Руководство по развертыванию политик брандмауэра

Пошаговое руководство по
развертыванию политик брандмауэра
операционной системы Windows в режиме
повышенной безопасности
Корпорация Майкрософт
Опубликовано: октябрь 2007 г.
Автор: Дейв Бишоп (Dave Bishop)
Редактор: Скотт Сомохано (Scott Somohano)
Технические рецензенты: Сара Валерт (Sarah Wahlert), Том Бакстер (Tom Baxter),
Сиддхарт Патил (Siddharth Patil), Л. Джоан Девро (L. Joan Devraun)
Рецензенты MVP: Майкл Готч (Michael Gotch), Родриго Иммаджинарио (Rodrigo
Immaginario), Роберт Стужински (Robert Stuczynski)
Краткий обзор
В данном руководстве показано, как централизованно настроить и распространить широко
используемые параметры и правила брандмауэра операционной системы (ОС) Windows в
режиме повышенной безопасности посредством описания типичных задач общего
сценария. Здесь также предоставлена возможность приобретения практического опыта
реализации в лабораторной среде типичных настроек брандмауэра путем создания и
редактирования объектов групповой политики (GPO) с помощью средств управления
групповыми политиками. Рассмотрены вопросы конфигурирования объектов GPO с целью
реализации типовых сценариев изоляции сервера и домена и показан эффект,
производимый такими настройками.
1
Информация, приведенная в этом документе, соответствует позиции корпорации
Майкрософт в отношении описываемых задач на момент публикации документа. Из-за
необходимости соответствовать изменяющимся рыночным условиям сведения в этом
документе не должны расцениваться как обязательства корпорации Майкрософт.
Актуальность представленной информации позднее даты ее публикации не гарантируется.
Руководство предназначено только для ознакомительных целей. КОРПОРАЦИЯ
МАЙКРОСОФТ НЕ ПРЕДОСТАВЛЯЕТ НИКАКИХ ГАРАНТИЙ, ЯВНЫХ,
ПОДРАЗУМЕВАЕМЫХ ИЛИ ПРЕДПИСАННЫХ ЗАКОНОМ, В ОТНОШЕНИИ СВЕДЕНИЙ,
СОДЕРЖАЩИХСЯ В ЭТОМ ДОКУМЕНТЕ.
Соблюдение всех соответствующих авторских прав является обязанностью пользователя.
Без явного письменного разрешения корпорации Майкрософт запрещается
воспроизведение любых частей этого документа, сохранение или представление их в
информационно-поисковых системах, а также передача этих частей кому бы то ни было в
любой форме — электронной, механической, в виде фотокопии, записи и т.п.
На содержимое этого документа может распространяться действие патентов, заявок на
патенты, товарных знаков и других прав интеллектуальной собственности корпорации
Майкрософт. Без письменного лицензионного соглашения с корпорацией Майкрософт
данный документ не предоставляет никаких прав на патенты, товарные знаки, реализацию
авторских прав или иных объектов интеллектуальной собственности.
Все компании, организации, продукты, доменные имена, адреса электронной почты,
логотипы, люди, места и события, упомянутые в примерах, являются вымышленными, если
не указано обратное. Любые возможные совпадения с реально существующими
компанией, организацией, продуктом, доменным именем, адресом электронной почты,
логотипом, человеком, местом или событием являются непреднамеренными и не должны
трактоваться иначе.
© 2007 Корпорация Майкрософт. Все права защищены.
Microsoft Windows Server, Windows Vista и Windows XP являются товарными знаками
группы компаний корпорации Майкрософт.
Все остальные товарные знаки принадлежат соответствующим владельцам.
2
Содержание
Пошаговое руководство по развертыванию политик брандмауэра ОС Windows в режиме
повышенной безопасности..................................................................................................... 4
Обзор сценария .......................................................................................................................... 5
Обзор технологий развертывания брандмауэра ОС Windows в режиме повышенной
безопасности ........................................................................................................................... 8
Служба сетевого расположения ............................................................................................ 9
Персональный брандмауэр .................................................................................................. 10
Безопасность подключения и протокол IPsec .................................................................... 12
Групповые политики ............................................................................................................. 13
Требования для выполнения сценариев................................................................................ 14
Определение настроек по умолчанию на клиентах и серверах .......................................... 19
Шаг 1. Запуск брандмауэра ОС Windows из панели управления ..................................... 20
Шаг 2. Изучение основных параметров, доступных через интерфейс панели
управления ......................................................................................................................... 22
Шаг 3. Изучение основных параметров с помощью средства командной строки Netsh 23
Шаг 4. Изучение основных параметров, доступных через оснастку MMC брандмауэра
ОС Windows в режиме повышенной безопасности ........................................................ 24
Развертывание основных настроек с помощью групповых политик ................................... 26
Шаг 1. Создание подразделений и размещение в них учетных записей компьютеров . 27
Шаг 2. Создание объектов GPO для хранения настроек .................................................. 28
Шаг 3. Добавление настройки GPO, включающей брандмауэр на рядовых клиентских
компьютерах ....................................................................................................................... 29
Шаг 4. Развертывание начального объекта GPO с тестовыми настройками
брандмауэра ...................................................................................................................... 31
Шаг 5. Добавление настройки, запрещающей локальным администраторам применять
конфликтующие правила .................................................................................................. 32
Шаг 6. Настройка остальных параметров брандмауэра клиентского компьютера ......... 35
Шаг 7. Создание групповых фильтров и фильтров WMI ................................................... 37
Шаг 8. Включение ведения журнала брандмауэра ............................................................ 42
Создание правил, разрешающих необходимый входящий трафик .................................... 43
Шаг 1. Настройка предопределенных правил с помощью групповой политики ............. 43
Шаг 2. Разрешение незапрошенного входящего сетевого трафика для указанной
программы .......................................................................................................................... 46
Шаг 3. Разрешение входящего трафика на указанном порту TCP или UDP ................... 50
Шаг 4. Разрешение входящего сетевого трафика, использующего динамический порт
RPC ..................................................................................................................................... 51
3
Шаг 5. Просмотр журнала брандмауэра ............................................................................. 55
Создание правил, блокирующих нежелательный исходящий трафик ................................ 57
Шаг 1. Блокирование трафика программы с помощью правила исходящего
подключения ...................................................................................................................... 58
Шаг 2. Развертывание и тестирование созданного правила ............................................ 59
Развертывание основной политики изоляции домена ......................................................... 59
Шаг 1. Создание правила безопасности подключения, запрашивающего проверку
подлинности ....................................................................................................................... 61
Шаг 2. Развертывание и тестирование созданного правила ............................................ 62
Шаг 3. Изменение правила изоляции в сторону обязательной проверки подлинности . 65
Шаг 4. Тестирование изоляции с помощью компьютера, не имеющего правила
изоляции домена ............................................................................................................... 66
Шаг 5. Создание освобождающего правила для компьютеров, не входящих в домен .. 67
Изолирование сервера обязательным шифрованием и членством в группе .................... 68
Шаг 1. Создание группы безопасности ............................................................................... 69
Шаг 2. Включение в правило брандмауэра требования членства в группе и
шифрования ....................................................................................................................... 69
Шаг 3. Создание клиентского правила брандмауэра для поддержки шифрования ....... 70
Шаг 4. Тестирование правила, когда клиентский компьютер не входит в группу ........... 72
Шаг 5. Добавление клиентского компьютера в группу и повторное тестирование ......... 72
Создание правил, позволяющих отдельным компьютерам или пользователям обходить
запрещающие правила брандмауэра ................................................................................. 73
Шаг 1. Добавление и тестирование правила брандмауэра, блокирующего весь трафик
службы Telnet ..................................................................................................................... 74
Шаг 2. Включение в разрешающее правило службы Telnet параметра Override Block
Rules ................................................................................................................................... 75
Заключение ............................................................................................................................... 76
Дополнительные источники ..................................................................................................... 77
Пошаговое руководство по
развертыванию политик брандмауэра ОС
Windows в режиме повышенной
безопасности
Это пошаговое руководство демонстрирует развертывание объектов групповой политики
Active Directory® (объектов GPO) для настройки брандмауэра ОС Windows в режиме
повышенной безопасности на ОС Windows Vista® и Windows Server® 2008. Настроить один
4
сервер можно и локально, используя его собственные средства управления групповыми
политиками, но такой подход не обеспечивает нужной эффективности и очередности, когда
требуется настроить множество компьютеров. В последнем случае стоит создать и
настроить объекты GPO, а затем применить их к остальным компьютерам предприятия.
Цель настройки на предприятии брандмауэра ОС Windows в режиме повышенной
безопасности — повысить защищенность каждого компьютера, предотвращая его
подключение к нежелательному сетевому трафику. Сетевой трафик, не удовлетворяющий
набору правил брандмауэра в режиме повышенной безопасности, отсекается. Можно
также ввести требование того, чтобы весь разрешенный трафик защищался проверкой
подлинности или шифрованием. Благодаря возможности управлять брандмауэром в
режиме повышенной безопасности с помощью групповых политик администраторы могут
распространять согласованные настройки по всей организации тем способом, который
пользователям совсем не просто обойти.
Благодаря этому руководству, можно приобрести практический опыт реализации в
лабораторной среде типичных настроек брандмауэра, создавая и редактируя объекты
групповой политики с помощью средств управления групповыми политиками. Здесь также
будет рассмотрено конфигурирование объектов GPO с целью реализации типовых
сценариев изоляции сервера и домена и показан эффект, производимый такими
настройками.
Обзор сценария
В этом руководстве будет рассмотрено создание и развертывание настроек брандмауэра
ОС Windows в режиме повышенной безопасности путем выполнения пошаговой
процедуры, отражающей задачи, с которыми приходится иметь дело в типичных ситуациях.
В частности, при помощи настроек объектов GPO будут контролироваться следующие
аспекты поведения брандмауэра:
•
включение и выключение брандмауэра, настройка его базовых характеристик;
•
определение того, каким программам и сетевым портам разрешено принимать
входящий сетевой трафик;
•
определение того, какой исходящий трафик блокируется, а какой нет;
•
поддержка сетевого трафика, использующего несколько портов или динамические
порты, например, порты трафика при удаленном вызове процедур (RPC) или порты
протокола FTP;
•
требование того, чтобы весь трафик, входящий на определенные серверы, был
защищен проверкой подлинности IPsec и, возможно, зашифрован.
5
Предполагается работа с несколькими компьютерами, которые будут играть типичные
роли, встречающиеся в сетевой среде. Это — контроллер домена, рядовой сервер и
клиентский компьютер (см. следующую иллюстрацию).
Сценарий работы включает просмотр и изменение настроек брандмауэра,
конфигурирование среды изоляции домена, изоляцию сервера, из-за которой для доступа к
нему потребуется членство в группе, и необязательное шифрование всего серверного
трафика. Наконец, в него входит рассмотрение способа, позволяющего доверенным
сетевым устройствам обходить настройки брандмауэра для устранения неполадок.
Каждый из шагов сценария описан в последующих разделах.
Определение настроек по умолчанию на клиентах и
серверах
В этом разделе для определения настроек по умолчанию брандмауэра ОС Windows в
режиме повышенной безопасности на компьютерах CLIENT1 и MBRSVR1 мы используем
настройку брандмауэра в панели управления, средство командной строки netsh и оснастку
консоли управления (MMC) брандмауэра в режиме повышенной безопасности.
Использование этих средств непосредственно на локальном компьютере позволяет
увидеть текущую конфигурацию брандмауэра и действующие на компьютере правила
безопасности подключений.
6
Развертывание основных настроек с помощью групповой
политики
В этом разделе мы создадим объект групповой политики (GPO), содержащий основные
настройки брандмауэра, а затем назначим этот объект подразделению (OU), в которое
входит клиентский компьютер. Чтобы настройки объекта групповой политики были
применены только к нужным компьютерам, мы используем инструментарий управления ОС
Windows WMI и фильтрацию групп безопасности, ограничив с их помощью область
распространения настроек только компьютерами под управлением нужной версии ОС
Windows.
