Руководство по настройке Microsoft Windows xp и Microsoft Windows Server 2003 для повышения



Pdf просмотр
страница1/4
Дата29.12.2016
Размер0.66 Mb.
Просмотров1131
Скачиваний0
ТипРуководство
  1   2   3   4

Optimal Solutions SIA
I T s u p p o r t c o m p a n y
Протокол настройки Microsoft Windows NT
- 1 -
Рига
27-Янв-2009
Руководство по настройке Microsoft Windows XP
и Microsoft Windows Server 2003
для повышения уровня безопасности и
гарантированной защиты от вирусов.
Peter Gubarevich, CIO
Maskavas 261, Riga, Latvia LV-1063
Phone: +371 67188803, +371 29483420
E-mail: peter@optimalsolutions.lv

Optimal Solutions SIA
I T s u p p o r t c o m p a n y
Протокол настройки Microsoft Windows NT
- 2 -
Содержание
1. Цель данного документа
2. Предварительные требования
3. Предисловие автора
4. Концепция безопасной работы
5. Правила Распределения Ресурсов
5.1. Пример Правил для рабочей станции
5.2. Пример Правил для сервера
6. Первый этап инсталляции системы
7. Регистрация учётных записей пользователей
8. Организация работы с группами
9. Подготовка профилей
10. Построение иерархии прав доступа
10.1. Пример иерархии прав доступа для рабочей станции
10.2. Пример иерархии прав доступа для сервера
11. Настройка общесистемных параметров
12. Важнейшие Политики безопасности
13. Практическое применение Software Restriction Policies
14. Корректировка прав доступа для работы с ограниченными привилегиями
15. Безопасность резервного копирования
16. Регулярное обслуживание системы
17. Действия при наступлении сбоя

Optimal Solutions SIA
I T s u p p o r t c o m p a n y
Протокол настройки Microsoft Windows NT
- 3 -
1. Цель данного документа.
В данном Руководстве рассказывается, как правильно установить операционные системы Microsoft Windows XP Professional и Windows Server 2003 и сконфигурировать их для безопасной работы на одиночных (в т.ч. домашних) компьютерах и в рабочих группах.
Эту же методику, но с учётом некоторых особенностей, можно применять и для следующих систем:
Microsoft Windows 2000 всех версий;
Microsoft Windows XP Home (некоторые настройки придётся делать в системном реестре вручную, а также применять средства сторонних производителей);
Microsoft Windows Vista / Windows Server 2008.
Главное отличие Руководства от аналогичных документов заключается в том, что оно последовательно описывает точную конфигурацию, которую необходимо выполнить для получения защищённой от вирусного поражения среды. Акцент смещён с «вы можете настроить такие-то параметры» на «вы должны указать конкретно такие-то значения таких- то параметров».
Несмотря на то, что документ ориентирован в первую очередь на одиночные машины и рабочие группы, наиболее эффективно данный подход проявляет себя в доменах Active
Directory, где однажды выполненная настройка применяется сразу на большом количестве компьютеров.


Optimal Solutions SIA
I T s u p p o r t c o m p a n y
Протокол настройки Microsoft Windows NT
- 4 -
2. Предварительные требования.
Целевая аудитория Руководства – IT-специалисты начального и среднего уровня, преподаватели информатики школ и других учебных заведений, а также домашние пользователи, работающие с компьютером на уровне
Опытного
Пользователя.
Предполагается, что читатель умеет обращаться с компьютерной аппаратурой, устанавливать
Microsoft Windows и бизнес-приложения, но желает научиться обеспечивать надёжную и безопасную работу этих систем.
Употребляемая в тексте терминология предполагает использование англоязычной системы Windows. С целью сохранения небольшого размера документа, не каждое действие описывается во всех подробностях. Также предполагается, что читатель обладает достаточным опытом, чтобы отвечать на вопросы вида «где находится консоль Disk
Management?» самостоятельно.

Optimal Solutions SIA
I T s u p p o r t c o m p a n y
Протокол настройки Microsoft Windows NT
- 5 -
3. Предисловие автора.
Все описанные в данном Руководстве приёмы взяты из
(расписать объём практики)
(расписать необходимость последовательности шагов)
1.
Разрешается использовать данный документ в настройке компьютерных систем.
2.
При цитировании или использовании материалов в сторонней документации ссылка на автора обязательна.
3.
Вся информация предоставляется на условиях «КАК ЕСТЬ», без предоставления каких-либо гарантий и прав, кроме оговорённых выше.

