Понимание роли Политики безопасности Server 2003
Published on Февраль 3, 2009 by Support · Комментариев нет
Домены системы Windows опираются на механизм защиты, базирующийся на политике. Однако использование политики безопасности системы Windows может вызвать большие затруднения у непосвященных. В чем разница между локальной политикой безопасности, политикой безопасности доменов и политикой безопасности контроллеров доменов? Когда и как использовать каждую из них? Как использовать для обеспечения лучшей безопасности сайтовые GPO и OU GPO, и как они все работают в совокупности? Какие инструменты по обеспечению безопасности включены в операционную систему, и как используется каждый из них? Данная статья представляет собою обзор роли Политики безопасности Server 2003, а также использования различных ее средств для защиты Вашей системы и локальной сети.
Безопасность, основанная на политике: Что это?
Политика безопасности может быть определена как набор правил и инструкций, контролирующих то, каким образом организация управляет и защищает свои фонды (которые могут включать различные усовершенствования, оборудование, инфраструктуру, информацию). Информационная безопасность нацелена на защиту:
- Системы компьютера и его программного обеспечения
- Связанности компонентов сети
- Секретной или конфиденциальной информации
Безопасность, основанная на политике, начинается с определения концепции и приоритетов организации в защите всего вышеуказанного. Это — определение «Политики безопасности» с точки зрения менеджмента. Набор правил и инструкций, расписанных политикой, собирается воедино посредством воплощения технического термина «Политика безопасности».
В данном контексте Политика безопасности — это шаблон, по которому можно выбирать и конфигурировать различные типы механизмов защиты, поддерживаемых операционной системой или ее приложениями. Современная операционная система Windows поддерживает различные типы Политики безопасности, которые конфигурируются при помощи интерфейса Групповой политики (Group Policy interface).
Интерфейсы и инструменты Политики безопасности
Инструменты операционной системы, использующиеся для конфигурирования, управления и локального применения (или применения через домен Windows) Политики безопасности включают:
- Локальная политика безопасности MMC: Данный интерфейс используется для конфигурирования установок безопасности, которые применимы только на локальном компьютере. Доступ к нему обеспечивается посредством меню Инструментов администратора (Administrative Tools) на панели управления. Локальные установки включают в себя: политику паролей, политику блокировки учетных записей, политику аудита, политику охраны IP, назначение прав пользователя и т.д. Локальная политика безопасности не используется в контроллерах домена, которые управляются посредством Политики безопасности контроллера домена.
- Политика безопасности домена по умолчанию: Вы можете использовать данный интерфейс для установки политики безопасности для всех компьютеров домена. Данные установки будут игнорировать установки Локальной политики безопасности, противоречащие им. Доступ к данному виду политики безопасности обеспечивается посредством вкладки «Групповая политика» (Group Policy) в пункте «Возможности узла-домена» (Properties of the domain node) в «Пользователях и компьютерах Active Directory» (Active Directory Users and Computers) (Меню инструментов администратора).
- Установки безопасности контроллера домена: Вы можете использовать данный интерфейс для конфигурирования установок безопасности контроллера домена. Данные установки главенствуют над Политикой безопасности домена для DC. Доступ к данному интерфейсу можно получить, подсоединившись к контроллеру домена в качестве администратора и выбрав пункт «Политика безопасности контроллера домена» в Меню инструментов администратора.
- Результирующий набор установок политики (RSoP): RSoP — инструмент, позволяющий Вам запрашивать существующие и планируемые политики и получать ответ на запрос в таком виде, что будет абсолютно понятно, какие изменения будут произведены в текущих настройках политики безопасности еще до того, как вы их примените.
Внимание:
Консоль управления Групповой политикой (GPMC) объединяет задачи управления Групповой политикой, которые до этого могли быть доступны с нескольких различных интерфейсов. GPMC загружается с сайта Microsoft по ссылке http://www.microsoft.com/downloads/details.aspx?FamilyID=0a6d4c24-8cbd-4b35-9272-dd3cbfc81887&displaylang=en.
Политика безопасности серверов 2003
Компоненты Политики безопасности, которые могут быть сконфигурированы через Server 2003 GUI и инструменты командной строки, включают:
- Политика учетных записей: позволяет Вам определять требования на ввод паролей (длина, сложность, максимальный срок использования, архив), блокировать параметры (число попыток ввода верного пароля, продолжительность блокировки), а также определять политику ключей Kerberos (как долго ключи остаются действительными).
- Политика аудита: позволяет Вам устанавливать параметры проверки безопасности и определять, какие результаты будут внесены в журнал (к примеру, неудавшаяся/успешная попытка подключения, доступ к определенного рода ресурсам и т.д.).
- Шифровальная политика: позволяет Вам контролировать алгоритмы, используемые TLS/SSL.
- Политика доменов: позволяет Вам добавлять и уменьшать число компьютеров и обеспечивать доверительное соединение между доменами.
- Политика брандмауэра: позволяет Вам устанавливать стандарты политики для брандмауэра Windows всех компьютеров домена или OU.
- Политика безопасности IP: позволяет Вам конфигурировать использование системы Безопасности Internet-протокола (IP) для зашифровки данных с целью их последующей передачи по сети.
- Политика шифрованной системы файлов EFS: позволяет Вам определять, может ли быть использована EFS для зашифровки файлов и папок в сессиях NTFS.
- Политика дисковой квоты: позволяет Вам активировать/деактивировать и определять значения по умолчанию для дисковых квот, а также определять, что произойдет, если лимит квоты будет достигнут.
- Политика PKI: позволяет Вам определять поддержку для политики PKI, отвечающей за автоматическое внесение в список цифровых сертификатов, выпущенных отделом сертификации Windows Server 2003.