Настраиваемый объект GPO будет включать ряд базовых параметров брандмауэра в
режиме повышенной безопасности, которые обычно входят в состав настроек объекта
GPO типовой организации:
•
игнорируются все локальные настройки брандмауэра, созданные любыми
пользователями, включая локальных администраторов;
•
обеспечивается запуск брандмауэра с указанными параметрами обработки сетевого
трафика и невозможность его отключения;
•
компьютер не отображает уведомлений, когда брандмауэр в режиме повышенной
безопасности запрещает программе прослушивание сетевого порта.
Создание правил, разрешающих определенный входящий
трафик
В этом разделе мы создадим правила брандмауэра для входящих соединений, которые:
•
используют предопределенные группы правил для поддержки обычных сетевых служб;
•
позволяют программе прослушивать любой сетевой трафик, в котором она нуждается;
•
позволяют программе прослушивать трафик только на определенном порту TCP или
UDP;
•
позволяют сетевой службе прослушивать сетевой трафик;
•
ограничивают сетевой трафик только указанными адресами и типами сетей;
•
вводят в действие разные модели поведения брандмауэра в зависимости от типа
сетевого размещения сети, к которой подключен компьютер;
•
поддерживают программы, использующие динамическое назначение портов RPC.
Создание правил, блокирующих нежелательный исходящий
трафик
В этом разделе мы настроим исходящие правила брандмауэра на запрещение исходящего
трафика, посылаемого неизвестными программами.
7
Развертывание настроек изоляции домена
В этом разделе мы распространим настройки объекта групповой политики на компьютеры,
входящие в домен, благодаря чему те станут принимать только запросы на соединения,
посылаемые из этого же домена.
Изолирование сервера обязательным шифрованием и
членством в группе
В этом разделе мы создадим правила безопасности подключений, требующие, чтобы
сервер или группа серверов пропускали только трафик с компьютеров, входящих в
авторизованную группу, а также обязывающие шифровать весь входящий и исходящий
трафик этих серверов.
Создание правил, позволяющих отдельным компьютерам
или пользователям обходить запрещающие правила
брандмауэра
В этом разделе мы настроим брандмауэр и правила безопасности подключений таким
образом, чтобы определенные пользователи или компьютеры, например, сканеры сетевых
портов, используемые группами по выявлению сетевых неполадок и обеспечению
безопасности, могли обходить брандмауэр.
Обзор технологий развертывания брандмауэра
ОС Windows в режиме повышенной
безопасности
Брандмауэр ОС Windows в режиме повышенной безопасности объединяет в себе
персональный брандмауэр и IETF-совместимую реализацию протокола IPsec.
Для обеспечения локальной защиты от сетевых атак, способных преодолеть брандмауэр
сетевого периметра или берущих начало внутри предприятия, он, как персональный
брандмауэр, запускается на каждом компьютере под управлением ОС
Windows Server® 2008 или Windows Vista®.
Он также предоставляет основанную на протоколе IPsec защиту соединений «компьютеркомпьютер», что позволяет защитить передаваемые по сети данные с помощью правил,
требующих обязательной проверки подлинности или целостности, а также шифрования.
Брандмауэр ОС Windows в режиме повышенной безопасности совместим с трафиком
протокола IP версии 4 (IPv4) и версии 6 (IPv6).
8
В этом разделе содержится краткий обзор следующих возможностей для лучшего
понимания следующих сценариев:
•
служба сетевого расположения;
•
персональный брандмауэр;
•
безопасность подключения и протокол IPsec;
•
групповые политики.
Служба сетевого расположения
В операционных системах Windows Vista® и Windows Server® 2008 имеется поддержка
службы сведений о подключенных сетях, что позволяет сетевым программам менять свое
поведение в зависимости от того, каким образом компьютер подключен к сети. В случае с
брандмауэром ОС Windows в режиме повышенной безопасности можно создавать
правила, которые будут применяться лишь тогда, когда на компьютере активен профиль,
соответствующий какому-то определенному типу сетевого расположения.
Работа службы сетевого расположения
На следующей схеме приведены типы сетевых расположений, которые опознаются ОС
Windows.
ОС Windows распознает следующие типы сетевых расположений.
•
Публичная сеть. По умолчанию любая сеть при первом подключении попадает в
категорию публичных. Для такой сети подразумевается, что она открыта для прочих
компьютеров и никак не защищает локальный компьютер от других.
•
Частная сеть. Подключение к сети, недоступной для окружающих, может быть
отмечено администратором как частное. Это, например, может быть подключение к
домашней или офисной сети, изолированной от общедоступных сетей с помощью
аппаратного брандмауэра или устройства, осуществляющего преобразование сетевых
адресов (NAT). Беспроводные сети следует защитить протоколом шифрования, таким
как WPA или WPAv2. Сеть никогда не попадает в категорию частных автоматически.
9
Такая настройка выполняется только администратором. ОС Windows запоминает такую
сеть, и при следующем подключении та останется в категории частных.
•
Домен. Этот тип сетевого расположения определяется, когда локальный компьютер
входит в домен службы Active Directory и может пройти проверку подлинности его
доменного контроллера с использованием одного из сетевых подключений. Если
указанные условия выполняются, доменный тип сетевого расположения назначается
автоматически. Администраторы не могут назначить его вручную.
Брандмауэр ОС Windows в режиме повышенной безопасности сохраняет настройки и
правила в профилях — по одному для каждого типа сетевого расположения. В действие на
компьютере вступает тот из них, который соответствует текущему определенному
сетевому расположению. Если тип размещения меняется, автоматически вводятся в
действие правила из профиля, связанного с новым размещением.
Если компьютер оснащен несколькими сетевыми адаптерами, он может быть подключен
сразу к нескольким сетям. ОС Windows Vista и Windows Server 2008 поддерживают только
один активный тип сетевого расположения. ОС Windows автоматически выбирает
расположение, соответствующее наименее опасной сети. Так, если установлены два
активных соединения — одно к частной сети и одно к публичной, то для защиты
компьютера активным будет выбран публичный тип, как содержащий более строгие
правила в своем профиле.
ОС Windows XP и Windows Server 2003 также поддерживают доменный профиль,
идентичный по своей сути описанному выше. Однако вместо публичного и частного
профиля эти более ранние системы поддерживают лишь профиль «Стандартный».
Поэтому, создавая правила с помощью узла «Брандмауэр ОС Windows» раздела
«Административные шаблоны» редактора групповых политик, можно указать их
применимость только к доменному и стандартному профилям. Если правила, в которых
фигурирует стандартный профиль, впоследствии применяются к компьютеру под
управлением ОС Windows Vista или Windows Server 2008, то они вступают в силу и при
публичном, и при частном профилях сетевого расположения. Правила же доменного
профиля по-прежнему будут применяться, только в том случае, если активен доменный
профиль расположения.
Дополнительную информацию о службе сетевого расположения и ее использовании в
брандмауэре ОС Windows в режиме повышенной безопасности см. в разделе
«Персональный брандмауэр, учитывающий сетевое расположение» документа
«Знакомство с брандмауэром ОС Windows в режиме повышенной безопасности»,
расположенного по адресу http://go.microsoft.com/fwlink/?linkid=64343.
Персональный брандмауэр
Брандмауэр ОС Windows в режиме повышенной безопасности включает персональный
брандмауэр — компонент, выполняющий роль защитной границы для локального
10
компьютера. Он отслеживает и ограничивает данные трафика между компьютером и
сетями, к которым тот подключен, в том числе интернетом. Персональный брандмауэр —
надежная линия обороны от попыток получения несанкционированного доступа к
компьютеру.
В ОС Windows Vista и Windows Server 2008 персональный брандмауэр в составе
брандмауэра ОС Windows в режиме повышенной безопасности по умолчанию включен,
незапрошенный входящий трафик блокируется, а весь исходящий трафик разрешен.
Работа персонального брандмауэра
Входящий и исходящий сетевой трафик компьютера можно классифицировать так, как это
представлено на следующей схеме.
Сетевой трафик состоит из пакетов или потоков пакетов, которые посылаются от портаисточника одного компьютера в порт-приемник другого. Порт — всего лишь целое число в
сетевом пакете, которое идентифицирует программу на отправляющем или принимающем
конце соединения. Обычно только одна программа может прослушивать отдельно взятый
порт. Для прослушивания программа должна зарегистрировать себя и номера
прослушиваемых портов в операционной системе. Когда пакет достигает локального
компьютера, операционная система проверяет номер порта назначения и передает
содержимое пакета программе, зарегистрировавшейся на этом порту. В рамках протокола
TCP/IP компьютер может получать трафик, адресуемый с использованием указанного
транспортного протокола, например TCP или UPD, и любого номера порта в диапазоне от
1 до 65535. Многие из начальных номеров зарезервированы для широко
распространенных служб, например веб-серверы используют для протокола HTTP TCPпорт 80, службы удаленного терминала Telnet — TCP-порт 23, а почтовый протокол SMTP
— порт 25.
Брандмауэр ОС Windows в режиме повышенной безопасности проверяет адреса источника
и адресата, порты и номера протоколов пакета, а затем сравнивает их с правилами,
определенными администратором. Если правило для пакета выполняется, к нему
11
применяется соответствующее действие (разрешение или запрещение). В ОС
Windows Vista и Windows Server 2008 в функциональные возможности брандмауэра ОС
Windows в режиме повышенной безопасности добавлено разрешение или отклонение
пакетов в зависимости от того, защищены ли они проверкой подлинности протокола IPsec
или шифрованием.
Дополнительную информацию о функционировании персонального брандмауэра и новых
возможностях, добавленных в брандмауэр в режиме повышенной безопасности в ОС
Windows Vista и Windows Server 2008, см. В статье «Знакомство с брандмауэром ОС
Windows в режиме повышенной безопасности» по адресу
http://go.microsoft.com/fwlink/?linkid=64343 и «Брандмауэр ОС Windows» по адресу
http://go.microsoft.com/fwlink/?linkid=95393.
Безопасность подключения и протокол IPsec
IPsec — это инфраструктура открытых стандартов по защите коммуникаций в TCP/IP-сетях
при помощи криптографических служб безопасности. Протокол IPsec поддерживает
проверку подлинности узла на уровне сети и подлинности источника данных, обеспечение
конфиденциальности (шифрование) и защиту от атак повтора. Реализация протокола IPsec
корпорации Майкрософт основана на стандартах, разработанных соответствующей
рабочей группой IETF.
Реализация протокола IPsec в ОС Windows Vista и Windows Server 2008 полностью
интегрирована в 3-й уровень сетевой модели открытых систем OSI. Это позволяет ей
прозрачно для программ обеспечивать защиту любого протокола, основанного на
протоколе IP.
Протокол IPsec играет важную роль в стратегии глубокой обороны доступных по сети
ресурсов предприятия.
Функционирование протокола IPsec
Для сетевого трафика протокол IPsec предоставляет различные способы обеспечения
безопасности подключения. Каждый из них можно настроить на применение к указанному
виду трафика, создав в брандмауэре ОС Windows в режиме повышенной безопасности
правило безопасности подключения, описывающее параметры защищаемого трафика и
суть используемой защиты.
•
Проверка подлинности источника. При такой проверке каждый участвующий в
соединении компьютер получает подтверждение того, что другой компьютер (и, как
дополнение, его пользователь) действительно тот, за кого себя выдает.
Каждый компьютер предоставляет другому некий вид учетных данных, в подлинности
происхождения которых можно убедиться. Обычно используются такие методы
проверки подлинности, как маркеры протокола Kerberos (Цербер), которые можно
12
проверить на доменном контроллере, либо сертификат компьютера или пользователя,
который криптографически сопоставляется с доверенным корневым сертификатом.
