Управление безопасностью служб с помощью Windows Server 2008

Published on Февраль 4, 2009 by   ·   Комментариев нет

Введение

Практически каждый сервер, который есть в вашей среде, выполняет определенные службы. Эти службы обеспечивают доступ к данным, ресурсам, репликации, приложениям и другим областям функциональности сервера и сети. Если эти службы не защищены, они становятся отличными кандидатами для атак. Когда служба подвергается атаке, на кону стоит доступ к серверу и сети. Возможность саботажа службы также присутствует, что может привести к потерям времени и денег в силу некорректной работы сервера, отвечающего за службы. В Windows Server 2008 компания Microsoft добавила некоторые отличные новые виды контроля над службами. Когда вы сочетаете все виды контроля, предоставленные компанией Microsoft для служб в объектах групповой политике, вы можете быть уверены в том, что ваши службы защищены.

Области защиты служб

Службы по своей сути опасны для ваших серверов и сети в силу того, что они представляют «дыры» в сервере для пользователей, приложений и прочих ресурсов доступа к серверу. Когда дыра слишком большая или служба не защищена, атакующему пользователю может быть обеспечен доступ с привилегиями слишком высокого уровня. Поэтому очень важно обеспечивать защиту служб с тем, чтобы доступ был обеспечен только к той области, для которой предназначена служба.

При оценке того, что нужно защищать, вам необходимо смотреть за пределы основных дыр, которые появляются, и думать о потенциальных атаках, которые могут быть предприняты против служб и связанных с ними параметров. Далее приведен список потенциальных областей, связанных со службами, которые необходимо защищать:

  • Список контроля доступа для службы
  • Режим запуска службы
  • Учетная запись службы
  • Пароль служебной учетной записи службы

Всеми этими связанными с безопасностью областями теперь можно управлять с помощью групповой политики в Windows Server 2008/Vista.

Доступ к объектам групповой политики (GPO)

Чтобы вы смогли полностью воспользоваться всеми преимуществами параметров, обсуждаемых в этой статье, вам нужно запустить следующие элементы в своей сети:

  • Контроллер домена Windows Server 2008
  • Windows Vista SP1, с установленным инструментом Remote Server Administrative Tools, работающим в домене Windows Active Directory

Как только у вам запущен один из этих компьютеров, вы можете использовать консоль управления групповой политикой для управления и редактирования объектов групповой политики на этом компьютере. Вы не сможете просматривать новые параметры с другого компьютера, на котором не запущены вышеперечисленные компоненты.

Список контроля доступа службы

Чтобы вы могли контролировать список контроля доступа службы, вам нужно использовать вкладку «Службы» в объектах групповой политики, которую можно найти в: Конфигурация компьютера \Политики \Параметры Windows\Параметры безопасности \Системные службы, как показано на рисунке 1.

Безопасность Windows server 2008

Рисунок 1: Политика системных служб для управления списком контроля доступа службы

Чтобы использовать эту политику, вам нужно найти службу, которую вы хотите контролировать, в списке в правой части панели, и затем выбрать ее. Когда вы нажимаете правой клавишей на имени службы, вы можете редактировать свойства этой службы. При редактировании свойств службы у вас открывается диалоговое окно «Свойства», как показано на рисунке 2.

Служба управления безопасностью Windows

Рисунок 2: Диалоговое окно свойств системной службы

Чтобы изменить список контроля доступа службы, поставьте флажок в строке «Определить параметры этой политики», а затем нажмите кнопку «Изменить безопасность». После нажатия этой кнопки вы увидите диалоговое окно, как показано на рисунке 3.

Ограничение запуска свойств службы

Рисунок 3: Диалоговое окно безопасности для управления списком доступа службы

Обратите внимание, что у вас есть некоторые стандартные разрешения, которые вы можете задавать для этой службы:

Полный контроль,Чтение,Запуск, остановка и пауза,Запись,Удаление

Вы также можете создавать пользовательский список разрешений, нажав на кнопку «Дополнительно», которая предоставляет вам 14 подробных разрешений безопасности, которые можно задавать для каждой службы.

Режим запуска службы

Режим запуска службы является критически важным для служб, которые вы не можете или не хотите деинсталлировать, но хотите, чтобы они не запускались автоматически при загрузке системы. Существует три уровня запуска для служб, лишь один из которых действительно защищает компьютер.