Optimal Solutions SIA
I T s u p p o r t c o m p a n y
Протокол настройки Microsoft Windows NT
- 6 -
4. Концепция безопасной работы.
Подавляющее большинство рядовых пользователей, а также большой процент людей из числа системных администраторов полагает, что наличие антивирусной программы защищает компьютер от вирусов; что при этом можно совершенно не заботиться о правах, блокировках и прочих правилах безопасности. Данный стереотип давно пора опровергнуть.
Невозможно отрицать полезность антивирусных средств; однако, сейчас их роль явно преувеличена в сознании людей. Технически, любая антивирусная программа имеет свой процент срабатывания (от 50% до 95%). Вне зависимости от обещаний производителя, 100% на сегодняшний день, равно как и в обозримом будущем, недостижимы. Более того, постоянно появляются угрозы новых типов – не только использующие комбинированные методы проникновения в систему, но и способные задействовать слабые стороны многих антивирусных пакетов.
Практика предъявляет нам более внушительные цифры - по статистике провайдера
Lattelecom, обеспечивающего Интернетом порядка 500 тысяч клиентов, более 30% компьютеров (то есть, каждый третий!) из числа принадлежащих домашним пользователям поражены вредоносными программами. При этом практически на всех из них установлены антивирусные пакеты и средства обнаружения шпионских модулей от различных производителей. Пользователи, заявляющие «я всё просканировал, мой антивирус ничего не находит», в принципе, говорят правду – установленный антивирусный продукт действительно ничего не находит. Было бы странно, если бы антивирус мог сообщить «я пропустил конкретно такой-то неизвестный мне вирус». В самом деле, угрозы класса rootkit чрезвычайно сложны в обнаружении – такова их изначальная природа.
Иными словами, опыт показывает, что защита от вирусов антивирусными программами де-факто работает крайне слабо, является неэффективной. Однако, уже десятки лет существует и успешно применяется в производственной среде методика гораздо более надёжной защиты от зловредных программ средствами, встроенными в саму операционную систему. В основу защиты положен принцип предоставления наименьших полномочий, а также некоторые дополнительные мероприятия, в целом повышающие уровень безопасности компьютерной системы.
Операционная система чётко различает пользователей, предоставляя им различные уровни доступа – например, Административный, Обычного пользователя или Гостевой.
Администратор,
как правило, ничем не ограничен, и человеку с таким уровнем доступа разрешено совершать любые действия – устанавливать новые программы, настраивать параметры системы, регулировать права других пользователей. Постоянная работа с привилегиями Администратора открывает систему для случайного заражения «троянским конём» и других рисков безопасности.
Напротив, привилегий Обычного пользователя вполне достаточно для работы с документами, Интернетом, бизнес-приложениями, одновременно оставляя систему и программы «на предохранителе». Ограниченные права не позволяют пользователю (и зловредным программам) вносить ни положительные, ни отрицательные изменения в настройку системы. Таким образом, состояние системы консервируется вне зависимости от того, какие программы запускаются пользователями.

Optimal Solutions SIA
I T s u p p o r t c o m p a n y
Протокол настройки Microsoft Windows NT
- 7 -
Типовой компьютерный вирус – не мистическая субстанция, а заражение - не магический обряд. То, что мы понимаем под «вирусом» – это просто программа, автор которой заранее нацелил её на выполнение определённых деструктивных действий и дальнейшее распространение. Для заражения компьютера должен выполниться ряд условий:
- должен существовать источник получения самого вируса либо объекта, заражённого вирусом (веб-сайт, электронная почта, дискета, flash-накопитель, CD-ROM и др.);
- человек должен проявить достаточную инициативу для запуска программы на исполнение (например, попытаться открыть приложенный к письму или хранящийся на flash-диске исполняемый файл).
Будучи случайно или преднамеренно запущенной человеком на исполнение, вирусная программа в дальнейшем оперирует от его лица, обладая тем же уровнем привилегий, что и сам пользователь. Поэтому, вопрос заражения системы и дальнейшего распространения вируса в первую очередь зависит от того, какими правами обладает пользователь, его запустивший. Зловредная программа, выполненная с привилегиями Обычного пользователя, не найдёт путей дальнейшего распространения, будучи физически неспособной проникнуть внутрь системы.
Задача, которую мы поставили перед собой и реализуем с помощью Руководства - законсервировать компьютер в его первоначально стабильном, незаражённом состоянии и удерживать таковым на протяжении длительного времени. Консервация достигается тремя фундаментальными правилами:
- всем пользователям предоставляется только минимально необходимый для работы набор привилегий Обычного Пользователя - разрешается запуск прикладных программ, работа с почтой, документами и Интернетом и т.п.;
- права
Администратора могут использоваться лишь в случаях крайней необходимости - установка обновлений Windows и других программ, настройка параметров и конфигурация системы безопасности;
- инсталляция или запуск любой новой программы с правами Администратора должны иметь соответствующее обоснование, а инсталляционные файлы должны пройти антивирусную проверку.
Кроме устранения вирусных угроз, выполняемые настройки существенно помогут в решении некоторых других вопросов – сохранения производительности системы, организации резервного копирования и повышения общего уровня безопасности сети.

