Руководство по настройке Microsoft Windows xp и Microsoft Windows Server 2003 для повышения уровня безопасности и максимально эффективной защиты от вирусов



Скачать 429.65 Kb.
Pdf просмотр
страница2/3
Дата01.12.2016
Размер429.65 Kb.
Просмотров325
Скачиваний0
ТипРуководство
1   2   3
Share "Data"). Тем самым, вся структура ресурсов будет представлена минимальным числом объектов управления как внутри одного сервера, так и в масштабах целой сети, что позволит обращаться с ними по типовой логике.
Для хранения исполняемых модулей бизнес‐приложений и соответствующих данных создайте структуру каталога D:\Accounting согласно образцу, описанному в пункте "Пример Правил для рабочей станции". Работа с этой папкой по шаблону позволит вам иметь уверенность, что применяемая защита гарантированно работает на всех компьютерах сети.

Optimal Solutions SIA
I T s u p p o r t c o m p a n y
Протокол настройки Microsoft Windows NT
- 12 -
Спланируйте размещение документов, электронной почты и других файлов пользователей в следующей структуре папок внутри D:\Users :
D:\Users\_ Shared Documents
D:\Users\User1
D:\Users\User2
D:\Users\User3
Рис. 4.3. Пример построения структуры домашних каталогов пользователей
Любые общие (разделяемые) документы храните внутри каталога Shared Documents, при необходимости создавая подкаталоги с ограничениями доступа по группам пользователей.
Напротив, домашние директории типа D:\Users\Peter предназначены для индивидуальной работы самих пользователей.
Подобная системность, поддерживаемая групповой политикой перенаправления папки My Documents в путь "\\Server\Data\Users", позволяет пользователям удобно получать доступ к своим документам с любой точки сети и эффективно обмениваться данными друг с другом.
Сохраняйте в D:\Resources инсталляционные файлы всех использованных программ и драйверов, серийные номера, а также актуальную копию состояния системы. Это позволит быстро восстановить систему и программы в случае сбоя. Убедитесь, что эта папка доступна только
Администраторам, чтобы пользователи не смогли использовать её содержимое в своих целях.

Optimal Solutions SIA
I T s u p p o r t c o m p a n y
Протокол настройки Microsoft Windows NT
- 13 -
5. Первый этап инсталляции системы.
5.1. Правильная инсталляция – фундамент стабильной работы.
Заранее проинтегрируйте последний Service Pack (Пакет Исправлений) в установочный компакт‐диск – это ускорит процесс настройки компьютера, а также будет полезным в дальнейшем – в случае, если придётся восстанавливать повреждённую систему.
Установите Windows, загрузив компьютер с установочного компакт‐диска и создав с его помощью только системный раздел. Укажите, чтобы система отформатировала этот раздел в файловой системе NTFS. Остальные разделы и папки вы создадите после инсталляции с помощью консоли Disk Management или инструментами командной строки (diskpart). Если на момент инсталляции на жёстком диске уже существовали разделы, но нужно изменить их размеры, сначала удалите все разделы. Удаление выполняйте по очереди, начиная с последнего раздела; в противном случае, нумерация в таблице разделов может смениться нежелательным образом. Следует исключить применение любых сторонних средств для операций с дисками:
- встроенные средства Windows способны полностью решить все задачи конфигурации дискового пространства;
- инструментальный набор Windows, обладая полной информацией о возможностях дисковой подсистемы, управляет ею наиболее корректно.
Рис. 5.1. Создание системного раздела с помощью установочного компакт‐диска Windows
В случае, если установка производится с применением технологий клонирования дисков, убедитесь, что эта процедура выполняется версией программного обеспечения, способной корректно работать со всеми свойствами NTFS, в противном случае существует риск получить частично неисправную систему ‐ например, неработоспособный механизм квотирования (NTFS
Quota) при остальных внешне исправных характеристиках.