•
Целостность данных. Это — проверка того, что полученный пакет идентичен
отправленному и не был поврежден или изменен при передаче.
Сетевой пакет, участвующий в сетевом соединении, включает собственный
криптографический код (хеш). Этот код формируется отправляющим компьютером,
шифруется и включается в пакет. Принимающий компьютер самостоятельно
дешифрует код принятого пакета и сравнивает его с кодом, имеющимся на
компьютере. Если коды совпадают, пакет принимается и обрабатывается. При
несовпадении делается вывод о том, что пакет был поврежден или изменен, и потому
отбрасывается.
•
Конфиденциальность данных. Это — обеспечение того, что к сведениям,
передаваемым в рамках сетевого соединения, не смогут получить доступ
неавторизованные компьютеры и пользователи.
При включенном обеспечении конфиденциальности полезные данные каждого пакета,
участвующего в сетевом соединении, шифруются. Для этого могут применяться
протоколы шифрования разной степени защиты.
Дополнительную информацию о протоколе IPsec можно получить в документах:
•
«Знакомство с брандмауэром ОС Windows в режиме повышенной безопасности»
(http://go.microsoft.com/fwlink/?linkid=64343);
•
«Введение в изоляцию серверов и доменов»
(http://go.microsoft.com/fwlink/?linkid=94631).
Дополнительную информацию о функциональности протокол IPsec в брандмауэре ОС
Windows в режиме повышенной безопасности и ее использовании в поддержке изоляции
серверов и доменов см. на следующих веб-ресурсах:
•
раздел о протоколе IPsec веб-страницы TechNet
(http://go.microsoft.com/fwlink/?linkid=95394);
•
раздел об изоляции серверов и доменов веб-страницы TechNet
(http://go.microsoft.com/fwlink/?linkid=95395).
Групповые политики
Групповые политики позволяют выполнять административные задачи более эффективно,
благодаря наличию централизованного управления компьютерами и пользователями.
Общая стоимость приобретения и эксплуатации информационной инфраструктуры при
таком способе управления настройками снижается.
13
Функционирование групповых политик
Групповые политики — это технология, входящая в состав реализации доменных служб
Active Directory. Когда рядовые компьютеры подключаются к домену службы Active
Directory, они автоматически получают от контроллера домена объекты групповых политик
(GPO) и вводят их в действие.
Объект групповой политики состоит из настроек, создаваемых администратором домена,
которые затем применяются к группам компьютеров или пользователей в организации.
ОС Windows Vista позволяет при помощи групповых политик централизованно управлять
еще большим количеством возможностей, компонентов и настроек безопасности, чем в
более ранних версиях ОС Windows. Так, количество настроек групповых политик выросло
примерно с 1800 в ОС Windows Server 2003 с пакетом обновления 1 (SP1) до 2500 в ОС
Windows Vista и Windows Server 2008. Эти новые настройки позволяют управлять рабочими
столами, серверами, параметрами безопасности и большим количеством других
параметров работы сети.
Конфигурационные настройки и правила, распространяемые на компьютеры предприятия,
хранятся в объектах групповой политики, управляемых контроллерами домена службы
Active Directory. Эти объекты автоматически загружаются на все заданные компьютеры при
их подключении к домену. Затем они объединяются с локальными объектами GPO,
хранимыми на компьютерах, после чего применяются к текущей конфигурации компьютера.
Групповая политика предоставляет удобный централизованный способ управления и
подробного контроля за тем, какие объекты GPO на какие компьютеры должны попасть.
Поскольку возможности правил брандмауэра и реализации протокола IPsec в ОС Windows
Vista и Windows Server 2008 значительно выросли, администраторам рекомендуется
сохранить существующие настройки GPO без изменений для более ранних версий ОС
Windows и создать новые для компьютеров под управлением ОС Windows Vista и Windows
Server 2008. Обеспечить для каждого компьютера использование наиболее применимых
настроек можно, задав новым объектам GPO тот же набор контейнеров, что и
существующим, и наложив фильтр WMI на каждый из них.
Дополнительную информацию о групповой политике см. в статье «Групповая политика ОС
Windows Server» по адресу http://go.microsoft.com/fwlink/?linkid=93542.
Требования для выполнения сценариев
В этом разделе описаны необходимые для сценариев использования брандмауэра ОС
Windows в режиме повышенной безопасности настройки компьютеров тестовой
лабораторной среды. Пошаговые руководства не составлялись как замена
соответствующей документации (раздел «Дополнительные источники») при развертывании
возможностей ОС Windows Server. Относиться к этому руководству как к
самодостаточному документу следует с осторожностью.
14
Предупреждение
Случайно применив настройки брандмауэра ОС Windows в режиме повышенной
безопасности к объектам групповой политики, используемым на рабочих
компьютерах, можно нарушить их способность соединения с другими
компьютерами.
Для создания лабораторной среды потребуются следующие компьютеры.
1. DC1 — компьютер под управлением ОС Windows Server 2008 (выпуск Standard или
Enterprise), настроенный на выполнение следующих функций:
•
первичный контроллер домена службы Active Directory Contoso.com;
•
DNS-сервер, способный разрешать имена зоны DNS Contoso.com.
2. MBRSVR1 — компьютер под управлением ОС Windows Server 2008 (выпуск Standard
или Enterprise), настроенный на выполнение следующих функций:
•
участник домена Contoso.com;
•
управление и редактирование объектов групповой политики домена Contoso.com;
•
сервер Telnet.
3. CLIENT1 — компьютер под управлением ОС Windows Vista (выпуски Business,
Enterprise или Ultimate) со следующими характеристиками:
•
участник домена Contoso.com.
Требования к оборудованию
Требования к оборудованию для организации лабораторной среды:
•
три компьютера, на которых возможен запуск операционных систем, требуемых для
выполнения назначенных компьютерам ролей (см. далее раздел «Требования к
программному обеспечению»);
•
компьютеры должны быть соединены сетью. Рекомендуется использовать отдельную,
изолированную сеть, в которую входят только компьютеры, используемые в работе.
Компьютеры могут быть как физическими, подключенными к физической сети, так и
виртуальными машинами, работающими в виртуальной среде Microsoft® Virtual Server
или Virtual PC и соединенными в изолированную виртуальную сеть.
Предупреждение
Если нужно подключить тестовую сеть к рабочей среде или к интернету, строго
рекомендуется предварительно установить на все компьютеры последние
обновления безопасности и надлежащее антивирусное программное обеспечение.
15
Примечание
В действиях, описанных в этом руководстве, подразумевается, что компьютеры
соединены изолированной лабораторной сетью, и что их имена, IP-адреса и т.п. не
вступают в конфликт с другими компьютерами рабочей сети.
Требования к программному обеспечению
•
Для компьютера DC1: ОС Windows Server 2008, выпуски Standard или Enterprise.
•
Для компьютера MBRSVR1: ОС Windows Server 2008, выпуски Standard или Enterprise.
•
Для компьютера CLIENT1: ОС Windows Vista, выпуски Business, Enterprise или Ultimate.
Часто используемые процедуры
Ссылки на приведенные процедуры будут далее часто встречаться в руководстве, но
подробные шаги их выполнения указываться не будут. При необходимости их выполнения
обращайтесь к этому разделу.
•
Диалоговое окно User Account Control (контроль учетных записей) появляется при
каждой попытке выполнить административную задачу. Если учетная запись
пользователя принадлежит к группе локальных администраторов, можно просто нажать
кнопку Continue (продолжить). В противном случае потребуется предоставить учетные
данные (имя пользователя и пароль), принадлежащие учетной записи, обладающей
необходимыми полномочиями.
При необходимости запуска командной строки от имени администратора выполните
следующие действия.
Запуск командной строки от имени администратора
1. Нажмите кнопку Start (пуск), выберите пункт All Programs (все программы) и затем
пункт Accessories (стандартные).
2. Щелкните правой кнопкой мыши пункт Command Prompt (командная строка) и
выберите пункт Run as administrator (запуск от имени администратора).
Те же самые действия можно выполнить с ярлыком командной строки, предварительно
помещенным в меню Start, панель быстрого запуска или рабочий стол.
•
При необходимости запуска оснастки MMC брандмауэра ОС Windows в режиме
повышенной безопасности, выполните следующие действия.
Открытие оснастки MMC брандмауэра ОС Windows в режиме повышенной
безопасности
•
Нажмите кнопку Start, в поле Start Search (начать поиск) введите команду wf.msc и
16
нажмите клавишу ВВОД.
Другие варианты:
•
в ОС Windows Server 2008 можно нажать кнопку Start, выбрать пункт Administrative
Tools (администрирование), а затем ОС Windows Firewall with Advanced Security
(брандмауэр ОС Windows в режиме повышенной безопасности);
•
в ОС Windows Vista можно нажать кнопку Start и последовательно выбрать пункты
All Programs, Administrative Tools, и Windows Firewall with Advanced Security.
Настройка компьютеров лаборатории
Прежде всего, нужно настроить контроллер домена и создать домен с необходимыми
учетными записями пользователей.
Установка и настройка контроллера домена DC1
1. Установите ОС Windows Server 2008 с указанными ниже параметрами.
2. Установите пароль локальной учетной записи администратора: Pass@word1.
3. Настройте сеть на использование следующих установок:
•
IP-адрес: 192.168.0.1;
•
маска подсети: 255.255.255.0;
•
шлюз по умолчанию: оставьте пустым;
•
адрес DNS-сервера: 192.168.0.1.
4. Присвойте компьютеру имя DC1. Перезагрузите его, получив соответствующий
запрос.
5. Установите службы Active Directory следующим образом:
•
включите DNS в набор установки;
•
создайте новый домен contoso.com в новом лесу;
•
всем учетным записям пользователей присвойте пароль Pass@word1.
6. После установки службы Active Directory перезапустите компьютер, получив
соответствующий запрос.
7. Создайте новую учетную запись пользователя Admin1 в домене Contoso, назначив
ей пароль Pass@word1.
8. Добавьте эту учетную запись в группу Domain Administrators (администраторы
домена).
Теперь нужно установить рядовой сервер и настроить его службы.
17
Установка и настройка рядового сервера MBRSVR1
1. Установите ОС Windows Server 2008 с указанными ниже параметрами.
2. Установите пароль локальной учетной записи администратора: Pass@word1.
3. Настройте сеть на использование следующих установок:
•
IP-адрес: 192.168.0.100;
•
маска подсети: 255.255.255.0;
•
шлюз по умолчанию: оставьте пустым;
•
адрес DNS-сервера: 192.168.0.1.
4. Присвойте компьютеру имя MBRSVR1. Перезагрузите его, получив
соответствующий запрос.
5. Присоедините компьютер к домену contoso.com и перезагрузите его по запросу.
6. С помощью диспетчера сервера установите на него компоненты Group Policy
Management (управление групповой политикой) и Telnet Server (сервер Telnet).
7. Настройте службу Telnet Server на автоматический запуск при запуске компьютера.
Наконец, нужно установить и настроить клиентскую рабочую станцию.
Установка и настройка клиентского компьютера CLIENT1
1. Установите ОС Windows Vista с указанными ниже параметрами.
2. При запросе имени локального администратора введите имя localadmin и установите
пароль Pass@word1.
3. Присвойте компьютеру имя CLIENT1.
4. Определите сетевое размещение компьютера как Work (работа).
5. Настройте сеть на использование следующих установок:
•
IP-адрес: 192.168.0.101;
•
маска подсети: 255.255.255.0;
•
шлюз по умолчанию: оставьте пустым;
•
адрес DNS-сервера: 192.168.0.1.
6. Присвойте компьютеру имя CLIENT1. Перезагрузите его, получив соответствующий
запрос.
7. Установите клиент Telnet при помощи пункта Turn Windows features on and off
(включение или отключение компонентов ОС Windows) раздела Program and Features
(программы и компоненты) панели управления.