Optimal Solutions SIA
I T s u p p o r t c o m p a n y
Протокол настройки Microsoft Windows NT
- 8 -
5. Правила Распределения Ресурсов.


Основная задача и смысл работы Администратора - грамотно распоряжаться вычислительными ресурсами, обеспечивая им должную сохранность и предоставляя по необходимости пользователям. Однако, невозможно качественно управлять программами, выполнять резервное копирование и защиту данных, которые беспорядочно разбросаны по дискам и каталогам нескольких компьютеров.
Концентрируйте важные документы и бизнес-программы на главном компьютере
(сервере). Разработайте Правила Распределения Ресурсов, построив их на примере предложенного ниже образца. Направьте Правила на решение следующих задач:
- автоматизированная доступность Ресурсов с любой точки сети;
- удобное, понятное и простое разграничение доступа, защита Ресурсов;
- резервное копирование, исполняемое с должной частотой и в надлежащем объёме;
- приемлемая производительность компьютера и сети при доступе к Ресурсам;
- гибкость и масштабируемость Правил при взаимодействии указанных компонентов.
Любые файловые ресурсы, которыми оперирует ваш компьютер, должны храниться в заранее определённых местах - дисках, разделах, папках. От того, насколько точно вы придерживаетесь этого правила, напрямую зависит рассматриваемая нами безопасность системы, а также надёжность и скорость её работы
Организуйте хранение документов в отведённых для этого местах не только программными настройками, но и ознакомьте пользователей с соответствующей письменной инструкцией. Исполнение ими правил хранения данных позволит защитить документы от несанкционированного доступа и обеспечить резервное копирование в должном объёме.
Задокументируйте и чётко соблюдайте принятые вами Правила Распределения Ресуров.
Это поможет следовать им как в масштабах одного компьютера, так и всей сети, управляемой группой системных администраторов.

Optimal Solutions SIA
I T s u p p o r t c o m p a n y
Протокол настройки Microsoft Windows NT
- 9 -
5.1. Пример Правил для рабочей станции.


Предполагая, что функции компьютера можно описать как "типовая рабочая станция", спланируйте разделение жёсткого диска на две части:
- C: (System) для системы и программ, которые вы проинсталлируете дополнительно;
- D: (Data) для хранения временных файлов и возможных рабочих директорий пользователей.
В любом случае, пользовательские данные должны быть отделены от системы.
Разделённые ресурсы подвергаются раздельному квотированию, фрагментации, резервному копированию. Одновременно, это даёт возможность качественно законсервировать систему.
Обычные бизнес-программы
(Microsoft
Office,
архиватор
), которые легко восстанавливаются после повреждения, устанавливайте на раздел C: в папку Program Files.
Других папок в корне системного диска создавать не следует, так как это увеличит число точек управления и контроля над ресурсами.
Исполняемые модули бизнес-программ, требующих регулярного резервного копирования или ограничения доступа (1С, SHOP, клиент Интернет-банка и т.д.), рекомендуется хранить на центральном компьютере и запускать по сети - это упростит операции обслуживания, позволит контролировать доступ в одной точке управления и гарантирует единую версию программ для всех пользователей.
Для случаев, когда это недостижимо, создайте и используйте локальный каталог
D:\Accounting. Обязательно разделяйте не только различные программы, так и собственно их исполняемые модули от баз данных, например:
D:\Accounting\1C
D:\Accounting\1C\Programs
D:\Accounting\1C\Programs\1Cv77
D:\Accounting\1C\Programs\1Cv80
D:\Accounting\1C\Bases
D:\Accounting\1C\Bases\CompanyA
D:\Accounting\1C\Bases\CompanyB
Описанная структура упростит резервное копирование и позволит правильно назначить права доступа, закрыв исполняемые модули от несанкционированных изменений и вирусного поражения, а базы данных - от несанкционированного доступа. Для нужд пользовательских программ и записи временных файлов создайте каталог D:\Users. Другие папки в корне пользовательского диска создавать не следует, дабы избежать излишней хаотичности структуры каталогов.