Optimal Solutions SIA
I T s u p p o r t c o m p a n y
Протокол настройки Microsoft Windows NT
- 14 -
Также убедитесь, что копия системы получила новый уникальный Идентификатор
Безопасности (SID). Для этого во время создания образа диска используйте утилиту SysPrep. В случае, если это не было сделано, существует ещё один способ замены SID ‐ утилита NewSID
(
http://technet.microsoft.com/en‐us/sysinternals/bb897418.aspx
)
Не подключайте кабель локальной сети до тех пор, пока не закончится инсталляция, и вы не проверите, что firewall (брандмауэр) включён. На данном этапе в системе ещё не установлены последние обновления безопасности, и компьютер может быть уязвим к атакам сетевых червей. По окончании процесса инсталляции Windows установите все необходимые драйвера, компоненты системы, после чего выполните процедуру Windows Update. Выполните обновление не только
Windows, но и всех других устанавливаемых программ.
5.2. Бюрократия – одно из препятствий на пути вирусов.
Зачастую вирусная инфекция приносится вместе с заражёнными файлами устанавливаемых программ. Предлагаемый далее механизм контроля позволяет снизить количество ненужных инсталляций, что также уменьшит вероятность проникновения вирусов и положительно скажется на стабильности работы системы в целом.
Чётко определите функции компьютера. Создайте и поддерживайте в текущем состоянии
Паспорт компьютера, в котором будут указаны следующие сведения:
- копии чеков, товарно‐транспортные накладных и гарантийных талонов приобретённой аппаратуры, программного обеспечения и комплектующих;
- копии лицензий на программное обеспечение и серийные номера;
- список установленного системного и прикладного программного обеспечения;
- контактная информация ответственного персонала.
Убедитесь, что все пользователи с Административными полномочиями ознакомились со списком разрешённых к установке программ и намерены его соблюдать. Строго фильтруйте этот список; не устанавливайте ни единой программы с целью "просто посмотреть", или "хорошая
утилита, друг посоветовал". В подавляющем большинстве случаев, система готова к работе и не нуждается ни в каких сторонних утилитах. Любые исключения из этого правила должны иметь техническое обоснование.
Занесите в список тот минимум прикладного программного обеспечения, который
действительно необходим пользователям для работы. Не допускается инсталляция программ по причинам «на всякий случай», «новый браузер, им сейчас все пользуются» или из‐за незнания возможностей уже установленных средств (например, добавление Adobe Photoshop из‐за неумения повернуть фотографию в Microsoft Paint).
Инсталляционные ресурсы следует брать только из оригинальных источников (компакт‐диск, сайт производителя) или других заведомо чистых носителей. Источники "сайт одного
компьютерного журнала" или "мой знакомый дал" категорически запрещаются! Устанавливайте программы только после антивирусной проверки инсталляционных файлов.

Optimal Solutions SIA
I T s u p p o r t c o m p a n y
Протокол настройки Microsoft Windows NT
- 15 -
6. Регистрация учётных записей пользователей.
Каждому человеку, который будет иметь локальный или удалённый доступ к системе, выдайте
User Account (индивидуальную учётную запись), обладающую привилегиями Обычного
пользователя. Во избежание двойных конфигураций и излишней путаницы, убедитесь, что все допущенные люди зарегистрированы только единожды. Исключением являются лишь администраторы, выдайте им по две учётные записи:
- одна с административными привилегиями ‐ для установки программ, настройки системы и конфигурации параметров безопасности;
- одна с правами обычного пользователя, от лица которой администратор будет выполнять остальные свои повседневные задачи (доступ в Интернет и к электронной почте, работа с документами и т.д.).
Убедитесь, что два человека обладают административными учётными записями – в случае, если один из администраторов будет недоступен (недееспособен), ситуация может быть взята под контроль с помощью запасного. Если администратор всего один, пароль запасной административной учётной записи сохраните в сейфе в запечатанном виде.
Создайте отдельную учётную запись User с ограниченными привилегиями для тестирования работоспособности системы. Чтобы сохранить пользовательский профиль в неизменном исправном состоянии, не используйте её для реальной работы.
Создайте отдельную учётную запись Backup с ограниченными привилегиями для выполнения процедур автоматического резервного копирования. Добавьте её в локальную группу Backup
Operators, так как эта группа обладает необходимыми полномочиями для выполнения копирования
System State (состояния системы).
Рис. 6.1. Каждому пользователю выдана индивидуальная учётная запись