Автоматический, Ручной, Отключено

Автоматический и ручной режим может запускать службу в любое время в зависимости от того, как построена служба. Эти два режима позволяют запускать службу при необходимости.

Однако когда стоит значение «Отключено», служба не будет запускаться, пока для нее не будет задан параметр «Автоматически» или «Вручную». Таким образом, вы защищаете сервер от запуска службы, пока она не начинает работать по требованию администратора. Использование режима запуска совместно со списком контроля доступа может стать очень мощным оружием, поскольку разрешения могут ограничивать то, какие пользователи могут запускать или изменять службу.

Вы будете контролировать режим запуска в той же политике, в которой вы контролируете список контроля доступа. На рисунке 2 показаны вышеперечисленные режимы запуска службы.

Служебная учетная запись службы

Для работы многих служб требуется использование служебных учетных записей. Причиной тому является предоставление службе доступа не только к тому компьютеру, на котором она запущена, но и к другим компьютерам в сети. В данных ситуациях учетные записи сетевых служб или локальной системы работать не будут.

В прошлом настройку служебных учетных записей приходилось выполнять на компьютере, на котором была запущена эта служба. Теперь, благодаря привилегиям групповой политики, вы можете контролировать то, какие служебные учетные записи используются в Active Directory с помощью групповой политики.

Параметры, которые вам нужно настроить, расположены в Конфигурации компьютера \Привилегии \Параметры панели управления \Службы, как показано на рисунке 4.

Групповая политика 2008 server службы

Рисунок 4: Имя служебной учетной записи можно настроить с помощью привилегий групповой политики

Чтобы настроить политику на управление вашей службой, вам нужно нажать правой клавишей на вкладке «Службы» и выбрать «Новая» ‘ «Служба». Здесь вы можете выбирать службу, которую хотите настроить в диалоговом окне «Службы», как показано на рисунке 5.

Служебная учетная запись

Рисунок 5: Диалоговое окно привилегий групповой политики службы

Нажатие на стрелочку позволит вам просмотреть службы через список служб и выбрать ту службу, которую вы хотите контролировать. После выбора службы, вы выбираете кнопку «Эта учетная запись» и ищите служебную учетную запись, которую хотите использовать в Active Directory. Когда все готово, у вас будет полноценная конфигурация служебной учетной записи для службы на каждом компьютере, который управляется объектом групповой политики, содержащим эти параметры политики.

Пароль служебной учетной записи службы

В предыдущем шаге мы настроили только служебную учетную запись, но из рисунка 5 отчетливо видно, что мы также можем настроить пароль для этой служебной учетной записи. Это очень мощная настройка, поскольку раньше вы могли это сделать только на том компьютере, на котором запущена служба, или с помощью инструментов удаленного администрирования для подключения к этому серверу.

Используя привилегии групповой политики для этой службы, вы можете убедиться в том, что служебная учетная запись, настроенная для вашей службы, имеет правильный пароль, который вы задали в базе данных Active Directory для этой учетной записи. Это также означает, что как только вы восстановите пароль для служебной учетной записи в AD, вам нужно будет лишь обновить эту политику и пароль для учетной записи, чтобы она синхронизировала пароли, как показано на рисунке 6.

Управление службами в Windows 2008

Рисунок 6: Пароли служебных учетных записей можно синхронизировать с AD с помощью GPO

Это добавляет небывалый уровень защиты для служебной учетной записи в силу того, что многие служебные учетные записи имеют права повышенного уровня, и поэтому должны быть защищены должным образом.

Резюме

Используя новые функции контролирования, добавленные в Windows Server 2008 и Windows Vista, службы вашей сети теперь могут быть защищены. Безопасность служб является крайне важной, поскольку службы обеспечивают доступ к ключевым данным, хранящимся на этих серверах. Безопасности можно достичь, управляя разрешениями, режимами запуска, служебными учетными записями и паролями этих учетных записей. Используя параметры групповой политики, имеющиеся в вашем домене Windows Active Directory, вы можете защитить все эти области для любой службы, запущенной в вашем домене.

Источник www.windowsecurity.com


Смотрите также:

Tags:

Readers Comments (Комментариев нет)




Да человек я, человек! =)




Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]