Optimal Solutions SIA
I T s u p p o r t c o m p a n y
Протокол настройки Microsoft Windows NT
- 10 -
5.2. Пример Правил для сервера.


При планировании распределения Ресурсов на центральном компьютере повышенное внимание уделите дисковой подсистеме. Наиболее медленным компонентом современного компьютера является жёсткий диск – а именно, процесс перемещения головок диска при поиске нужных дорожек. По возможности, не делите диски на разделы, а выделите для хранения документов и бизнес-приложений отдельные физические диски (шпиндели). Это поможет справиться с конкурентными операциями доступа к различным данным, зачастую повышая производительность дисковой подсистемы в десятки раз. Пример конфигурации типового сервера уровня отдела или малой сети:
- C: (System) для системы и программ, которые вы проинсталлируете дополнительно;
- D: (Data) для хранения инсталляционных ресурсов и глубинных резервных копий;
- V: (Accounting) исполняемые модули бизнес-программ и базы данных;
- U: (Users) документы пользователей, файлообмен.
Подмонтировав разделы (или физические диски) V: и U: в папки D:\Accounting и
D:\Users соответственно, вы сможете уменьшить число объектов управления, сузив обзор до системного (C:) и логического ресурсного (D:) разделов. Папку D:\ предоставьте для доступа по сети (Share "Data"). Тем самым, вся структура ресурсов будет представлена минимальным числом объектов управления как внутри одного сервера, так и в масштабах целой сети, что позволит обращаться с ними по типовой логике.
Для хранения исполняемых модулей бизнес-приложений и соответствующих данных создайте структуру каталога D:\Accounting согласно образцу, описанному в пункте "4.1.
Пример Правил для рабочей станции". Работа с этой папкой по шаблону позволит вам иметь уверенность, что применяемая защита гарантированно работает на всех компьютерах сети.
Спланируйте размещение документов, электронной почты и других файлов пользователей в следующей структуре папок внутри D:\Users :
D:\Users\_ Shared Documents
D:\Users\User1
D:\Users\User2
D:\Users\User3
Любые общие (разделяемые) документы храните внутри каталога Shared Documents, при необходимости создавая подкаталоги с ограничениями доступа по группам пользователей. Напротив, домашние директории типа D:\Users\User предназначены для индивидуальной работы самих пользователей. Подобная системность, поддерживаемая групповой политикой перенаправления папки MyDocuments в путь "\\Server\Data\Users", позволяет пользователям удобно получать доступ к своим документам с любой точки сети и эффективно обмениваться данными друг с другом.
Сохраняйте в D:\Resources инсталляционные файлы всех использованных программ и драйверов, серийные номера, а также актуальную копию состояния системы. Это позволит быстро восстановить систему и программы в случае сбоя. Убедитесь, что эта папка доступна только Администраторам, чтобы пользователи не смогли использовать её содержимое в своих целях.