Optimal Solutions SIA
I T s u p p o r t c o m p a n y
Протокол настройки Microsoft Windows NT
- 16 -
Создавайте отдельные учётные записи для всех служб, которые способны нормально работать с ограниченными правами (например, Microsoft SQL Server). Включайте их в группы безопасности по тому же принципу наименьших привилегий, что и настоящих пользователей. В случае проведения успешной атаки на службу SQL взломщик (или сетевой червь) получит ограниченный уровень доступа, что приведёт к наименьшему ущербу, чем если бы он захватил контроль над всей системой
(учётной записью SYSTEM, обладающей максимальными привилегиями).
Объедините служебные учётные записи в группе Service Accounts. Это поможет назначить общие для них разрешения и запреты – например, запрет на использование Терминальных служб.
Также, включите для них параметры ”Password Never Expires” (”Пароль не истекает”) и ”User Cannot
Change Password” (”Пользователь не может сменить пароль”).
Задокументируйте назначение служебных учётных записей и уровень их привилегий. Также опишите процедуры поддержки служб (настройка компонентов, восстановление из резервных копий и т.п.), чтобы ответственный персонал был способен решать проблемы их работоспособности быстро и качественно.
Процесс регистрации новых, а также деактивации неиспользуемых учётных записей обычно состоит из множества сложных шагов и подчиняется определённым правилам. Запротоколируйте все положенные действия, чтобы ответственный персонал выполнял их корректно, не ослабляя уровня безопасности системы.

Optimal Solutions SIA
I T s u p p o r t c o m p a n y
Протокол настройки Microsoft Windows NT
- 17 -
7. Организация работы с группами.
Создавайте отдельные локальные группы для назначения доступа к каждому ресурсу, который будет предоставлен пользователям (цветной лазерный принтер, база данных 1С, папка Shared
Documents и т.д.). Добавляйте учётные записи в эти группы только согласно реальной необходимости.
Например, лица, в обязанности которых будет входить работа с программой 1С, должны быть занесены в группу 1C Users. Если на компьютере хранятся несколько баз данных 1С, создайте отдельную локальную группу для каждой из этих баз.
Давайте группам ясные и читабельные названия. Задокументируйте назначение групп, чтобы осуществляющий техническую поддержку персонал не усложнял настройки без надобности и не ослаблял уровня безопасности системы.
Рис. 7.1. Для каждого ресурса создана отдельная локальная группа
Особое внимание следует уделить группам с повышенными полномочиями. Категорически запрещается выдавать административные привилегии рядовым пользователям, в задачи которых не входит обслуживание данной компьютерной системы.
Не добавляйте пользователей в группу Power Users (Опытные Пользователи) – права этой группы де‐факто являются административными. При её использовании вирусное заражение или захват управления станут столь же вероятными, как при постоянной работе с привилегиями
Администратора.
На мобильных компьютерах внесите системную группу Interactive (Интерактивные
пользователи) в локальную группу Network Configuration Operators (Операторы сетевой
конфигурации). Это даст пользователям возможность менять настройки сетевых интерфейсов, не прибегая к привилегиям Администратора.

Optimal Solutions SIA
I T s u p p o r t c o m p a n y
Протокол настройки Microsoft Windows NT
- 18 -
8. Подготовка профилей пользователей.
User Profile (Профиль пользователя) – сумма всех личных настроек пользователя, начиная с цвета фона рабочего стола и заканчивая настройками реестра, без которых бизнес‐программы не могут работать в нормальном режиме. Работая от лица Администратора, настройте визуальную среду и бизнес‐программы. Ниже приведены некоторые настройки, имеющие важное значение для рабочей среды пользователей:
-
Установите местоположение папки My Documents (Мои Документы) в D:\Users для одиночных машин или \\Company‐Server\Data\Users для рабочей группы. Многие программы ориентируются на My Documents, предлагая её по умолчанию при открытии или сохранении документов;
-
В Control Panel ‐> System настройте переменные окружения %TEMP% и %TMP% пользователя на папку D:\Users\%UserName%\Temp. Многие программы создают временные папки и файлы для своей работы. Такие файлы не должны храниться на законсервированном системном разделе. Также, перенацельте системные переменные окружения %TEMP% и %TMP% в папку D:\Users\Temp.
Рис. 8.1. Настройка переменных окружения %TEMP%, %TMP%