8. Присоедините компьютер к домену contoso.com и перезагрузите его по запросу.
18
Определение настроек по умолчанию на
клиентах и серверах
Функциональные возможности, предоставляемые брандмауэром ОС Windows в режиме
повышенной защищенности в ОС Windows Vista и Windows Server 2008, доступны через
три различных пользовательских интерфейса.
•
Значок брандмауэра ОС Windows на панели управления. Этот интерфейс
предназначен для потребителей, не находящихся в управляемой среде. Через него
доступны только основные настройки персонального брандмауэра. Стоящая за
значком брандмауэра на панели управления функциональность ограничена и
предназначена для управления одиночным компьютером конечного потребителя, а не
для обеспечения административного контроля над множеством компьютеров
предприятия.
•
Средство командной строки Netsh Advfirewall. Команда netsh дает возможность
изменять множество параметров сетевой конфигурации компьютера. В них входят
параметры и правила брандмауэра ОС Windows в режиме повышенной безопасности
как для одиночного компьютера, так и для объекта групповой политики, который может
быть распространен на многие компьютеры организации.
•
Оснастка MMC брандмауэра ОС Windows в режиме повышенной безопасности.
Через этот интерфейс доступны параметры брандмауэра и протокола IPsec. Это —
основной инструмент администратора для управления как отдельно взятым
компьютером, так и объектами групповой политики.
Шаги по определению настроек по умолчанию на клиентах и
серверах
В этом разделе мы рассмотрим, как запустить каждый из перечисленных инструментов и
оценить доступные через них функциональные возможности. Используя каждое средство,
мы увидим текущие настройки и настройки по умолчанию брандмауэра ОС Windows в
режиме повышенной безопасности на компьютерах под управлением ОС Windows Vista и
Windows Server 2008.
Шаг 1. Запуск брандмауэра ОС Windows из панели управления
Шаг 2. Изучение основных параметров, доступных через интерфейс панели управления
Шаг 3. Изучение основных параметров с помощью средства командной строки Netsh
Шаг 4. Изучение основных параметров, доступных через оснастку MMC брандмауэра ОС
Windows в режиме повышенной безопасности
19
Шаг 1. Запуск брандмауэра ОС Windows из панели
управления
На этом этапе нужно открыть значок брандмауэра ОС Windows на панели управления
каждого компьютера, входящего в домен.
Открытие значка брандмауэра ОС Windows на панели управления CLIENT1
1. Войдите в систему компьютера CLIENT1 под именем contoso\admin1, введя
пароль Pass@word1.
2. Нажмите кнопку Start и щелкните пункт Control Panel.
В ОС Windows Vista представление панели управления по умолчанию — Control
Panel Home (основное окно панели управления).
3. Щелкните пункт Security (безопасность) и затем пункт Windows Firewall.
4. На странице Windows Firewall обратите внимание на следующие настройки по
умолчанию, входящие в обычную установку ОС Windows Vista (показаны на
рисунке):
•
брандмауэр ОС Windows включен;
•
незапрошенные входящие соединения, не подпадающие под исключения,
блокируются;
•
когда программа пытается прослушивать входящие соединения и получает
отказ в этом от брандмауэра, отображается уведомление;
•
текущие настройки принадлежат профилю сетевого расположения Domain
network (сеть домена), поскольку компьютер присоединен к домену Active
Directory и прошел проверку подлинности в нем.
5. Не закрывайте панель управления брандмауэра ОС Windows.
Теперь рассмотрим тот же интерфейс в ОС Windows Server 2008.
20
Открытие значка брандмауэра ОС Windows на панели управления MBRSVR1
1. Войдите в систему компьютера MBRSVR1 под именем contoso\admin1, введя пароль
Pass@word1.
2. Нажмите кнопку Start и щелкните пункт Control Panel.
В ОС Windows Server 2008 представление панели управления по умолчанию — Classic
View (классический вид).
3. Щелкните пункт Windows Firewall.
4. На странице Windows Firewall обратите внимание на следующие настройки по
умолчанию, входящие в обычную установку ОС Windows Server 2008:
•
брандмауэр ОС Windows включен;
Примечание
Если компьютер под управлением ОС Windows Server был обновлен с более
ранней версии Windows Server, содержащей брандмауэр ОС Windows, то
состояние брандмауэра будет тем же, что и до обновления.
•
незапрошенные входящие соединения, не подпадающие под исключения,
блокируются;
•
когда программа пытается прослушивать входящие соединения и получает отказ в
этом от брандмауэра, уведомление пользователю не отображается;
Примечание
Здесь имеется отличие в настройках по умолчанию от ОС Windows Vista.
•
текущие настройки принадлежат профилю сетевого расположения Domain network,
поскольку компьютер присоединен к домену и прошел проверку подлинности.
5. Не закрывайте панель управления брандмауэра ОС Windows.
21
Шаг 2. Изучение основных параметров, доступных через
интерфейс панели управления
Здесь мы рассмотрим параметры, которые можно настроить с использованием значка
брандмауэра ОС Windows на панели управления, и определим различия между ОС
Windows Vista и Windows Server 2008.
Определение параметров, доступных с помощью значка брандмауэра ОС Windows
панели управления
1. И на CLIENT1, и на MBRSVR1 щелкните команду Change settings (изменить настройки)
страницы Windows Firewall.
2. Изучите вкладки, содержащие немногочисленные настройки, доступные через этот
интерфейс. Любые сделанные здесь изменения отразятся только на текущем профиле
сетевого расположения (Domain network). Отметьте различие между настройками по
умолчанию компьютеров MBRSVR1 и CLIENT1.
•
Вкладка General (общие). На этой вкладке можно включить или выключить
брандмауэр. Кроме того, можно задать блокировку всех входящих соединений, даже
тех, для которых существуют разрешающие исключения.
Предупреждение
Не отключайте брандмауэр ОС Windows путем остановки его службы
(MpsSvc). Она, в том числе, реализует ограниченный режим работы служб ОС
Windows, предоставляя другим службам дополнительную защиту. Корпорация
Майкрософт не одобряет отключение службы брандмауэра. Вместо этого
необходимо использовать показанный здесь интерфейс, доступный через
значок брандмауэра ОС Windows панели управления, или оснастку MMC
брандмауэра ОС Windows в режиме повышенной безопасности.
Дополнительную информацию об ограниченном режиме работы служб ОС
Windows см. в статье «Улучшения безопасности и защиты данных в ОС
Windows Vista» по адресу http://go.microsoft.com/fwlink/?linkid=98656.
Примечание
Отключение брандмауэра установкой переключателя на странице Windows
Firewall Settings в положение Off (выкл.) не останавливает его службу
(MpsSvc). Прекращается лишь фильтрация входящего и исходящего трафика
в соответствии с установленными правилами.
На компьютере MBRSVR1 не видно отличий вкладки General от той же вкладки на
компьютере под управлением ОС Windows Vista, кроме случая, когда операционная
система была обновлена с более ранней версии ОС Windows Server, где брандмауэр
был установлен, но выключен. При обновлении компьютера под управлением ОС
Windows Server до более поздней версии ОС Windows Server состояние брандмауэра
22
сохраняется.
•
Вкладка Exceptions (исключения). На этой вкладке перечислены исключения,
разрешающие определенные сетевые соединения. Включены отмеченные
исключения. Большинство элементов отражает предопределенные наборы правил,
включенные в ОС Windows. Щелчок имени исключения и выбор пункт Properties
отображает описание исключения. Здесь же можно создать собственное исключение,
соотнесенное с программой или портом. Исключению можно указать область
применения — любой компьютер, только локальная подсеть или список адресов и
подсетей.
Компьютер под управлением ОС Windows Server 2008, настроенный на выполнение
роли сетевого сервера, например контроллера домена, обычно имеет намного
больше активных исключений, чем другие компьютеры. Эти исключения позволяют
нормально работать службам сервера. К примеру, у компьютера MBRSVR1 включено
правило исключения службы Telnet, поскольку мы установили эту службу в процессе
настройки необходимой среды. Правило было автоматически создано и активировано
при установке службы Telnet.
По умолчанию на компьютерах под управлением ОС Windows Server 2008 флажок
Notify me when Windows Firewall blocks a new program (уведомлять, когда
брандмауэр блокирует новую программу) снят.
•
Вкладка Advanced (дополнительно). На этой вкладке указываются сетевые
подключения, определенные в центре управления сетями и общим доступом, которые
брандмауэр ОС Windows должен защищать. По умолчанию выбраны все сетевые
соединения. Имеется также кнопка Restore Defaults (по умолчанию), полностью
удаляющая все внесенные пользователем изменения из конфигурации брандмауэра.
3. На компьютерах CLIENT1 и MBRSVR1 нажмите кнопку OK на странице Windows Firewall
Settings, закройте вкладку Windows Firewall и панель управления.
Шаг 3. Изучение основных параметров с помощью средства
командной строки Netsh
Здесь мы опробуем альтернативный метод просмотра основных настроек брандмауэра —
средство командной строки Netsh.
Определение основных параметров брандмауэра с помощью средства Netsh
1. Запустите командную строку от имени администратора на компьютере MBRSVR1.
2. Выполните в ней команду netsh advfirewall show currentprofile.
Важно
23
Необходимо использовать контекст advfirewall, а не более ранние контексты
firewall или ipsec. Контекст advfirewall добавлен команде netsh в этой версии ОС
Windows. Контексты firewall и ipsec по-прежнему существуют, но
предоставляются только для совместимости с настройками групповой политики,
созданными в более ранних версиях ОС Windows.
3. Изучите вывод команды и сопоставьте его с увиденным ранее в диалоговых окнах панели
управления. Пример вывода представлен на следующем рисунке.
Значения State (состояние), Firewall Policy (политика брандмауэра) и
InboundUserNotification соответствуют основным настройкам, рассмотренным на
предыдущих шагах с помощью значка брандмауэра ОС Windows панели управления.
Другие настройки, присутствующие в выводе netsh, с его помощью определены быть не
могут. Для доступа к ним требуется средство netsh или оснастка MMC брандмауэра ОС
Windows в режиме повышенной безопасности.
4. Закройте командную строку.
Шаг 4. Изучение основных параметров, доступных через
оснастку MMC брандмауэра ОС Windows в режиме
повышенной безопасности
Здесь мы рассмотрим основные параметры, доступные с помощью оснастки MMC
брандмауэра ОС Windows в режиме повышенной безопасности.
24
Определение основных параметров с использованием оснастки MMC
брандмауэра ОС Windows в режиме повышенной безопасности
1. На компьютере MBRSVR1 откройте оснастку Windows Firewall with Advanced Security.
2. Изучите три панели этой оснастки.
•
Область переходов позволяет выбирать основные функциональные области.
•
Область сведений отображает данные о выбранной в данный момент
функциональной области.
•
В области действий приведены ярлыки возможных задач, имеющих отношение к
текущей функциональной области.
3. В области переходов выберите узел Windows Firewall with Advanced Security.
В области сведений будет отображена основная информация о состоянии каждого
профиля сетевого размещения. Поскольку компьютер MBRSVR1 подключен к домену,
запись, соответствующая этому профилю сетевого размещения в разделе Overview
(обзор), имеет вид Domain Profile is Active (профиль домена активен).
4. В области переходов щелкните правой кнопкой мыши пункт Windows Firewall with
Advanced Security и выберите пункт Properties.
5. Обратите внимание на наличие четырех вкладок — одна для настроек протокола IPsec и
по одной — для каждого профиля сетевого размещения. Вносимые в них изменения
вступят в силу, только в том случае, когда станет активным соответствующий профиль.
Вкладка IPsec Settings (параметры протокола IPsec) позволяет настроить параметры
протокола по умолчанию — они будут использоваться, когда правило безопасности
подключения не определяет своих собственных параметров.
