Руководство по настройке Microsoft Windows xp и Microsoft Windows Server 2003 для повышения уровня безопасности и максимально эффективной защиты от вирусов



Скачать 429.65 Kb.
Pdf просмотр
страница1/3
Дата01.12.2016
Размер429.65 Kb.
Просмотров326
Скачиваний0
ТипРуководство
  1   2   3

Optimal Solutions SIA
I T s u p p o r t c o m p a n y
Протокол настройки Microsoft Windows NT
- 1 -
Рига
14‐Май‐2009
Руководство по настройке Microsoft Windows XP
и Microsoft Windows Server 2003
для повышения уровня безопасности
и максимально эффективной защиты от вирусов.
Peter Gubarevich, CIO
Maskavas 261, Riga, Latvia LV‐1063
Phone: +371 67188803, +371 29483420
E‐mail: peter@optimalsolutions.lv

Optimal Solutions SIA
I T s u p p o r t c o m p a n y
Протокол настройки Microsoft Windows NT
- 2 -

Содержание


1. Цель документа. ..................................................................................................................................... 4 2. Предисловие автора............................................................................................................................... 5 2.1. Теория и практика. ......................................................................................................................... 5 2.2. Для кого предназначен этот документ. ........................................................................................ 5 2.3. Права и ответственность. ............................................................................................................... 5 3. Концепция безопасной работы. ............................................................................................................ 6 3.1. Антивирус – не панацея. ................................................................................................................ 6 3.2. Более эффективные методы защиты............................................................................................ 6 3.3. Принцип предоставления наименьших полномочий. ................................................................ 7 3.4. Задача непроста, но выполнима. .................................................................................................. 8 4. Правила распределения ресурсов. ....................................................................................................... 9 4.1. Построение чёткой и понятной структуры ресурсов. .................................................................. 9 4.2. Пример Правил для рабочей станции. ......................................................................................... 9 4.3. Пример Правил для сервера. ...................................................................................................... 11 5. Первый этап инсталляции системы. ................................................................................................... 13 5.1. Правильная инсталляция – фундамент стабильной работы. ................................................... 13 5.2. Бюрократия – одно из препятствий на пути вирусов. ............................................................... 14 6. Регистрация учётных записей пользователей.................................................................................... 15 7. Организация работы с группами......................................................................................................... 17 8. Подготовка профилей пользователей. ............................................................................................... 18 9. Построение иерархии прав доступа. .................................................................................................. 22 9.1. Права по умолчанию, подлежащие замене............................................................................... 22 9.2. Не давайте больше, чем нужно для работы. ............................................................................. 23 9.2. Пример иерархии прав доступа для рабочей станции. ............................................................ 24 9.3. Пример иерархии прав доступа для сервера. ........................................................................... 25 10. Настройка общесистемных параметров........................................................................................... 27 11. Важнейшие Политики безопасности. ............................................................................................... 29 11.1. Account Policies (Политики Учётных Записей). ......................................................................... 29 11.2. Local Policies (Общие политики безопасности). ....................................................................... 30 12. Корректировка прав доступа для работы с ограниченными привилегиями. ............................... 34 13. Практическое применение Software Restriction Policies. ................................................................ 36 13.1. Технология SRP. .......................................................................................................................... 36 13.2. Базовая конфигурация системы. ............................................................................................... 36 13.3. Детальные настройки политики................................................................................................ 37 13.4. Возможные проблемы и решения............................................................................................ 38 14. Безопасность резервного копирования. .......................................................................................... 39 14.1. Задача, осуществляемая с ограниченными привилегиями.................................................... 39 14.2. Безопасность съёмных копий.................................................................................................... 39 14.3. Пример настройки резервного копирования на сервере....................................................... 40 14.4. Планировщик задач.................................................................................................................... 42