- Политика использования смарт-карты: позволяет Вам требовать использования смарт-карты при входе в систему Windows для всесторонней идентификации.
Объекты групповой политики (GPO)
Установки системы безопасности могут быть использованы посредством Объектов Групповой Политики (GPO) на различных уровнях иерархии Active Directory. GPO является, по своей сути, собранием установок, которые оказывают непосредственное воздействие на пользователей и компьютеры, и которые ассоциируются с контейнерным объектом Active Directory (сайт, домен, OU) или локальным компьютером. Одна группа GPO может быть связана со множественными контейнерами; несколько групп GPO могут быть связаны с единым контейнером. Групповая политика перенимается дочерними объектами и исполняется в иерархическом направлении «сверху—вниз». Групповая политика проходит в следующем порядке:
- Локальные GPO (относятся только к локальному компьютеру). Доступ к ним обеспечивается посредством интерфейса Локальной политики безопасности, описанного выше.
- Сайтовые GPO (относятся ко всем пользователям и компьютерам всех доменов сайта). Доступ и правка их обеспечивается через вкладку «Групповая политика» (Group Policy) на Листе свойств сайта, доступ к которому вы получаете, нажимая правой кнопкой мыши на сайте в Active Directory Sites и Инструментах сервиса администратора (Services administrative tool).
- Доменовые GPO (относятся ко всем пользователям и компьютерам домена). Доступ к ним обеспечивается через «Инструменты пользователей и компьютеров Active Directory» (Users and Computers tool), либо через консоль управления Групповой политикой, как было описано ранее.
- OU GPO (относятся ко всем пользователям и компьютерам в OU, и во всех гнездовых OU). Доступ к ним обеспечивается посредством вкладки «Групповая политика» (Group Policy) на Листе свойств OU, доступ к которому Вы получаете, нажимая правой кнопкой мыши на «OU» в «Контроллере пользователей и компьютеров Active Directory» (Active Directory Users and Computers MMC).
Вы можете видеть, что Групповая политика используется всеми пользователями и компьютерами контейнера, к которым подключено GPO. Она не влияет на группы обеспечения безопасности, однако Вы можете фильтровать Групповую политику в соответствии с параметрами групп безопасности, устанавливая групповые права на GPO.
Информация Групповой политики хранится в контейнерах Групповой политики и соответствующем шаблоне. Контейнер Групповой политики представляет собою область в Active Directory. Шаблоны Групповой политики являются папками, находящимися в папке «Политики» (\Policies folder) в папке SysVol на контроллере домена. Каждая шаблонная папка содержит в корне файл Gpt.ini, где хранится информация о GPO. Домен, где хранится каждый GPO (кроме тех, что относятся к локальной политике), называется домен сохранения. GPO могут быть соединены не только с теми доменами, где они хранятся.
Внимание:
Хотя Групповая политика воплощается через домен, лучше всего избегать междоменных назначений GPO, поскольку это затягивает вход и начало работы в случае, когда Групповая политика поддерживается сразу с различных доменов.
По умолчанию, Вы можете создавать новые GPO и править уже существующие, если Вы являетесь членом одной из указанных ниже групп:
- Администраторы домена
- Администраторы предметной области
- Разработчики Групповой политики
Элементы групповой политики не соотносятся с членами указанных групп до тех пор, пока не будет внесена соответствующая установка Применения Групповой политики. Тем не менее, по умолчанию, Идентифицированные пользователи имеют разрешение на GPO с атрибутами Применимой Групповой политики (Apply Group Policy); члены упомянутых выше групп являются также членами Идентифицированной группы пользователей. Если Вы не хотите, чтобы права на политику принадлежали администратору, Вы можете установить атрибуты Применения Групповой политики на отрицание администратора домена и групп администраторов предметных областей. Это аннулирует применение Групповой политики (разрешенных атрибутов, которые установлены Идентифицированной группой пользователей для администраторов), так как в качестве превалирующих будут считаться установки отрицания любой группы, к которой Вы относитесь.
Итог
Windows Server 2003 использует систему безопасности, основанную на политике, которая воплощается посредством GPO. Следует понимать не только связь структурной политики с применением Групповой политики, но и то, как политика работает на различных уровнях. Для получения более детальной информации о конфигурировании политики безопасности в Windows Server 2003, просмотрите следующие ресурсы:
- Windows Server 2003 (руководство администратора по общим критериям) http://www.microsoft.com/downloads/details.aspx?FamilyID=75736009-59e9-4a71-879e-cf581817b8cc&DisplayLang=en
- Windows Server 2003 (руководство по безопасности) http://www.microsoft.com/downloads/details.aspx?FamilyID=8a2643c1-0685-4d89-b655-521ea6c7b4db&DisplayLang=en
- Установки и свойства Групповой политики для Windows Server 2003 с SP1 http://www.microsoft.com/downloads/details.aspx?FamilyID=7821C32F-DA15-438D-8E48-45915CD2BC14&displaylang=en
Источник www.windowsecurity.com
Смотрите также: Tags: domain, quote, redirect
Exchange 2007
Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам:
Проведение мониторинга Exchange 2007 с помощью диспетчера System ...
[+]
Введение
В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ...
[+]
Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ...
[+]
Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ...
[+]
Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам:
Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1)
...
[+]
If you missed the previous parts in this article series please read:
Exchange 2007 Install and Configuration from the command line (Part ...
[+]
Инструмент ExRCA
Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями:
Тест подключения Outlook 2007 Autodiscover
Тест подключения Outlook 2003 RPC ...
[+]
Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам:
Развертывание сервера Exchange 2007 Edge Transport (часть 1)
Развертывание ...
[+]
Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ...
[+]
Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ...
[+]