Optimal Solutions SIA
I T s u p p o r t c o m p a n y
Протокол настройки Microsoft Windows NT
- 19 -
-
Настройте подключения ко всем необходимым сетевым дискам и принтерам.
Пользователи не должны беспорядочно блуждать по сети, пытаясь найти необходимые им для работы документы;
-
Измените размер и местоположение папки Temporary Internet Files. Если за компьютером работают несколько человек, суммарный объём этих папок может составлять несколько гигабайт. К сожалению, эта настройка не воспринимает переменные типа %UserName%, поэтому регулируйте её для каждого пользователя отдельно либо вручную, либо в реестре с помощью
Logon
Script
(сценария входа)
(см. ключ
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders\). Укажите целевую папку D:\Users\%UserName%\Temporary Internet Files;
-
Правильно расположите на Desktop (Рабочем столе) и в Start Menu (Меню Пуск) ярлыки всех необходимых пользователям программ. Ярлыки программ, которые должны быть доступны всем пользователям без исключения, скопируйте в папку C:\Documents and
Settings\All Users\Desktop. Ярлыки программ, доступ к которым будет ограничен, скопируйте на личный рабочий стол подготавливаемого профиля
(C:\Documents and
Settings\Administrator\Desktop). Ярлыки неиспользуемых пользователями программ
(например, Command Prompt в Accessories), следует убрать вообще, чтобы не засорять рабочую среду;
-
Выполните все частные настройки бизнес‐программ (например, настройте список баз и шрифты программы 1С). Укажите все необходимые для работы региональные установки и раскладки клавиатуры. Как результат, человек должен получить готовую к работе систему, а не пытаться решить множество непонятных ему вопросов при первом входе в компьютер;
-
Настройте запрет всех видов Autorun (автозапуска), так как некоторые вредоносные программы используют данный механизм для заражения системы и дальнейшего своего распространения. Для этого в групповой политике укажите значение All Drives параметра
Turn Off Autoplay в разделе Administrative Templates, System контейнеров Computer
Configuration и User Configuration;
Рис. 8.2. Запрет Autorun с помощью групповых политик

Optimal Solutions SIA
I T s u p p o r t c o m p a n y
Протокол настройки Microsoft Windows NT
- 20 -
-
С помощью команды msconfig или утилиты autoruns (
http://technet.microsoft.com/en‐
us/sysinternals/bb963902.aspx
) отредактируйте список запускаемых при входе в компьютер
программ. Следует убрать из автозагрузки программы, не являющиеся необходимыми для работы;
-
Настройте включение Screen Saver (хранителя экрана) и блокировку системы паролем при бездействии пользователя. Открытый компьютер, оставленный без присмотра, является хорошим плацдармом для нападения злоумышленников. Выберите разумное значение времени бездействия, чтобы не мешать нормальной работе пользователей ‐ например, 1200 секунд (20 минут). Укажите значения параметров Screen Saver timeout, Password protect the
screen saver в разделе Administrative Templates, Control Panel, Display в контейнере User
Configuration.
Закончив настройку рабочей среды, освободите текущий профиль от заведомо ненужных остатков инсталляционных пакетов и временных файлов. Объём отлаженного профиля обычно не превышает 5‐10 Мб.
Зайдите в систему с учётной записью резервного Администратора. Открыв Control Panel ‐>
System, найдите и скопируйте подготовленный профиль в папку C:\Documents and Settings\Default
User (Пользователя по умолчанию). При копировании укажите право пользования профилем группе
Authenticated Users. Таким образом, профили всех пользователей, заходящих в компьютер в первый раз, будут сформированы по заготовленному образцу.
Рис. 8.3. Создание профиля‐образца

Optimal Solutions SIA
I T s u p p o r t c o m p a n y
Протокол настройки Microsoft Windows NT
- 21 -
Внимание! После копирования на папку Default User системой будут установлены разрешения
NTFS Full Control для группы Authenticated Users. Вручную отредактируйте права, сняв с этой группы доступы Modify и Write.
Настройте профиль, который система загружает до входа пользователей в систему (т.е., Logon
Window, Окно входа в Windows). Для этого в Control Panel ‐> Accessibility, закладка General, отметьте галочку Apply all settings to logon desktop.
В качестве фонового рисунка экрана входа в систему установите логотип компании – пользователи должны знать, чьим правилам безопасности они подчиняются. Для этого укажите в ключе HKEY_USERS\.Default\Control Panel\Desktop значение REG_SZ Wallpaper: C:\Windows\Logo.bmp.
Сам файл заранее подготовьте в том разрешении и цветовой гамме, которые будут применены на данном компьютере.
Научите пользователей не оставлять на рабочем столе ничего, кроме ярлыков на часто использующиеся документы и бизнес‐программы, а также папки My Documents и Recycler (Корзины).
В противном случае, часть важных документов может сохраниться вне определённых Правилами распределения ресурсов мест. Хорошей мерой обеспечения выполнения данного пункта может служить сценарий входа в систему, перемещающий с рабочего стола всё, кроме ярлыков, в домашнюю директорию пользователя.

