011



Скачать 15.71 Kb.

страница9/14
Дата26.11.2016
Размер15.71 Kb.
Просмотров339
Скачиваний0
ТипРуководство
1   ...   6   7   8   9   10   11   12   13   14
Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
127

п/п
Название параметра
Конфигурация
«Enterprise»
Конфигурация
«Specialized
Security – Limited
Functionality»
62.

Параметры системы: использовать правила сертификатов для исполняемых файлов Windows для политик ограниченного использования программ
Отключен
Включен
63.

Системные объекты: усилить разрешения по умолчанию для внутренних системных объектов(запретить доступ к основным базовым библиотекам)
Включен
Включен
Параметр безопасности «Учетные записи: ограничить использование пустых паролей только для консольного входа» определяет, можно ли использовать локальные учетные записи с пустыми паролями не только для интерактивного входа в систему. Если активировать данный параметр, то локальные учетные записи с пустыми паролями нельзя будет использовать для связи с компьютерами по сети через сетевые службы Windows или службы терминалов. Действие этого параметра касается только локальных учетных записей и не распространяется на учетные записи домена.
В случае использования учетных записей с пустыми паролями нарушитель может ими легко воспользоваться, поскольку в этом случае ему будет достаточно определить имя учетной записи пользователя. Поэтому в обоих вариантах рассматриваемых конфигураций параметр «Учетные записи: ограничить использование пустых паролей только для консольного входа» должен иметь значение «Включен».
Параметр безопасности «Устройства: разрешать отстыковку без входа в систему» определяет, должен ли пользователь входить в систему, чтобы запросить отсоединение переносного компьютера от стыковочного узла. Если этот параметр включен, пользователь может запросить отстыковку компьютера без входа в систему. В противном случае, пользователь обязан входить в систему для того, чтобы запросить отстыковку, причем в этот момент он должен обладать разрешением «Отключение компьютера от стыковочного узла». Данное требование относится к обеим конфигурациям, поэтому параметр «Устройства: разрешать отстыковку без входа в систему» принимает значение «Отключен».

Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
128
Параметр безопасности «Устройства: разрешено форматировать и извлекать съемные носители» определяет, кто имеет право форматировать и извлекать съемный носитель. Пользователь, не обладающий такой привилегией, не сможет взять носитель с одного компьютера и получить к нему доступ на другом компьютере, где у него есть права локального администратора.
Исходя из этого, данный параметр безопасности в конфигурациях «Enterprise» и
«Specialized Security – Limited Functionality» должен иметь значение «Администраторы».
Параметр безопасности
«Устройства: запретить пользователям установку драйверов принтера» определяет, кто имеет право устанавливать драйвер принтера, чтобы получить возможность использовать сетевой принтер. При отключении данного параметра любой пользователь получает возможность устанавливать драйвер принтера, в то время как под драйвером может скрываться злонамеренный программный код. С помощью этого параметра можно предотвратить загрузку и установку ненадежного драйвера принтера пользователями, не имеющими на это права.
Поэтому в обеих рассматриваемых конфигурациях параметр «Устройства: запретить пользователям установку драйверов принтера» должен иметь значение «Включен».
Параметр безопасности «Устройства: разрешить доступ к дисководам компакт-дисков только локальным пользователям» определяет, может ли компакт-диск быть доступен одновременно локальным и удаленным пользователям. Если этот параметр активирован, дисковод компакт-дисков доступен только пользователям, выполнившим интерактивных вход в систему. В тоже время, если данный параметр активирован, но никто не выполнил локальных вход в систему, дисковод компакт-дисков может быть доступен удаленным пользователям.
По этой причине, в конфигурации безопасности «Enterprise» данный параметр может иметь значение «Не определено», а в конфигурации «Specialized Security – Limited
Functionality» принимает значение «Отключен».
Параметр безопасности «Устройства: разрешить доступ к дисководам гибких дисков только локальным пользователям» определяет, может ли гибкий диск быть доступен одновременно локальным и удаленным пользователям. Если этот параметр активирован, дисковод гибких дисков доступен только пользователям, выполнившим интерактивных вход в систему. В тоже время, если данный параметр

Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
129
активирован, но никто не выполнил локальных вход в систему, дисковод гибких магнитных дисков может быть доступен удаленным пользователям.
По этой причине, в конфигурации безопасности «Enterprise» данный параметр может иметь значение «Не определено», а в конфигурации «Specialized Security – Limited
Functionality» принимает значение «Включен».
Параметр безопасности «Член домена: отключить изменение пароля учетных записей компьютера» определяет должен ли член домена периодически менять свой пароль учетной записи компьютера. Если этот параметр включен, член домена не будет пытаться сменить пароль учетной записи компьютера. Если параметр отключен, член домена будет пытаться сменить пароль учетной записи компьютера в соответствии с параметром «Член домена: максимальный срок действия пароля учетных записей компьютера»
. Компьютеры, которые не осуществляют самостоятельную автоматическую смену пароля для собственной учетной записи, подвержены риску, связанному с определением злоумышленником пароля для доменной учетной записи.
По этой причине, в конфигурациях безопасности «Enterprise» и «Specialized
Security – Limited Functionality
» параметр «Член домена: отключить изменение пароля учетных записей компьютера» должен иметь значение
«Отключен».
Параметр безопасности «Член домена: максимальный срок действия пароля учетных записей компьютера» определяет максимальный допустимый срок службы пароля учетной записи компьютера. По умолчанию члены домена автоматически изменяют свой собственный пароль каждые 30 дней. Увеличение данного временного интервала, или установка значения параметра равным 0, что приведет к невозможности смены компьютерами собственных паролей, предоставит злоумышленнику только больше времени на организацию и осуществление атаки подбора пароля учетной записи компьютера по словарю (словарная атака типа «brute force»).
Исходя из этого, в конфигурациях безопасности «Enterprise» и «Specialized
Security – Limited Functionality
» максимальный срок действия пароля учетных записей компьютера должен быть равен 30 дням.
Параметр безопасности «Интерактивный вход в систему: не отображать последнее именя пользователя» определяет, будет ли в соответствующем окне входа в систему на каждом компьютере отображаться имя учетной записи последнего из пользователей, осуществившим интерактивный вход в систему. Активация данного

Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
130
параметра не позволит нарушителю собирать сведения об именах учетных записей непосредственно с экранов компьютеров. Исходя из этого, в обеих рассматриваемых конфигурациях для параметра необходимо установить значение «Включен».
Параметр безопасности «Интерактивный вход в систему: не требовать нажатия CTRL+ALT+DEL» определяет необходимость обеспечения контролируемого входа в систему посредством нажатия пользователем комбинации клавиш CTRL+ALT+DEL.
Активация этого параметра означает, что пользователям нет необходимости использовать указанную комбинацию клавиш для входа в систему, что снижает уровень безопасности, поскольку дает нарушителю возможность войти в клиентский компьютер, не имея достаточных полномочий.
Поэтому, в обеих рассматриваемых конфигурациях для данного параметра должно быть определено значение «Отключен».
Параметр безопасности «Интерактивный вход в систему: количество предыдущих подключений к кэшу (в случае отсутствия доступа к контроллеру домена)» определяет, сколько учетных данных система может хранить в кэше. Сохранение учетных данных в кэше позволяет входить в систему, если компьютер отключен от сети или контроллер домена недоступен.
Максимальный уровень безопасности достигается при значении этого параметра равном 0, однако в этом случае пользователи не смогут войти в систему, если по какой-то причине отсутствует доступ к котроллеру домена.
Исходя их этого, в конфигурациях «Enterprise» и «Specialized Security –
Limited Functionality
» данный параметр должен иметь значение «0».
Параметр безопасности «Интерактивный вход в систему: напоминать пользователям об истечении срока действия пароля заранее» определяет, за какое время до окончания срока действия пароля пользователи получат предупреждение об этом. Рекомендуется предупреждать пользователей за 14 дней до окончания срока действия их паролей.
Параметр безопасности «Интерактивный вход в систему: требовать проверки на контроллере домена для отмены блокировки компьютера» определяет необходимость проверки контроллером домена подлинности доменной учетной записи для разблокирования компьютера. Если действие этого параметра отменено, для входа в компьютер можно воспользоваться учетными данными, сохраненными в кэше. При включении данного параметра необходимо убедиться, что все компьютеры имеют сетевой доступ к контроллеру домена. В конфигурациях «Enterprise» и «Specialized

Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
131
Security – Limited Functionality
» данный параметр должен иметь значение
«Включен».
Параметр безопасности «Интерактивный вход в систему: поведение при извлечении смарт-карты» определяет, что происходит при извлечении смарт-карты пользователя, вошедшего в систему, из устройства чтения смарт-карт. В случае выбора при настройке данного параметра безопасности значения «Блокировка рабочей станции» клиентский компьютер при извлечении смарт-карты будет заблокирован, что позволит пользователю заблокировать собственный сеанс доступа, не завершая его. При выборе варианта «Принудительный выход из системы» при извлечении смарт-карты произойдет автоматическое завершение сеанса работы пользователя. В качестве рекомендуемого значения параметра безопасности «Интерактивный вход в систему: поведение при извлечении смарт-карты» в обеих конфигурациях следует выбрать
«Блокировка рабочей станции».
Использование параметра безопасности
«Клиент сети
Microsoft: использовать цифровую подпись (всегда)» позволит обязать компьютер использовать цифровую подпись в клиентских сеансах.
Протокол проверки подлинности SMB (Server Message Block) поддерживает взаимную проверку подлинности, позволяющую отражать атаки «третьей стороны» (man-in- the-middle), и проверку подлинности сообщений, обеспечивающую защиту от атак через активные сообщения. Средства подписи SMB обеспечивают такую проверку, помещая в каждый пакет SMB цифровую подпись, которая затем проверяется и клиентом, и сервером.
Чтобы использовать подписи SMB, необходимо разрешить или обязать добавление подписей как на SMB-клиенте компьютере, так и на SMB-сервере. Если подписи SMB разрешены на сервере, то клиенты, на которых они также разрешены, будут использовать этот протокол для цифровой подписи пакетов во всех последующих сеансах. Если подписи
SMB являются обязательными на сервере, клиент сможет установить сеанс с данным сервером только при условии включение режима подписи SMB на самом клиенте.
Активирование данного параметра безопасности должно быть осуществлено в обоих конфигурациях.
При активации параметра безопасности «Клиент сети Microsoft: использовать цифровую подпись (с согласия сервера)» SMB-клиент подписывает SMB-пакет, посылаемый SMB-серверу, на котором режим подписи пакетов либо просто разрешен, либо обязателен. Отключение этого параметра означает, что SMB- клиент не будет подписывать пакеты, посылаемые SMB-серверу, даже если для сервера эта

Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
132
процедура является обязательной. Активация данного параметра для SMB-клиентов позволит им полноценно использовать подпись пакетов при взаимодействии со всеми клиентскими компьютерами и серверами сети, что усилит безопасность сетевого взаимодействия.
Исходя из этого, в обеих рассматриваемых конфигурациях для параметра необходимо установить значение «Включен».
При отключении параметра безопасности «Клиент сети Microsoft: посылать незашифрованный пароль сторонним SMB-серверам» SMB- редиректор не сможет посылать пароли в виде обычного текста SMB-серверам с другими операционными системами, которые не поддерживают шифрование паролей при проверке подлинности. В связи с тем, что активация данного параметра дает разрешение на передачу по сети незашифрованных паролей в обеих конфигурациях для него необходимо установить значение «Отключен».
Параметр безопасности «Сервер сети Microsoft: время бездействия до приостановки сеанса» определяет продолжительность временного интервала, по истечении которого произойдет приостановка SMB-сеанса. С помощью данного параметра администраторы могут задавать время простоя до приостановки SMB-сеанса. Как только клиент возобновляет свои действия, сеанс автоматически восстанавливается. В обеих рассматриваемых конфигурациях данному параметру рекомендуется присваивать значение
«15 минут».
Параметр безопасности «Сервер сети Microsoft: использовать цифровую подпись (всегда)» определяет, требуется ли от SMB-сервера обязательная подпись SMB-пакетов. Активация этого параметра имеет дополнительные преимущества в комбинированной среде, поскольку не позволяет клиентам более низкого уровня использовать свою рабочую станцию в качестве сетевого сервера. Данный параметр следует активировать, если среда предприятия целиком построена на операционной системе
Microsoft® Windows Server™ 2003 и службе каталогов Active Directory. Поэтому в обеих рассматриваемых конфигурациях для параметра необходимо установить значение
«Включен».
Параметр безопасности «Сервер сети Microsoft: использовать цифровую подпись (с согласия клиента)» определяет, следует ли SMB-серверу подписывать SMB-пакеты. При активации данного параметра SMB-сервер ставит цифровую подпись, если того требует SMB-клиент, которому предназначен пакет. Активация данного параметра для SMB-клиентов позволит им полноценно использовать подпись пакетов при

Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
133
взаимодействии со всеми клиентскими компьютерами и серверами сети. Исходя из этого, для обеих рассматриваемых конфигураций для параметра необходимо установить значение
«Включен».
Параметр безопасности «Сервер сети Microsoft: отключать клиентов по истечении разрешенных часов входа» определяет, следует ли отключать пользователей, работающих на локальном компьютере вне отведенных им рабочих часов.
Этот параметр влияет на работу блока сообщений сервера SMB. Когда он активирован, клиентские сеансы с участием службы SMB будут принудительно прекращаться по истечении периода времени, в течение которого клиенту разрешен вход в систему. Если этот параметр отключен, начатый сеанс будет продолжен и после окончания времени, разрешенного клиенту для входа в систему. Поэтому в обеих рассматриваемых конфигурациях данный параметр должен иметь значение «Включен».
Параметр безопасности «Сетевой доступ: не разрешать перечисление учетных записей
SAM анонимными пользователями» позволяет проконтролировать, смогут ли анонимные пользователи узнать число учетных записей в базе данных диспетчера учетных записей безопасности SAM (Security Account Manager). В случае активации данного параметра пользователи с анонимным подключением не смогут перечислять имена учетных записей домена на рабочих станциях. Этот параметр вводит дополнительные ограничения на анонимные подключения. Поэтому в обеих рассматриваемых конфигурациях для данного параметра должно быть установлено значение
«Включен».
Параметр безопасности «Сетевой доступ: не разрешать перечисление учетных записей SAM и общих ресурсов анонимными пользователями» позволяет проконтролировать, смогут ли анонимные пользователи узнать число учетных записей SAM и совместно используемых ресурсов. В случае активации данного параметра анонимные пользователи не смогут перечислить имена доменных учетных записей и совместно используемые сетевые имена на рабочих станциях. Поэтому в обеих рассматриваемых конфигурациях для данного параметра должно быть установлено значение
«Включен».
Параметр безопасности «Сетевой доступ: не разрешать сохранение учетных данных или цифровых паспортов .NET для сетевой проверки подлинности пользователя» определяет, можно ли хранить на локальном компьютере учетные данные и пароли для проверки подлинности. В обеих рассматриваемых конфигурациях для указанного параметра необходимо установить значение «Включен».

Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
134
Параметр безопасности «Сетевой доступ: разрешить применение разрешений для всех к анонимным пользователям» определяет, какие дополнительные разрешения предоставляются при анонимном подключении к компьютеру.
Microsoft® Windows Server™ 2003 предоставляет анонимным пользователям возможность выполнять ряд операций (например, производить перечисление имен учетных записей домена и сетевых ресурсов). Это удобно в случае, если администратору требуется предоставить доступ пользователям в доверенном домене, в котором не поддерживается двусторонние доверительные отношения. По умолчанию из маркера доступа, создаваемого для анонимных подключений, удаляется идентификатор безопасности группы «Все».
Поэтому разрешения, предоставленные группе безопасности «Все», не применяются к анонимным пользователям. Если данный параметр установлен, анонимный пользователь получит доступ только к тем ресурсам, для которых ему явным образом предоставлено разрешение. Поскольку при включении данной политики, анонимные пользователи смогут получить перечень имен учетных записей пользователей и сетевых ресурсов, и в дальнейшем использовать полученную информацию для организации атак различных типов, в обеих конфигурациях безопасности использование данного параметра должно быть запрещено.
Параметр безопасности «Сетевой доступ: разрешать анонимный доступ к общим ресурсам» определяет, какие сетевые ресурсы доступны анонимным пользователям. В конфигурации безопасности «Specialized Security – Limited Functionality» данному параметру должно быть присвоено значение «Список пуст». Добавление иных общих ресурсов связано с потенциальной угрозой их доступности любому сетевому пользователю, что в свою очередь может привести к компрометации или утрате информации.
Параметр безопасности «Сетевой доступ: модель совместного доступа и безопасности для локальных учетных записей» определяет, как проверяется подлинность сетевых подключений, сделанных с помощью локальных учетных записей.
Значение «Обычная» обеспечивает тонкую регулировку доступа к ресурсам. Задав это значение параметра, можно предоставить различным пользователям различные варианты доступа к одному и тому же ресурсу. Значение «Только гость» позволяет сделать всех пользователей равноправными. В этом случае для получения одинакового уровня доступа к данному ресурсу все пользователи проходят проверку подлинности в варианте «Только гость»
. Активация данного параметра не влияет на сетевые подключения, сделанные с помощью доменных учетных записей, и на интерактивные подключения.

Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
135
Поэтому для данного параметра необходимо задать значение «Обычная - локальные пользователи удостоверяются как они сами»
, которое будет затрагивать пользователей, входящих в систему в любой из двух рассматриваемых конфигураций.
Параметр безопасности «Сетевая безопасность: не хранить хеш- значений LANManager при следующей смене пароля» определяет, будет ли хранить LAN Manager (LM) при смене пароля хеш-значение для нового пароля. Используя файл диспетчера учетных записей SAM, нарушители могут получить доступ к именам пользователей и хеш-значениям паролей. Для определения паролей злоумышленники могут воспользоваться средствами подбора паролей. Включение данного параметра безопасности не исключает возможность атак такого типа, но существенно затрудняет их выполнение.
Поэтому в обеих рассматриваемых конфигурациях для параметра должно быть установлено значение «Включен».
Параметр безопасности «Сервер сети Microsoft: отключать клиентов по истечении допустимых часов работы» определяет необходимость принудительного завершения сеанса работы с SMB-сервером для клиентов, у которых закончилось время, разрешенное для входа в систему. Это позволяет предотвратить несанкционированное использование рабочих станций в неположенное время. В обеих рассматриваемых конфигурациях данный параметр должен иметь значение «Включен».
Параметр безопасности «Сетевая безопасность: уровень проверки подлинности LAN Manager» определяет метод проверки подлинности запросов и ответов при сетевых подключениях к клиентским компьютерам с системами, отличными от операционных систем семейства Microsoft
®
Windows
®
2000 и Microsoft® Windows Server™
2003. Метод проверки подлинности LM наименее безопасен, он позволяет легко обнаружить в сети зашифрованные пароли и взломать их. Несколько более безопасным является метод
NTLM (NT LanManager). Метод NTLMv2 представляет собой более надежную версию метода NTLM, имеющуюся в системах Microsoft® Windows Server™ 2003, Microsoft
®
Windows
®
2000 и Windows
®
NT 4.0 с пакетами обновления, начиная с SP4. Метод NTLMv2 также доступен в системах Windows 95/98 при использовании службы Directory Services
Client. Данный параметр для конфигурации «Enterprise» должен соответствовать значению
«
Запрет контроллеру домена использовать аутентификацию LM т.е отправлять только
NTLMv2-ответ. Отказывать LM», а для конфигурации «Specialized Security – Limited

Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии


Поделитесь с Вашими друзьями:
1   ...   6   7   8   9   10   11   12   13   14


База данных защищена авторским правом ©nethash.ru 2017
обратиться к администрации

войти | регистрация
    Главная страница


загрузить материал