6. Щелкните, для примера, вкладку Private Profile (частный профиль). Обратите внимание
на то, что для каждого профиля можно включить или выключить брандмауэр, настроить
его поведение по умолчанию в области обработки исходящих и незапрошенных
входящих соединений и указать параметры ведения журнала.
7. Нажмите кнопку Customize (настроить) в разделе Settings (параметры). Обратите
внимание на то, что для каждого профиля можно настроить уведомления и порядок
ответа компьютера на входящий многоадресный или широковещательный трафик.
Раздел Rule merging (объединение правил) доступен только при управлении
настройками объекта групповой политики. Параметрами этого раздела определяется,
разрешает ли администратор групповой политики локальному администратору назначать
свои собственные локальные правила брандмауэра и безопасности подключений. Если
разрешения нет, к компьютеру применяются только правила объекта GPO, а все
локально определенные правила игнорируются.
8. Нажмите кнопку Cancel (отмена), чтобы вернуться на главную страницу свойств.
9. Нажмите кнопку Customize в разделе Logging (ведение журнала) и изучите имеющиеся
25
настройки создания файла журнала, содержащего сведения о действиях брандмауэра.
Даже в том случае, когда имя файла указано, запись в него не будет производиться до
тех пор, пока не выбран пункт Yes в одном из двух списков.
10. Установите обоим спискам значение No, тем самым отключив ведение журнала. Позднее
мы к этому вернемся.
11. Дважды нажмите кнопку Cancel для возврата в оснастку брандмауэра ОС Windows в
режиме повышенной безопасности.
12. Можно изучить и другие функциональные области — Inbound Rules (правила входящих
подключений), Outbound Rules (правила исходящих подключений) и Connection Security
Rules (правила безопасности подключения), но пока не изменяйте их настройки.
Развертывание основных настроек с помощью
групповых политик
Групповая политика используется для определения и развертывания указанных
конфигураций для групп пользователей или компьютеров. Эти конфигурации создаются
редактором объектов групповой политики и хранятся в одном или нескольких объектах
групповой политики в службах Active Directory. Для развертывания настроек объект GPO
связывается с одним или несколькими контейнерами службы Active Directory, например
узлом, доменом или подразделением (OU). Затем настройки объекта GPO автоматически
применяются к пользователям и компьютерам, чьи объекты хранятся в этих контейнерах.
Можно единожды настроить рабочую среду пользователей, затем все остальное будет
делать групповая политика.
Обзор групповой политики см. в технологическом обзоре «Групповая политика» этого
руководства. Дополнительную информацию о групповой политике см. в статье «Групповая
политика ОС Windows Server» по адресу http://go.microsoft.com/fwlink/?linkid=93542.
Развертывание основных настроек с помощью групповой
политики
В этом разделе мы создадим ряд подразделений, содержащих учетные записи
компьютеров. Затем мы создадим объекты GPO с настройками для каждого набора
компьютеров. При помощи редактора «Управление групповыми политиками» мы настроим
объект групповой политики, содержащий основные настройки брандмауэра, и назначим
этот объект подразделению, имеющему тестовый компьютер. Наконец, мы создадим и
применим фильтр WMI, чтобы ограничить действие объекта GPO только компьютерами,
работающими под управлением указанной операционной системы. Это позволит иметь
несколько групп компьютеров в одном контейнере службы Active Directory (подразделении,
26
узле или домене), каждая из которых требует разных настроек, и быть уверенным в том,
что эти настройки будут корректно поставлены.
Настраиваемый объект GPO будет включать ряд основных настроек брандмауэра в
режиме повышенной безопасности, которые обычно входят в состав настроек объекта
GPO типовой организации.
Шаг 1. Создание подразделений и размещение в них учетных записей компьютеров
Шаг 2. Создание объектов GPO для хранения настроек
Шаг 3. Добавление настройки GPO, включающей брандмауэр на рядовых клиентских
компьютерах
Шаг 4. Развертывание начального объекта GPO с тестовыми настройками брандмауэра
Шаг 5. Добавление настройки, запрещающей локальным администраторам применять
конфликтующие правила
Шаг 6. Настройка остальных параметров брандмауэра клиентского компьютера
Шаг 7. Создание групповых фильтров и фильтров WMI
Шаг 8. Включение ведения журнала брандмауэра
Шаг 1. Создание подразделений и размещение в них учетных
записей компьютеров
На этом шаге мы используем оснастку MMC Active Directory Users and Computers
(пользователи и компьютеры службы Active Directory) для создания двух подразделений в
иерархии домена: одно — для рядовых серверов, другое — для рядовых клиентских
компьютеров. Затем мы поместим учетную запись каждого компьютер в соответствующее
подразделение.
Создание необходимых подразделений и помещение в них учетных записей
компьютеров
1. На компьютере DC1 нажмите кнопку Start, выберите пункт Administrative Tools и
щелкните пункт Active Directory Users and Computers.
2. В области переходов щелкните правой кнопкой мыши пункт contoso.com, выберите пункт
New (создать) и щелкните пункт Organizational Unit (подразделение).
3. В поле Name введите команду MyMemberServers и нажмите кнопку OK.
4. Снова щелкните правой кнопкой мыши пункт contoso.com и выберите пункты New и
Organizational Unit.
5. В поле Name введите команду MyClientComputers и нажмите кнопку OK.
6. В области переходов щелкните пункт Computers (компьютеры).
7. В области сведений щелкните правой кнопкой мыши пункт CLIENT1 и выберите команду
27
Move (переместить).
8. В диалоговом окне Move щелкните пункт MyClientComputers и нажмите кнопку OK.
9. В области сведений щелкните правой кнопкой мыши пункт MBRSVR1 и выберите команду
Move.
10. В диалоговом окне Move щелкните пункт MyMemberServers и нажмите кнопку OK.
Эти действия должны привести к результату, показанному на рисунке.
11. Закройте оснастку Active Directory Users and Computers.
Шаг 2. Создание объектов GPO для хранения настроек
На этом шаге мы создадим новый объект GPO. Поскольку он пока не связан ни с каким
подразделением, содержащиеся в нем настройки не будут применены ни к одному
компьютеру.
Создание объекта GPO
1. На компьютере MBRSVR1 нажмите кнопку Start, выберите пункт Administrative Tools и
щелкните пункт Group Policy Management (управление групповой политикой).
2. В области переходов разверните пункты Forest: contoso.com (лес: contoso.com) затем
Domains и contoso.com.
3. В области переходов щелкните правой кнопкой мыши пункт Group Policy Objects
(объекты групповой политики) и выберите команду New.
4. В поле Name введите текст Firewall Settings for WS2008 Servers и нажмите кнопку OK.
28
5. В области переходов щелкните правой кнопкой мыши пункт Group Policy Objects и
выберите команду New.
6. В поле Name введите текст Firewall Settings for Vista Clients и нажмите кнопку OK.
7. Выберите узел Group Policy Objects, на экране должно отобразиться следующая
информация.
Шаг 3. Добавление настройки GPO, включающей брандмауэр
на рядовых клиентских компьютерах
На этом шаге мы включим в клиентский объект GPO настройку, активирующую брандмауэр
ОС Windows на всех клиентских компьютерах под управлением ОС Windows Vista, к
которым этот объект применяется.
Добавление в объект GPO параметра, включающего брандмауэр клиентских
компьютеров
1. На компьютере MBRSVR1 в оснастке Group Policy Management щелкните пункт Group
Policy Objects, щелкните правой кнопкой пункт Firewall Settings for Vista Clients и
выберите команду Edit (изменить).
2. В редакторе Group Policy Management Editor щелкните правой кнопкой мыши узел
верхнего уровня Firewall Settings for Vista Clients [DC1.contoso.com] Policy и выберите
пункт Properties.
3. Установите флажок Disable User Configuration settings (отключить параметры
конфигурации пользователя) и нажмите кнопку OK.
Примечание
Если раздел пользователя или компьютера не нужен, его можно удалить. Это
увеличит производительность клиентских компьютеров во время применения
объекта GPO.
29
4. В диалоговом окне Confirm Disable (подтвердить отключение) щелкните вариант Yes и
нажмите кнопку OK.
5. Последовательно раскройте узлы Computer Configuration (конфигурация компьютера),
Windows Settings (конфигурация ОС Windows), Security Settings (параметры
безопасности) и Windows Firewall with Advanced Security.
6. Щелкните узел Windows Firewall with Advanced Security LDAP://cn={GUID},cn=policies,cn=system,DC=contoso,DC=com, где GUID — уникальный
номер, присвоенный домену.
7. Обратите внимание на то, что в области сведений в разделе Overview для каждого
профиля сетевого размещения указано Windows Firewall state is not configured
(состояние брандмауэра ОС Windows не настроено). Щелкните пункт Windows Firewall
Properties (свойства брандмауэра ОС Windows).
8. На вкладке Domain Profile щелкните раскрывающийся список Firewall state (состояние
брандмауэра) и выберите вариант On (recommended).
Примечание
Этот шаг может показаться необязательным, поскольку на клиентских
компьютерах брандмауэр и так включен по умолчанию. Однако локальный
администратор сможет отключить его, если оставит этот параметр в состоянии
Not configured (не настроено). Если же настроить объект GPO указанным выше
образом, брандмауэр будет включен, и локальный администратор не сможет
повлиять на это.
9. Сохраните изменения, нажав OK. Обратите внимание на то, что для профиля Domain
Profile теперь указано Windows Firewall is on (брандмауэр ОС Windows включен).
30
10. Закройте редактор Group Policy Management Editor.
Шаг 4. Развертывание начального объекта GPO с тестовыми
настройками брандмауэра
На этом шаге мы свяжем созданный объект GPO с подразделением, тем самым
распространив его действие на рядовой клиентский компьютер.
Развертывание настроек брандмауэра
1. На компьютере MBRSVR1 в оснастке Group Policy Management в области
переходов щелкните правой кнопкой мыши пункт MyClientComputers и выберите
команду Link an Existing GPO (связать существующий объект GPO).
2. В списке Group Policy objects (объекты групповой политики) выберите вариант
Firewall Settings for Vista Clients и нажмите кнопку OK.
Далее мы обеспечим получение и использование настроек нового объекта GPO
клиентским компьютером.
Проверка нового объекта GPO
1. Запустите командную строку на компьютере CLIENT1 от имени администратора.
2. В окне командной строки введите команду gpupdate /force и нажмите клавишу ввода.
Подождите до тех пор, пока команда не завершит работу, прежде чем приступать к
следующему шагу.
3. Для проверки правильности применения объекта GPO выполните команду gpresult /r
/scope computer. В ее выводе найдите раздел Applied Group Policy Objects
(примененные объекты групповой политики). Убедитесь, что в нем содержатся записи
Firewall Settings for Vista Clients и Default Domain Policy.
4. Откройте оснастку брандмауэра ОС Windows в режиме повышенной безопасности.
5. Щелкните правой кнопкой мыши узел верхнего уровня Windows Firewall with Advanced
Security on Local Computer (брандмауэр ОС Windows в режиме повышенной
безопасности на локальном компьютере) и выберите пункт Properties.
6. Обратите внимание на то, что брандмауэр находится во включенном состоянии, а
раскрывающийся список заблокирован. Теперь он контролируется групповой политикой и
не может быть изменен локально, даже администратором.
7. Закройте диалоговое окно Properties и оснастку.
31
Шаг 5. Добавление настройки, запрещающей локальным
администраторам применять конфликтующие правила
На этом шаге мы настроим и протестируем параметр, запрещающий локальным
администраторам применять созданные ими правила брандмауэра, которые теоретически
могут войти в конфликт с правилами объекта GPO.
По умолчанию члены локальной группы администраторов компьютера могут использовать
брандмауэр ОС Windows в режиме повышенной безопасности для создания и
использования правил брандмауэра и безопасности подключений. Эти локальные правила
затем объединяются с правилами, определенными групповой политикой, после чего
применяются к активной конфигурации компьютера. Описанный в этом разделе параметр
запрещает объединение локально определенных правил с правилами объекта GPO.