Optimal Solutions SIA
I T s u p p o r t c o m p a n y
Протокол настройки Microsoft Windows NT
- 22 -
9. Построение иерархии прав доступа.
9.1. Права по умолчанию, подлежащие замене.
Из файловых систем, поддерживаемых Windows на локальных жёстких дисках, только NTFS работает с Access Permissions (Разрешениями доступа). На самом деле, безопасностью возможности
NTFS не ограничиваются, поэтому следует использовать её везде, где возможно, в том числе на съёмных жёстких дисках.
Если на системе уже существуют разделы, отформатированные в файловой системе FAT, выполните резервное копирование данных и переформатируйте раздел в NTFS, после чего восстановите данные из копии. Не следует делать конвертаций из FAT в NTFS – распределение дисковых структур будет далеко от идеального.
Система по умолчанию достаточно подготовлена к работе пользователей с ограниченными привилегиями, поэтому не меняйте разрешения на папки Documents and Settings, WINDOWS и корневые ветви реестра (например, HKLM\Software).
Программы, устанавливаемые в Program Files, защищены изначально. Пользователи, являющиеся членами группы Users, не имеют прав на изменение содержимого этого каталога.
Защита Program Files от вирусного поражения со стороны пользователей в этом случае гарантирована на 100%.
Исключением являются корневые папки дисков – сконфигурируйте их таким образом, чтобы пользователи не могли создавать новые файлы и каталоги.
Рис. 9.1. Права по умолчанию, подлежащие замене

Optimal Solutions SIA
I T s u p p o r t c o m p a n y
Протокол настройки Microsoft Windows NT
- 23 -
Рекомендуемая схема прав на указанные каталоги:
Administrators, SYSTEM: Full Control
Users:
Read
Также, на рабочих станциях исправьте права доступа на папку %SystemRoot%\Tasks так, чтобы рядовые пользователи не могли добавлять свои задачи в Scheduled Tasks (Планировщик задач).
Используйте для этого команду cacls: cacls %SystemRoot%\Tasks /g Administrators:F SYSTEM:F Users:R
В доменной среде этот запрет можно реализовать групповыми политиками, раздел
Administrative Templates, Windows Components, Task Scheduler контейнеров User Configuration и/или
Computer Configuration.
В случае необходимости, возможно восстановить изначальные разрешения. Для этого примените Шаблон Безопасности (Security Template) setup security.inf с помощью консоли MMC
Security
Configuration and
Analysis.
Подробнее
– в статье
MS
Knowledge
Base http://support.microsoft.com/kb/237399


9.2. Не давайте больше, чем нужно для работы.
Конфигурируя доступ к бизнес‐программам, используйте запретительную систему назначения прав – разрешайте пользователям доступ лишь к тем каталогам и ключам реестра, которые им действительно необходимы. По возможности, разрешайте доступ только на Read (Чтение) и лишь в необходимых случаях – на Modify (Изменение). Исполняемые файлы (.exe, .com, .bat и др.) в любом случае должны остаться закрытыми от изменений – именно это и гарантирует защиту от вирусного поражения со стороны пользователя.
Не допускается применять разрешение Full Control (Полный доступ) – это разрешение включает в себя право Change Permissions (Изменять Права доступа). Столь мощное право абсолютно не нужно пользователям, зато опасность изменения структуры прав и последующего вирусного поражения возрастает многократно.
Конфигурируя доступ и к бизнес‐программам, и к домашним каталогам пользователей, учитывайте потребности резервного копирования. Некоторые решения могут требовать, чтобы группа Backup Operators имела доступ на Чтение этих ресурсов.
Назначайте разрешения только на группы – это существенно сэкономит время перенастройки прав при добавлении новых пользователей или смены должности уже имевших доступ. Не используйте Access Restrictions (Запреты доступа) – могут сложиться ситуации, при которых структура прав станет нечитабельной. Как результат, доступ может работать не так, как это задумывалось.
Установите Auditing (Cлежение) на Successful Delete (Успешные удаления) объектов из папок бизнес‐программ (D:\Accounting) и папок с общим доступом (Shared Documents). В случае, если пользователи заявят о пропаже документов, с помощью журнала Security можно будет установить, кто и когда удалил эти файлы, после чего восстановить их из ближайшей по времени резервной копии.

Optimal Solutions SIA
I T s u p p o r t c o m p a n y
Протокол настройки Microsoft Windows NT


Поделитесь с Вашими друзьями:
1   2   3


База данных защищена авторским правом ©nethash.ru 2019
обратиться к администрации

войти | регистрация
    Главная страница


загрузить материал