Optimal Solutions SIA
I T s u p p o r t c o m p a n y
Протокол настройки Microsoft Windows NT
- 11 -
6. Первый этап инсталляции системы.
Заранее проинтегрируйте последний Service Pack (Пакет Исправлений) в установочный компакт-диск – это ускорит процесс настройки компьютера, а также будет полезным в дальнейшем – в случае, если придётся восстанавливать повреждённую систему.
Установите Windows, загрузив компьютер с установочного компакт-диска и создав с его помощью только системный раздел. Укажите, чтобы система отформатировала этот раздел в файловой системе NTFS. Остальные разделы и папки вы создадите после инсталляции с помощью консоли Disk Management или инструментами командной строки
(diskpart). Если на момент инсталляции на жёстком диске уже существовали разделы, но нужно изменить их размеры, сначала удалите все разделы. Удаление выполняйте по очереди, начиная с последнего раздела; в противном случае, нумерация в таблице разделов может смениться нежелательным образом. Следует исключить применение любых сторонних средств для операций с дисками:
- встроенные средства Windows способны полностью решить все задачи конфигурации дискового пространства;
- инструментальный набор Windows, обладая полной информацией о возможностях дисковой подсистемы, управляет ею наиболее корректно.
В случае, если установка производится с применением технологий клонирования дисков, убедитесь, что эта процедура выполняется версией программного обеспечения, способной корректно работать со всеми свойствами NTFS, в противном случае существует риск получить частично неисправную систему - например, неработоспособный механизм квотирования (NTFS Quota) при остальных внешне исправных характеристиках.
Также убедитесь, что копия системы получила новый уникальный идентификатор
безопасности (SID).
Для этого во время создания образа диска используйте утилиту SysPrep.
В случае, если это не было сделано, существует ещё один способ замены SID - утилита
NewSID (
http://technet.microsoft.com/en-us/sysinternals/bb897418.aspx
)
Не подключайте кабель локальной сети до тех пор, пока не закончится инсталляция, и вы не проверите, что firewall (брандмауэр) включён. На данном этапе в системе ещё не установлены последние обновления безопасности, и компьютер может быть уязвим к атакам сетевых червей. По окончании процесса инсталляции Windows установите все необходимые драйвера, компоненты системы, после чего выполните процедуру Windows Update.
Выполните обновление не только Windows, но и всех других устанавливаемых программ.
Зачастую вирусная инфекция приносится вместе с заражёнными файлами устанавливаемых программ. Предлагаемый ниже механизм контроля позволяет снизить количество ненужных инсталляций, что также уменьшит вероятность проникновения вирусов и положительно скажется на стабильности работы системы в целом.

Optimal Solutions SIA
I T s u p p o r t c o m p a n y
Протокол настройки Microsoft Windows NT
- 12 -
Чётко определите функции компьютера. Создайте и поддерживайте в текущем состоянии Паспорт компьютера, в котором будут указаны следующие сведения:
- копии чеков, товарно-транспортные накладных и гарантийных талонов приобретённой аппаратуры, программного обеспечения и комплектующих;
- копии лицензий на программное обеспечение и серийные номера;
- список установленного системного и прикладного программного обеспечения;
- контактная информация ответственного персонала.
Убедитесь, что все пользователи с Административными полномочиями ознакомились со списком разрешённых к установке программ и намерены его соблюдать. Строго фильтруйте этот список; не устанавливайте ни единой программы с целью "просто посмотреть", или "хорошая утилита, друг посоветовал". В подавляющем большинстве случаев, система готова к работе и не нуждается ни в каких сторонних утилитах. Любые исключения из этого правила должны иметь техническое обоснование.
Занесите в список тот минимум прикладного программного обеспечения, который действительно необходим пользователям для работы. Не допускается инсталляция программ по причинам «на всякий случай», «новый браузер, им сейчас все пользуются» или из-за незнания возможностей уже установленных средств (например, добавление Adobe
Photoshop из-за неумения повернуть фотографию в Microsoft Paint).
Инсталляционные ресурсы следует брать только из оригинальных источников
(компакт-диск, сайт производителя) или других заведомо чистых носителей. Источники
"сайт одного компьютерного журнала" или "мой знакомый дал" категорически запрещаются!
Устанавливайте программы только после антивирусной проверки инсталляционных файлов.

Optimal Solutions SIA
I T s u p p o r t c o m p a n y
Протокол настройки Microsoft Windows NT
- 13 -
7. Регистрация учётных записей пользователей.
Каждому человеку, который будет иметь локальный или удалённый доступ к системе, выдайте User Account (индивидуальную учётную запись), обладающую привилегиями
Обычного пользователя.
Во избежание двойных конфигураций и излишней путаницы, убедитесь, что все допущенные люди зарегистрированы только единожды. Исключением являются лишь администраторы, выдайте им по две учётные записи:
- одна с административными привилегиями - для установки программ, настройки системы и конфигурации параметров безопасности;
- одна с правами обычного пользователя, от лица которой администратор будет выполнять остальные свои повседневные задачи (доступ в Интернет и к электронной почте, работа с документами и т.д.).
Убедитесь, что два человека обладают административными учётными записями – в случае, если один из администраторов будет недоступен (недееспособен), ситуация может быть взята под контроль с помощью запасного. Если администратор всего один, пароль запасной административной учётной записи сохраните в сейфе в запечатанном виде.
Создайте отдельную учётную запись



Поделитесь с Вашими друзьями:
  1   2   3   4


База данных защищена авторским правом ©nethash.ru 2019
обратиться к администрации

войти | регистрация
    Главная страница


загрузить материал