Важно
Наряду с запретом для локальных администраторов применять свои правила этот
параметр также отключает в брандмауэре ОС Windows в режиме повышенной
безопасности запрос у пользователя сведений о новой программе и создание
правила входящего соединения, одобренного им. Используя этот параметр,
следует быть уверенным в том, что для каждой программы, требующей правило
брандмауэра, в объектах GPO есть соответствующие настройки.
Подтверждение того, что локальный администратор может создать
конфликтующее правило
1. На компьютере CLIENT1 в командной строке от имени администратора выполните
команду ping dc1.
Проверка связи работает, и это свидетельствует о том, что компьютер DC1
достижим.
2. Откройте оснастку брандмауэра ОС Windows в режиме повышенной безопасности.
3. Раскрыв узел Windows Firewall with Advanced Security, щелкните правой кнопкой
мыши пункт Outbound Rules и выберите команду New Rule (новое правило).
4. На странице Rule Type (тип правила) мастера New Outbound Rule Wizard
(создания правила для нового исходящего подключения) выберите вариант
Custom (настраиваемые) и нажмите кнопку Next (далее).
5. На странице Program (программа) выберите вариант All programs (все программы)
и нажмите кнопку Next.
6. На странице Protocol and Ports (протокол и порты) оставьте настройки по
умолчанию и нажмите кнопку Next.
7. На странице Scope (область) оставьте настройки по умолчанию и нажмите кнопку
Next.
32
8. На странице Action (действие) оставьте настройки по умолчанию и нажмите кнопку
Next.
9. На странице Profile (профиль) снимите флажки Private и Public, оставив флажок
Domain, и нажмите кнопку Next.
10. На странице Name (имя) введите имя A Test Rule (благодаря первой букве «A»
правило окажется вверху списка) и нажмите кнопку Finish (готово).
Будет создано правило брандмауэра, которое блокирует весь сетевой трафик
компьютера, прекращая тем самым все его коммуникации.
11. Вернитесь к командной строке и вновь выполните команду ping dc1.
Проверка связи завершается неудачей, поскольку локальное правило брандмауэра
блокирует исходящие соединения (см. рисунок).
12. В оснастке брандмауэра ОС Windows в режиме повышенной безопасности
щелкните пункт Outbound Rules в области переходов, щелкните правой кнопкой
мыши пункт A Test Rule и выберите команду Disable Rule (отключить правило).
Это нужно сделать для успешного выполнения следующих шагов.
13. Оставьте открытыми командную строку и оснастку Windows Firewall with
Advanced Security.
Далее мы так изменим объект GPO, назначенный клиентскому компьютеру, чтобы
локально определенные правила не применялись к активной конфигурации брандмауэра.
Мы также отключим уведомление, запрашивающее у пользователя разрешение на работу
программы, для которой нет правил.
33
Запрещение использования правил и настроек, определенных локальными
администраторами
1. На компьютере MBRSVR1 в оснастке Group Policy Management щелкните пункт
Group Policy Objects, щелкните правой кнопкой мыши пункт Firewall Settings for
Vista Clients и выберите команду Edit.
2. В редакторе Group Policy Management Editor последовательно раскройте узлы
Computer Configuration, Windows Settings, Security Settings и Windows Firewall
with Advanced Security.
3. Щелкните правой кнопкой мыши пункт Windows Firewall with Advanced Security LDAP://cn={GUID},cn=policies,cn=system,DC=contoso,DC=com и выберите пункт
Properties.
4. На вкладке Domain Profile в разделе Settings нажмите кнопку Customize.
5. Выберите значение No для параметра Display a notification (отображать
уведомление). Теперь ОС Windows не будет отображать уведомление, когда
программа блокируется.
6. В разделе Rule merging выберите значение No в списке Apply local firewall rules
(применять локальные правила брандмауэра).
7. В разделе Rule merging выберите значение No в списке Apply local connection
security rules (применять локальные правила безопасности подключения).
8. Дважды нажмите кнопку для возврата в редактор Group Policy Management Editor.
В рамках следующего шага мы обновим групповую политику компьютера CLIENT1 и
увидим, что локально определенные правила больше не блокируют сетевые
коммуникации.
Проверка новых ограничений для локальных администраторов
1. На компьютере CLIENT1 в командной строке от имени администратора выполните
команду gpupdate /force. Дождитесь завершения работы команды.
2. В оснастке брандмауэра ОС Windows в режиме повышенной безопасности щелкните
правой кнопкой мыши пункт A Test Rule в списке Outbound Rules и выберите команду
Enable Rule (включить правило).
3. В командной строке от имени администратора выполните команду ping dc1.
Проверка связи работает, хотя мы только что включили правило A Test Rule. Оно
числится включенным на локальном компьютере, но, указав на предыдущем шаге
значение No для параметра Apply local firewall rules объекта GPO, мы отключили
объединение локальных правил с правилами, предоставленными объектом групповой
политики.
4. В области переходов оснастки Windows Firewall with Advanced Security раскройте узел
34
Monitoring (наблюдение) и щелкните пункт Firewall (брандмауэр), чтобы увидеть список
правил, активных на локальном компьютере.
Таких правил нет. Мы не создали ни одного в объекте GPO, а все локальные правила
оказались отключены из-за указанных нами настроек.
5. Прежде, чем продолжить, удалим наше правило. В области переходов щелкните пункт
Outbound Rules. В области сведений щелкните правой кнопкой мыши пункт A Test Rule,
выберите команду Delete (удалить) и нажмите кнопку Yes в диалоговом окне
подтверждения.
6. Оставьте открытыми административную командную строку и оснастку Windows Firewall
with Advanced Security.
Шаг 6. Настройка остальных параметров брандмауэра
клиентского компьютера
Итак, брандмауэр включен, и локальный администратор не может отключить его. На
данном шаге мы завершим конфигурирование объекта GPO клиентского компьютера,
добавив другие часто используемые настройки, более полно регулирующие поведение
брандмауэра на компьютере под управлением ОС Windows Vista.
Любые параметры, для которых в объекте GPO будет оставлено значение по умолчанию
«не настроено», могут быть изменены локальным администратором. Поэтому полагаться
на это значение, скорее всего, не стоит. Нужно явно указать значения тех элементов,
которые должны быть настроены определенным образом. В этом разделе мы рассмотрим,
как определить другие часто используемые параметры, которые обычно не оставляют на
усмотрение локального администратора.
Проверка того, что локальный администратор может изменить параметры, не
указанные в объекте GPO
1. На компьютере CLIENT1 в оснастке Windows Firewall with Advanced Security в
области переходов щелкните правой кнопкой мыши узел верхнего уровня Windows
Firewall with Advanced Security и выберите пункт Properties.
2. На вкладке Domain Profile выберите значение Block (блокировать) в списке
Outbound connections и нажмите кнопку OK.
3. В командной строке от имени администратора введите команду ping dc1 и нажмите
клавишу ввода.
Обратите внимание на то, что проверка связи завершается неудачей, поскольку
весь исходящий трафик блокируется брандмауэром ОС Windows в режиме
повышенной безопасности.
35
4. В оснастке Windows Firewall with Advanced Security щелкните правой кнопкой
мыши узел верхнего уровня Windows Firewall with Advanced Security и выберите
пункт Properties.
5. Измените настройку Outbound connections на Allow (default) и нажмите кнопку
OK.
Далее мы укажем настройки в объекте групповой политики таким образом, что локальный
администратор не сможет изменить или отключить их.
Настройка других типовых настроек брандмауэра в групповой политике
1. На компьютере MBRSVR1 в редакторе Group Policy Management Editor щелкните
правой кнопкой мыши пункт Windows Firewall with Advanced Security LDAP://cn={GUID},cn=policies,cn=system,DC=contoso,DC=com и выберите пункт
Properties.
2. На вкладке Domain Profile в разделе State (состояние) установите значение Block
для варианта Inbound connections и значение Allow (default) для варианта
Outbound connections. Это — те же самые настройки, что уже установлены на
клиентском компьютере, но их указание в объекте GPO не даст локальным
администраторам возможности изменить эти настройки.
3. Нажмите кнопку OK, чтобы сохранить изменения и вернуться в редактор Group
Policy Management Editor.
Далее мы обновим групповую политику клиента и увидим, что локально определенные
правила и настройки больше не блокируют сетевые коммуникации.
Проверка новых ограничений для локальных администраторов
1. На компьютере CLIENT1 в командной строке от имени администратора введите команду
gpupdate /force и нажмите клавишу ввода. Дождитесь завершения работы команды.
2. В области переходов оснастки Windows Firewall with Advanced Security щелкните
правой кнопкой мыши узел верхнего уровня Windows Firewall with Advanced Security и
выберите пункт Properties.
3. На вкладке Domain Profile обратите внимание на то, что теперь локальный
пользователь, включая администратора, не сможет изменить используемые настройки.
Примечание
Для варианта Inbound connection можно указать значение Block all connections
(блокировать все подключения). Эта возможность используется для оперативного
отражения угрозы со стороны вредоносного ПО. Запретить ее средствами
групповой политики нельзя.
4. В разделе Settings нажмите кнопку Customize и обратите внимание на то, что
36
настроенные в групповой политике параметры не могут быть изменены локально.
5. Дважды нажмите кнопку Cancel для возврата в оснастку брандмауэра ОС Windows в
режиме повышенной безопасности.
6. Закройте эту оснастку
Шаг 7. Создание групповых фильтров и фильтров WMI
Если в сети присутствуют клиентские компьютеры под управлением различных
операционных систем Windows, то компьютерам из одного подразделения для
обеспечения одинаковой конфигурации может потребоваться указание разных настроек. В
частности, компьютеру под управлением ОС Windows XP могут потребоваться иные
настройки, чем компьютеру под управлением ОС Windows Vista. В этом случае будет
необходимо создать два объекта GPO — один для компьютеров с ОС Windows XP, другой
для ОС Windows Vista. Для распространения объектов GPO только на нужные компьютеры
часто используются два следующих метода.
•
Добавление к объекту GPO фильтра WMI. Фильтр WMI позволяет указывать условия,
которые должны выполняться, чтобы объект GPO был применен к компьютеру. Такая
фильтрация позволяет избежать излишне подробного дробления подразделений в
службе Active Directory.
•
Задание разрешения или запрета на действие Apply Policy (применять политику) в
списке управления доступом объекта GPO. Определив компьютеры в группы
безопасности, можно создать запрещающее правило доступа Apply Policy для тех
групп, к которым объект GPO не должен применяться.
Важно
В ОС Windows XP и Windows Server 2003 используются другие средства, и
производимые ими настройки брандмауэра и протокола IPsec отличаются от
настроек брандмауэра в режиме повышенной безопасности, входящего в состав
ОС Windows Vista и Windows Server 2008. Смешивание этих настроек на одном
компьютере может привести к неожиданным проблемам подключения, которые
очень трудно нейтрализовать. Рекомендуется использовать оснастку брандмауэра
ОС Windows в режиме повышенной безопасности для создания объектов GPO,
предназначенных компьютерам под управлением ОС Windows Vista или Windows
Server 2008, а объекты GPO для ОС Windows XP и Windows Server 2003 создавать
с помощью средств, включенных в эти операционные системы.
На этом шаге мы применим и протестируем фильтр WMI, ограничивающий область
применения GPO только компьютерами под управлением ОС Windows Vista.
37
Создание фильтра WMI, не применяемого к клиенту
1. На компьютере MBRSVR1 обратитесь к оснастке Group Policy Management.
2. В области переходов щелкните правой кнопкой мыши пункт WMI Filters и выберите
команду New.
3. В поле Name введите команду Apply only to Windows XP.
4. Нажмите кнопку Add (добавить).
5. В поле Query (запрос) введите команду
select * from Win32_OperatingSystem where Version like "5.1%"
6. Нажмите кнопку OK, затем кнопку Save (сохранить).