Optimal Solutions SIA
I T s u p p o r t c o m p a n y
Протокол настройки Microsoft Windows NT
- 3 -
15. Регулярное обслуживание системы.................................................................................................. 44 15.1. Использование административных привилегий. .................................................................... 44 15.2. Установка новых программ, настройка системы..................................................................... 44 15.3. Установка обновлений. .............................................................................................................. 46 15.4. Другие рекомендации................................................................................................................ 46 16. Действия при обнаружении заражения. .......................................................................................... 47 16.1. Анализ признаков проблемы. ................................................................................................... 47 16.2. Действия при обнаружении заражения. .................................................................................. 49 16.3. Анализ происшествия................................................................................................................. 50 17. Заключение. ........................................................................................................................................ 51


Optimal Solutions SIA
I T s u p p o r t c o m p a n y
Протокол настройки Microsoft Windows NT
- 4 -
1. Цель документа.
В данном Руководстве рассказывается, как правильно установить операционные системы
Microsoft Windows XP Professional и Windows Server 2003 и сконфигурировать их для безопасной работы на одиночных (в т.ч. домашних) компьютерах и в рабочих группах. Эту же методику, но с учётом некоторых особенностей, можно применять и для следующих систем:

Microsoft Windows 2000 всех версий;

Microsoft Windows XP Home (некоторые настройки придётся делать в системном реестре вручную, а также применять средства сторонних производителей);

Microsoft Windows Vista / Windows Server 2008.
Главное отличие Руководства от аналогичных документов заключается в том, что оно последовательно описывает точную конфигурацию, которую необходимо выполнить для получения защищённой от вирусного поражения среды. Акцент смещён с «вы можете настроить такие‐то параметры» на «вы должны указать конкретно такие‐то значения таких‐то параметров».
Несмотря на то, что документ ориентирован в первую очередь на одиночные машины и рабочие группы, данный подход не менее эффективно проявляет себя и в доменах Active Directory, где однажды выполненная настройка применяется сразу на большом количестве компьютеров.

Optimal Solutions SIA
I T s u p p o r t c o m p a n y
Протокол настройки Microsoft Windows NT
- 5 -
2. Предисловие автора.
2.1. Теория и практика.
Данное Руководство является результатом практических наработок, полученных автором при построении и управлении компьютерными сетями на базе различных версий Microsoft Windows. Все описанные правила на протяжении длительного времени успешно применяются не только самим автором, но и другими системными администраторами, прошедшими соответствующее обучение, на всех подотчётных им коммерческих предприятиях, учебных заведениях и домашних системах.
Каждый пункт этого документа является в равной степени важным для достижения обозначенного в его заголовке результата. Теоретическое обоснование представленных далее методик работы вы можете найти как в официальной литературе Microsoft, так и в документации сторонних производителей.
2.2. Для кого предназначен этот документ.
Целевая аудитория Руководства – IT‐специалисты начального и среднего уровня, преподаватели информатики школ и других учебных заведений, а также домашние пользователи, работающие с компьютером на уровне Опытного Пользователя. Предполагается, что читатель умеет обращаться с компьютерной аппаратурой, устанавливать Microsoft Windows и бизнес‐приложения, но желает научиться обеспечивать надёжную и безопасную работу этих систем.
Употребляемая в тексте терминология предполагает использование англоязычной системы
Windows. С целью сохранения небольшого размера документа, не каждое действие описывается во всех подробностях. Также предполагается, что читатель обладает достаточным опытом, чтобы отвечать на вопросы вида «где находится консоль Disk Management?» самостоятельно.
2.3. Права и ответственность.
2.3.1.
Разрешается использовать данный документ в настройке домашних, учебных и производственных компьютерных систем.
2.3.2.
При цитировании или использовании материалов в сторонней документации ссылка на автора обязательна.
2.3.3.
Использование данного материала в учебных курсах разрешается только с письменного согласия автора.
2.3.4.
Вся информация предоставляется на условиях «КАК ЕСТЬ», без предоставления каких‐
либо гарантий и прав, кроме оговорённых выше.

Optimal Solutions SIA
I T s u p p o r t c o m p a n y
Протокол настройки Microsoft Windows NT
- 6 -
3. Концепция безопасной работы.
3.1. Антивирус – не панацея.
Подавляющее большинство рядовых пользователей, а также большой процент людей из числа системных администраторов полагает, что наличия только антивирусной программы вполне достаточно для защиты компьютера от вирусов; что при этом можно совершенно не заботиться о правах, блокировках и прочих правилах безопасности.
Невозможно отрицать полезность антивирусных средств; однако, сейчас их роль явно преувеличена в сознании людей. Технически, любая антивирусная программа имеет свой процент срабатывания (от 50% до 95%). Вне зависимости от обещаний производителя, 100% на сегодняшний день, равно как и в обозримом будущем, недостижимы. Более того, постоянно появляются угрозы новых типов – не только использующие комбинированные методы проникновения в систему, но и способные задействовать слабые стороны многих антивирусных пакетов.
Практика предъявляет нам более внушительные цифры ‐ по статистике ряда интернет‐
провайдеров, не менее 30% компьютеров (то есть, каждый третий!), принадлежащих домашним пользователям поражены вредоносными программами. При этом практически на всех из них установлены антивирусные пакеты и средства обнаружения шпионских модулей от различных производителей. Пользователи, заявляющие «я всё просканировал, мой антивирус ничего не находит», в принципе, говорят правду – установленный антивирусный продукт действительно ничего
не находит. Было бы странно, если бы антивирус мог сообщить «я пропустил конкретно такой‐то неизвестный мне вирус». В самом деле, угрозы класса rootkit чрезвычайно сложны в обнаружении – такова их изначальная природа.
3.2. Более эффективные методы защиты.
Опыт показывает, что защита от вирусов только антивирусными программами работает крайне слабо, является неэффективной. Однако, уже десятки лет существует и успешно применяется в производственной среде методика защиты от зловредных программ средствами, встроенными в саму операционную систему. В основу защиты положен принцип предоставления наименьших
полномочий, а также некоторые дополнительные мероприятия, в целом повышающие уровень безопасности компьютерной системы.
Рис. 3.1. Фундамент эффективной защиты от вирусов – работа с ограниченными привилегиями

Optimal Solutions SIA
I T s u p p o r t c o m p a n y
Протокол настройки Microsoft Windows NT
- 7 -
Максимально эффективная защита от вирусов достигается за счёт соблюдения одновременно нескольких правил:
-
Ограниченные привилегии. Пользователи допускаются к работе в системе только с ограниченными привилегиями, любое использование привилегий Администратора должно быть жёстко регламентировано;
-
Строгие разрешения NTFS. Уровень доступа пользователей к исполняемым модулям любых программ ограничивается Чтением. Право Записи допускается только на те папки и файлы, где это действительно необходимо;
-
Политики Software Restriction. Разрешается запускать программы только из заранее составленного списка, всё остальное должно блокироваться;
-
Security Updates. Обновления безопасности должны своевременно устанавливаться как для для самой операционной системы, так и связанных с ней компонентов (например, Adobe
Flash), а также производственных программ;
-
Политики безопасности. Параметры системы «по умолчанию» не всегда безопасны.
Детальная настройка политик безопасности – важный шаг для повышения уровня защиты компьютера;
-
Блокирование замусоривания системы. Установка любой новой программы должна быть чётко обоснована техническим персоналом, а инсталляционные файлы проверены антивирусной программой.
3.3. Принцип предоставления наименьших полномочий.
Операционная система чётко различает пользователей, предоставляя им различные уровни доступа – например, Административный, Обычного пользователя или Гостевой. Администратор, как правило, ничем не ограничен, и человеку с таким уровнем доступа разрешено совершать любые действия – устанавливать новые программы, настраивать параметры системы, регулировать права других пользователей. Постоянная работа с привилегиями Администратора открывает систему для случайного заражения «троянским конём» и других рисков безопасности.
Напротив, привилегий Обычного пользователя вполне достаточно для работы с документами,
Интернетом, бизнес‐приложениями, одновременно оставляя систему и программы «на предохранителе». Ограниченные права не позволяют пользователю (и зловредным программам) вносить ни положительные, ни отрицательные изменения в настройку системы. Таким образом, состояние системы консервируется вне зависимости от того, какие программы запускаются пользователями.
Типовой компьютерный вирус – не мистическая субстанция, а заражение ‐ не магический обряд. То, что мы понимаем под «вирусом» – это просто программа, автор которой заранее нацелил её на выполнение определённых деструктивных действий и дальнейшее распространение.
Будучи случайно или преднамеренно запущенной человеком на исполнение, вирусная программа в дальнейшем оперирует от его лица, обладая тем же уровнем привилегий, что и сам пользователь. Поэтому, вопрос заражения системы и дальнейшего распространения вируса в первую очередь зависит от того, какими правами обладает пользователь, его запустивший. Зловредная программа, выполненная с привилегиями Обычного пользователя, не найдёт путей дальнейшего распространения, будучи физически неспособной проникнуть внутрь системы.