7. Раскрыв узел Group Policy Objects, щелкните пункт Firewall Settings for Vista
Clients.
8. Перейдите на вкладку Scope и выберите из списка WMI Filtering фильтр Apply
Only to Windows XP.
9. В диалоговом окне подтверждения нажмите кнопку Yes.
Теперь политика применяется только к компьютерам, чья версия операционной
системы Windows начинается с «5.1». Поскольку ОС Windows Vista имеет версию
6.0, к ней политика применена не будет.
10. Не закрывайте оснастку Group Policy Management.
Далее мы развернем объект GPO и увидим, что он больше не действует для клиентских
компьютеров под управлением ОС Windows Vista.
Развертывание и тестирование «плохого» фильтра WMI
1. На компьютере CLIENT1 в командной строке от имени администратора выполните
команду gpupdate /force. Дождитесь завершения работы команды.
2. Если оснастка брандмауэра ОС Windows в режиме повышенной безопасности
открыта, закройте ее и откройте снова.
3. В области переходов щелкните правой кнопкой мыши пункт Windows Firewall with
Advanced Security on Local Computer и выберите Properties.
4. Обратите внимание на то, что теперь все элементы управления интерфейса
доступны. Политика не блокировала их, потому что объект GPO к компьютеру
применен не был.
5. Нажмите кнопку OK.
6. Закройте оснастку Windows Firewall with Advanced Security. Административную
командную строку не закрывайте.
Далее мы исправим фильтр WMI так, чтобы он корректно применялся к ОС Windows Vista.
38
Исправление объекта GPO
1. На компьютере MBRSVR1 в оснастке Group Policy Management в области
переходов разверните узел WMI Filters.
2. Щелкните правой кнопкой мыши пункт Apply Only to Windows XP и выберите
вариант Rename (переименовать).
3. Измените запись XP на Vista и нажмите клавишу ввода.
4. Щелкните правой кнопкой мыши пункт Apply Only to Windows Vista и выберите
команду Edit.
5. Выберите имеющийся запрос и нажмите кнопку Edit для отображения диалогового
окна WMI Query (запрос WMI).
6. Измените номер версии, приведя запрос к виду
select * from Win32_OperatingSystem where Version like "6.0%"
7. Нажмите кнопку OK, затем кнопку Save.
Теперь настройка применяется только к компьютерам, чья версия операционной
системы начинается с «6.0», то есть к ОС Windows Vista и Windows Server 2008.
8. Не закрывайте оснастку Group Policy Management.
Далее мы развернем политику и увидим, что теперь она применяется к клиентскому
компьютеру под управлением ОС Windows Vista.
Развертывание и тестирование исправленного фильтра WMI
1. На компьютере CLIENT1 в командной строке от имени администратора выполните
команду gpupdate /force. Дождитесь завершения работы команды.
2. Откройте оснастку брандмауэра ОС Windows в режиме повышенной безопасности.
3. В области переходов щелкните правой кнопкой мыши пункт Windows Firewall with
Advanced Security on Local Computer и выберите пункт Properties.
Обратите внимание на то, что теперь многие элементы управления
пользовательского интерфейса заблокированы, поскольку объект GPO был вновь
применен к компьютеру.
4. Нажмите кнопку OK.
5. Оставьте открытыми административную командную строку и оснастку Windows
Firewall with Advanced Security.
В рамках следующих нескольких шагов мы протестируем фильтрацию групп с помощью
списков доступа ACL.
39
Создание группы компьютеров
1. На компьютере DC1 откройте оснастку Active Directory Users and Computers, если
она еще не открыта. Нажмите кнопку Start, выберите вариант Administrative Tools
и щелкните пункт Active Directory Users and Computers.
2. В области переходов щелкните правой кнопкой мыши пункт Computers, выберите
пункт New и щелкните пункт Group (группа).
3. В поле Group name (имя группы) введите текст Windows Vista Computers и
нажмите кнопку OK.
Сейчас мы установим разрешения объекта GPO, допускающие применение политики
только к членам созданной выше группы компьютеров.
Установка разрешений списка ACL объекта GPO
1. На компьютере MBRSVR1 в оснастке Group Policy Management разверните узел
Group Policy Objects и щелкните пункт Firewall Settings for Vista Clients.
2. На вкладке Scope в разделе Security Filtering щелкните пункт Authenticated Users
(прошедшие проверку) и нажмите кнопку Remove (удалить).
3. Нажмите кнопку Add, введите текст Windows Vista Computers и нажмите кнопку
OK.
Компьютер пока еще не входит в данную группу. Проверим, что объект GPO к нему не
применяется.
Проверка того, что объект групповой политики больше не действует на компьютер
CLIENT1
1. На компьютере CLIENT1 в командной строке от имени администратора выполните
команду gpupdate /force. Дождитесь завершения работы команды.
2. Введите текст gpresult /r /scope computer. Изучите раздел Applied Group Policy
Objects и убедитесь в том, что единственный перечисленный объект GPO —
Default Domain Policy (политика домена по умолчанию).
3. Просмотрите строки в разделе The following GPOs were not applied because they
were filtered out (следующие политики GPO не были приняты, поскольку они
отфильтрованы) на предмет наличия записи Firewall Settings for Vista Clients.
4. Если оснастка брандмауэра ОС Windows в режиме повышенной безопасности
открыта, закройте ее и откройте снова.
5. В области переходов щелкните правой кнопкой мыши пункт Windows Firewall with
Advanced Security on Local Computer и выберите пункт Properties.
6. Убедитесь в том, что все элементы управления вновь доступны, поскольку объект
40
GPO не был принят.
7. Закройте страницу Properties, нажав кнопку Cancel.
Теперь мы добавим компьютер к созданной группе.
Добавление компьютера CLIENT1 в группу
1. На компьютере DC1 в оснастке Active Directory Users and Computers выберите
контейнер Computers, после чего дважды щелкните пункт Windows Vista
Computers в области сведений.
2. Выберите вкладку Members и нажмите кнопку Add.
3. Нажмите кнопку Object Types (типы объектов).
4. Снимите все флажки, кроме Computers, и нажмите кнопку OK.
5. В поле ввода введите текст CLIENT1 и дважды нажмите кнопку OK для сохранения
изменений.
Наконец, применим объект GPO к компьютеру и оценим результат.
Использование объекта GPO, примененного к компьютеру
1. Перезапустите компьютер CLIENT1. Изменения, внесенные в членство групп,
должны быть отражены в маркерах безопасности локального компьютера. Это
происходит при запуске.
2. Войдите в систему под именем contoso/admin1.
3. Запустите командную строку и выполните команду gpresult /r /scope computer.
4. Изучите ее вывод и убедитесь в том, что объект GPO на компьютере вновь
используется.
5. Откройте оснастку брандмауэра ОС Windows в режиме повышенной безопасности.
6. В области переходов щелкните правой кнопкой мыши пункт Windows Firewall with
Advanced Security on Local Computer и выберите пункт Properties.
7. Убедитесь в том, что некоторые элементы управления недоступны, поскольку
теперь управляются групповой политикой.
8. Закройте страницу Properties, нажав кнопку Cancel.
Дополнительную информацию об использовании фильтров WMI и групповой политики см.
в следующих документах:
•
«Инструкции по распространению групповых политик с помощью фильтров WMI»
(http://go.microsoft.com/fwlink/?linkid=93760);
•
«Групповая политика ОС Windows Server» (http://go.microsoft.com/fwlink/?linkid=93542).
41
Шаг 8. Включение ведения журнала брандмауэра
Создавая или модифицируя правила брандмауэра, можно порой оказаться в ситуации,
когда разрешается нежелательный трафик или запрещается необходимый. Брандмауэр
ОС Windows в режиме повышенной безопасности обладает функцией ведения журнала,
очень полезной для поиска источника таких проблем. Журнал содержит записи о
разрешенных и заблокированных подключениях.
На этом шаге мы настроим серверный объект GPO на создание файла журнала, ведущего
учет как пропущенных, так и отклоненных пакетов. В следующем разделе мы после
создания и тестирования ряда правил брандмауэра изучим этот журнал и рассмотрим типы
его записей.
Настройка журнала брандмауэра в серверном объекте GPO
1. На компьютере MBRSVR1 в оснастке Group Policy Management в области
переходов щелкните правой кнопкой мыши пункт Firewall Settings for WS2008
Servers и выберите команду Edit.
2. В редакторе Group Policy Management Editor в области переходов щелкните
правой кнопкой мыши верхний узел и выберите пункт Properties.
3. Установите флажок Disable User Configuration settings.
4. В диалоговом окне подтверждения нажмите кнопки Yes и OK.
5. В области переходов последовательно раскройте узлы Computer Configuration,
Windows Settings, Security Settings и Windows Firewall with Advanced Security.
6. Щелкните правой кнопкой мыши пункт Windows Firewall with Advanced Security LDAP://cn={GUID},cn=policies,cn=system,DC=contoso,DC=com и выберите пункт
Properties.
7. На вкладке Domain Profile в разделе Logging нажмите кнопку Customize.
8. Снимите оба флажка Not configured. Для пути и максимального размера можно
оставить значения по умолчанию.
9. Укажите вариант Yes в списке Log dropped packets (записывать пропущенные
пакеты).
10. Укажите вариант Yes в списке Log successful connections (записывать успешные
подключения).
11. Сохраните объект GPO, дважды нажав кнопку OK.
12. Закройте редактор Group Policy Management Editor.
После того, как этот объект GPO будет введен в действие на компьютере MBRSVR1,
брандмауэр начнет записывать в журнал пропущенные пакеты и успешные подключения.
Мы просмотрим журнал в следующем разделе.
42
Создание правил, разрешающих необходимый
входящий трафик
По умолчанию брандмауэр ОС Windows в режиме повышенной безопасности блокирует
весь незапрошенный входящий трафик. Чтобы программы, ожидающие такой трафик,
могли успешно работать, нужно сначала создать правила с определенными критериями.
Шаги по созданию правил, разрешающих необходимый
входящий трафик
В этом разделе мы создадим правила брандмауэра, разрешающие определенные виды
незапрошенного входящего сетевого трафика.
Шаг 1. Настройка предопределенных правил с помощью групповой политики
Шаг 2. Разрешение незапрошенного входящего сетевого трафика для указанной
программы
Шаг 3. Разрешение входящего трафика на указанном порту TCP или UDP
Шаг 4. Разрешение входящего сетевого трафика, использующего динамический вызов
удаленных процедур RPC
Шаг 5. Просмотр журнала брандмауэра
Шаг 1. Настройка предопределенных правил с помощью
групповой политики
Во многих случаях требуется создать правила, управляющие часто встречающейся на
практике сетевой активностью. Большое количество видов типового трафика уже включено
в состав предопределенного набора правил брандмауэра ОС Windows в режиме
повышенной безопасности. Это упрощает их настройку и развертывание.
На этом шаге мы настроим ряд правил брандмауэра с помощью оснастки MMC управления
групповой политикой. Сейчас наша цель состоит в том, чтобы правила группы Core
Networking (основы сетей) были всегда включены.
Настройка группы правил брандмауэра
1. На компьютере MBRSVR1 в оснастке Group Policy Management щелкните правой
кнопкой мыши пункт Firewall Settings for Vista Clients и выберите команду Edit.
2. В области переходов редактора Group Policy Management Editor последовательно
разверните узлы Computer Configuration, Windows Settings, Security Settings,
Windows Firewall with Advanced Security и Windows Firewall with Advanced
Security - LDAP://{GUID},cn=policies,cn=system,DC=contoso,DC=com.
43
3. Щелкните пункт Inbound Rules.
По умолчанию правил для входящих соединений в объекте GPO нет.
4. Щелкните правой кнопкой мыши пункт Inbound Rules и выберите команду New
rule.