Optimal Solutions SIA
I T s u p p o r t c o m p a n y
Протокол настройки Microsoft Windows NT
- 8 -
3.4. Задача непроста, но выполнима.
Задача, которую мы поставили перед собой и реализуем с помощью Руководства ‐
законсервировать компьютер в его первоначально стабильном, незаражённом состоянии и удерживать таковым на протяжении длительного времени. Эта цель последовательно достигается выполнением всех пунктов Руководства, каждый из которых имеет своё существенное значение и должен быть реализован теми или иными средствами на каждом компьютере, будь то производственная или домашняя система.
Кроме устранения вирусных угроз, выполняемые настройки существенно помогут в решении некоторых других вопросов – сохранения производительности системы, организации резервного копирования и повышения общего уровня безопасности сети.

Optimal Solutions SIA
I T s u p p o r t c o m p a n y
Протокол настройки Microsoft Windows NT
- 9 -
4. Правила распределения ресурсов.

Основная задача и смысл работы Администратора ‐ грамотно распоряжаться вычислительными ресурсами, обеспечивая им должную сохранность и предоставляя по необходимости пользователям.
Однако, невозможно качественно управлять программами, выполнять резервное копирование и защиту данных, которые беспорядочно разбросаны по дискам и каталогам нескольких компьютеров.
4.1. Построение чёткой и понятной структуры ресурсов.
Концентрируйте важные документы и бизнес‐программы на главном компьютере (сервере).
Разработайте Правила распределения ресурсов, построив их на примере предложенного ниже образца. Направьте Правила на решение следующих задач:
- автоматизированная доступность ресурсов с любой точки сети;
- удобное, понятное и простое разграничение доступа, защита ресурсов;
- резервное копирование, исполняемое с должной частотой и в надлежащем объёме;
- приемлемая производительность компьютера и сети при доступе к ресурсам;
- гибкость и масштабируемость Правил при взаимодействии указанных компонентов.
Любые файловые ресурсы, которыми оперирует ваш компьютер, должны храниться в заранее
определённых местах ‐ дисках, разделах, папках. От того, насколько точно вы придерживаетесь этого правила, напрямую зависит рассматриваемая нами безопасность системы, а также надёжность и скорость её работы
Организуйте хранение документов в отведённых для этого местах не только программными настройками, но и ознакомьте пользователей с соответствующей письменной инструкцией.
Исполнение ими правил хранения данных позволит защитить документы от несанкционированного доступа и обеспечить резервное копирование в должном объёме.
Задокументируйте и чётко соблюдайте принятые вами Правила распределения ресурсов. Это поможет следовать им как в масштабах одного компьютера, так и всей сети, управляемой группой системных администраторов.
4.2. Пример Правил для рабочей станции.
Предполагая, что функции компьютера можно описать как "типовая рабочая станция", спланируйте разделение жёсткого диска на две части:
-
C: (System) для системы и программ, которые вы проинсталлируете дополнительно;
-
D: (Data) для хранения временных файлов и возможных рабочих директорий пользователей.
В любом случае, пользовательские данные должны быть отделены от системы. Разделённые ресурсы подвергаются раздельному квотированию, фрагментации, резервному копированию.
Одновременно, это даёт возможность качественно законсервировать систему.
Обычные бизнес‐программы (Microsoft Office, архиватор), которые легко восстанавливаются после повреждения, устанавливайте на раздел C: в папку Program Files. Других папок в корне системного диска создавать не следует, так как это увеличит число точек управления ресурсами.

Optimal Solutions SIA
I T s u p p o r t c o m p a n y
Протокол настройки Microsoft Windows NT
- 10 -
Исполняемые модули производственных программ, требующих регулярного резервного копирования или ограничения доступа (1С, SHOP, клиент Интернет‐банка и т.д.), рекомендуется хранить на центральном компьютере и запускать по сети ‐ это упростит операции обслуживания, позволит контролировать доступ в одной точке управления и гарантирует единую версию программ для всех пользователей.
Для случаев, когда это недостижимо, создайте и используйте локальный каталог D:\Accounting.
Обязательно разделяйте не только различные программы, так и собственно их исполняемые модули от баз данных, например:
D:\Accounting\1C
D:\Accounting\1C\Programs
D:\Accounting\1C\Programs\1Cv77
D:\Accounting\1C\Programs\1Cv80
D:\Accounting\1C\Bases
D:\Accounting\1C\Bases\CompanyA
D:\Accounting\1C\Bases\CompanyB
Рис. 4.1. Пример построения структуры каталогов производственных программ
Описанная структура упростит резервное копирование и позволит правильно назначить права доступа, закрыв исполняемые модули от несанкционированных изменений и вирусного поражения, а базы данных ‐ от несанкционированного доступа. Для нужд пользовательских программ и записи временных файлов создайте каталог D:\Users. Другие папки в корне пользовательского диска создавать не следует, дабы избежать излишней хаотичности структуры каталогов.

Optimal Solutions SIA
I T s u p p o r t c o m p a n y
Протокол настройки Microsoft Windows NT
- 11 -
4.3. Пример Правил для сервера.
При планировании распределения ресурсов на центральном компьютере повышенное внимание уделите дисковой подсистеме. Наиболее медленным компонентом современного компьютера является жёсткий диск – а именно, процесс перемещения головок диска при поиске нужных дорожек. По возможности, не делите диски на разделы, а выделите для хранения документов и бизнес‐приложений отдельные физические диски (шпиндели). Это поможет справиться с конкурентными операциями доступа к различным данным, зачастую повышая производительность дисковой подсистемы в десятки раз.
Пример конфигурации типового сервера уровня отдела или малой сети:
-
C: (System) для системы и программ, которые вы проинсталлируете дополнительно;
-
D: (Data) для хранения инсталляционных ресурсов и глубинных резервных копий;
-
V: (Accounting) исполняемые модули бизнес‐программ и базы данных;
-
U: (Users) документы пользователей, файлообмен.
Рис. 4.2. Пример построения структуры дисковых массивов сервера
Подмонтировав разделы (или физические диски) V: и U: в папки D:\Accounting и D:\Users соответственно, вы сможете уменьшить число объектов управления, сузив обзор до системного (C:) и логического ресурсного (D:) разделов. Папку D:\ предоставьте для доступа по сети (


Поделитесь с Вашими друзьями:
  1   2   3


База данных защищена авторским правом ©nethash.ru 2019
обратиться к администрации

войти | регистрация
    Главная страница


загрузить материал