5. На странице Rule Type мастера щелкните пункт Predefined (предопределенное),
выберите пункт Core Networking (основы сетей) из списка и нажмите кнопку Next.
6. На странице Predefined Rules (предопределенные правила) изучите список
правил, оставьте их все отмеченными флажками и нажмите кнопку Next.
Примечание
В производственной среде следует тщательно выбирать, к каким профилям
будут применяться правила. Иногда необходимо указать правила для
других профилей, используемых в тех случаях, когда компьютер не
подключен к сети предприятия — например для переносных компьютеров,
забираемых домой. Иногда требуются правила, распространяющиеся на
все профили — так компьютеры будут защищены даже в том случае, когда
отключены от сети организации. Могут также потребоваться определенные
изменения в правилах, чтобы нужные программы корректно работали в
домашней или публичной сети, отличающейся от корпоративной.
7. Поскольку мы хотим создать исключение, разрешающее блокируемый трафик, на
странице Action выберите пункт Allow the connection и нажмите кнопку Finish.
Теперь область сведений Inbound Rules заполнена списком включенных правил.
44
Теперь, когда объект GPO содержит список правил, можно развернуть его на клиентском
компьютере.
Проверка работы правил на клиентском компьютере
1. На компьютере CLIENT1 в командной строке от имени администратора выполните
команду gpupdate /force. Дождитесь завершения работы команды.
2. В области переходов оснастки Windows Firewall with Advanced Security разверните
узел Monitoring и щелкните пункт Firewall.
Обратите внимание на список правил, действующих теперь на локальном компьютере.
3. В меню View (вид) выберите команду Add/Remove columns (добавить или удалить
столбцы).
4. Если столбец Rule Source (источник правила) не входит в число отображаемых,
щелкните его в списке Available columns (имеющиеся столбцы) и нажмите кнопку Add.
5. Нажмите кнопку Move Up (вверх), чтобы переместить столбец Rule Source в положение
сразу после столбца Name, и нажмите кнопку OK.
Примечание
45
Отображение столбца Rule Source полезно при устранении неполадок, но с ним
вывод списка правил происходит медленнее. Рекомендуется удалять этот
столбец из списка, когда в нем нет нужды.
6. Обратите внимание на то, что для всех правил в качестве источника указан объект GPO
Firewall Settings for Vista Clients. Даже если отключить локально определенные правила
группы Core Networking в рамках раздела Inbound Rules, на действие правил объекта
групповой политики это не повлияет.
7. Закройте редактор Group Policy Management Editor, в котором мы изменяли клиентский
объект GPO.
Шаг 2. Разрешение незапрошенного входящего сетевого
трафика для указанной программы
Когда программа должна быть в состоянии получать незапрошенный входящий сетевой
трафик, следует создать правило, разрешающее прохождение такого трафика через
брандмауэр.
По умолчанию, когда программа при запуске регистрируется в системе для прослушивания
отдельных портов TCP или UDP, ОС Windows блокирует запрос и отображает диалоговое
окно с запросом инструкций. Если пользователь одобряет работу программы,
автоматически создается правило брандмауэра, разрешающее для нее весь сетевой
трафик. Создать похожее правило можно и вручную. Если созданное таким образом
правило будет распространено через групповую политику, пользователям не придется
решать, что делать с этим диалоговым окном.
На компьютерах под управлением ОС Windows Server 2008 диалоговое окно по умолчанию
не появляется, а программа автоматически блокируется. Поэтому для таких компьютеров
нужно создавать правила для каждой программы, работающей с незапрошенным
входящим сетевым трафиком. Еще одно преимущество создания правил вручную —
возможность ограничить действие правила только указанными видами трафика.
В этом разделе мы в качестве первого примера создадим правило брандмауэра,
разрешающее входящий трафик службы Telnet, а затем развернем его на компьютере
MBRSVR1 с помощью групповой политики.
Создание правила брандмауэра, разрешающего входящий трафик программы
1. На компьютере MBRSVR1 в оснастке Group Policy Management щелкните правой
кнопкой мыши пункт Firewall Settings for WS2008 Servers и выберите команду Edit.
2. В области переходов последовательно разверните узлы Computer Configuration,
Windows Settings, Security Settings, Windows Firewall with Advanced Security и
46
Windows Firewall with Advanced Security LDAP://{GUID},cn=policies,cn=system,DC=contoso,DC=com.
3. Щелкните правой кнопкой мыши пункт Inbound Rules и выберите команду New
rule.
4. На странице Rule Type выберите пункт Custom и нажмите кнопку Next.
Примечание
Правила рекомендуется делать настолько подробными, насколько это
возможно. В частности, указывать и программу, чтобы правило
применялось только при ее работе, и порт, чтобы программа могла
получать данные только на действительно нужном порту. Для правил типа
Custom доступны все возможности мастера.
5. В поле ввода This program path (путь программы) введите команду
%systemroot%\system32\tlntsvr.exe.
6. Поскольку программы могут размещать несколько служб, рекомендуется также
ограничить действие правила отдельно взятой службой. Нажмите кнопку
Customize, расположенную рядом с пунктом Services.
7. Выберите пункт Apply to this service (применять к службе), укажите вариант Telnet,
нажмите кнопку OK и затем кнопку Next.
Примечание
В список служб включены только службы, установленные на компьютере,
где редактируется объект GPO. Если нужная служба на нем не
установлена, можно выбрать пункт Apply to service with this service short
name (применять к службе со следующим кратким именем) и ввести краткое
имя службы в поле ввода. Чтобы узнать это имя, используйте оснастку
MMC Services (службы) на компьютере, где искомая служба установлена.
8. На странице Protocols and Ports нажмите кнопку Next. Мы ограничим правило
конкретным портом в следующем разделе.
9. На странице Scope нажмите кнопку Next.
10. На странице Action выберите вариант Allow the Connection и нажмите кнопку
Next.
11. На странице Profile снимите флажки Private и Public. Убедитесь в том, что флажок
Domain установлен, и нажмите кнопку Next.
12. На странице Name введите команду Allow Inbound Telnet и нажмите кнопку Finish.
Перед развертыванием объекта GPO настроим ряд других параметров, чтобы локальные
правила не вступали в конфликт с предоставленными доменом.
47
Завершение настройки правила брандмауэра для рядового сервера
1. В области переходов редактора Group Policy Management Editor щелкните правой
кнопкой мыши пункт Windows Firewall with Advanced Security LDAP://cn={GUID},cn=policies,cn=system,DC=contoso,DC=com и выберите пункт
Properties.
2. Установите параметру Firewall state значение On (recommended).
3. Установите параметру Inbound connections значение Block (default).
4. Установите параметру Outbound connections значение Allow (default).
5. В разделе Settings нажмите кнопку Customize.
6. Установите параметру Display a notification значение No.
7. Установите параметру Apply local firewall rules значение No.
8. Установите параметру Apply local connection security rules значение No.
9. Сохраните объект GPO, дважды нажав кнопку OK.
Далее мы развернем объект GPO на рядовом сервере.
Развертывание объекта GPO на рядовом сервере
1. Перейдите к оснастке Group Policy Management, щелкните правой кнопкой мыши
пункт MyMemberServers и выберите вариант Link an existing GPO.
2. В диалоговом окне Select GPO выберите пункт Firewall Settings for WS2008
Servers и нажмите кнопку OK.
Теперь объект GPO назначен.
3. Запустите командную строку от имени администратора и выполните команду
gpupdate /force. Дождитесь завершения работы команды.
4. Откройте оснастку брандмауэра ОС Windows в режиме повышенной безопасности.
5. В области переходов раскройте узел Monitoring и щелкните узел Firewall.
Обратите внимание на то, что единственное активное правило — Allow Inbound
Telnet, которое мы создали в объекте групповой политики.
Теперь мы протестируем правило, которое только что развернули.
Тестирование правила брандмауэра для службы Telnet
1. На компьютере CLIENT1 в командной строке от имени администратора введите
команду telnet mbrsvr1 и нажмите клавишу ввода.
Через несколько секунд окно примет следующий вид, свидетельствующий о том,
что правило брандмауэра для службы Telnet работает.
48
2. Завершите сессию Telnet, введя команду exit и нажав клавишу ввода.
Далее мы убедимся в том, что служба Telnet успешно работает не благодаря локальному
правилу, созданному при ее установке на MBRSVR1. Мы отключим его и увидим, что
служба не прекратила работу, поскольку правило из объекта групповой политики все еще
действует.
Подтверждение того, что именно правило объекта GPO позволяет службе Telnet
работать
1. На компьютере MBRSVR1 в оснастке Windows Firewall with Advanced Security в
области переходов щелкните пункт Inbound Rules. Обратите внимание на то, что
полученное из объекта GPO правило перечислено в самом верху.
2. Прокрутите список вниз до правила Telnet Server, щелкните его правой кнопкой
мыши и выберите команду Disable rule.
3. На компьютере CLIENT1 в командной строке снова выполните команду telnet
mbrsvr1. Команда вновь сработает.
4. Завершите сессию Telnet, введя команду exit и нажав клавишу ввода.
Наконец, мы покажем, что служба Telnet в состоянии прослушивать сетевой трафик на
любом порту, как и указано в правиле.
Доказательство того, что правило брандмауэра разрешает трафик службы Telnet
на указанном порту
1. На компьютере MBRSVR1 в командной строке от имени администратора введите
команду tlntadmn config port=25 и нажмите клавишу ввода. Это настроит сервер
Telnet на прослушивание порта 25 вместо 23 по умолчанию.
2. На компьютере CLIENT1 в командной строке введите команду telnet mbrsvr1 25.
Это служит указанием клиентскому компьютеру использовать для подключения
порт 25 вместо обычного 23.
Соединение успешно устанавливается.
В следующем разделе мы настроим правило на разрешение трафика только на указанном
порту.
49
Шаг 3. Разрешение входящего трафика на указанном порту
TCP или UDP
На предыдущем шаге мы создали правило, разрешающее незапрошенный входящий
сетевой трафик службе Telnet Server. Куда лучше, однако, также ограничить разрешение
теми портами TCP и (или) UDP, в которых служба действительно нуждается. В случае со
службой Telnet это — TCP-порт 23.
Сейчас мы улучшим правило исключения для службы Telnet и ограничим разрешенный
входящий трафик только TCP-портом 23.
Настройка правила на разрешение трафика только на указанном порту
1. На компьютере MBRSVR1 в редакторе Group Policy Management Editor
серверного объекта GPO щелкните пункт Inbound Rules.
2. В области сведений щелкните правой кнопкой мыши пункт Allow Inbound Telnet и
выберите пункт Properties.
3. Перейдите на вкладку Protocols and Ports.
4. В списке Protocol type (тип протокола) выберите вариант TCP. Обратите внимание
на то, что вариант Protocol number (номер протокола) автоматически изменился
на 6.
5. В списке Local port (локальный порт) выберите пункт Specific Ports (специальные
порты).
6. В текстовом поле, находящемся непосредственно под строкой Local Port введите
число 23.
7. Сохраните изменения, нажав кнопку OK.
Протестируем измененное правило.
Тестирование измененного правила
1. На компьютере MBRSVR1 в командной строке от имени администратора выполните
команду gpupdate /force. Дождитесь завершения работы команды.
Служба Telnet на MBRSVR1 по-прежнему настроена на использование порта 25.
2. На компьютере CLIENT1 в командной строке выполните команду telnet mbrsvr1 25.
Время, отведенное на установление соединения, истечет, и попытка завершится
неудачей, потому что брандмауэр компьютера MBRSVR1 теперь блокирует весь
входящий трафик службы Telnet, не относящийся к порту 23.
3. На компьютере MBRSVR1 в командной строке от имени администратора выполните
команду tlntadmn config port=23. Служба вернется к использованию порта по
умолчанию.
50
4. На компьютере CLIENT1 в командной строке выполните команду telnet mbrsvr1.
Команда завершается удачно — брандмауэр пропускает входящий трафик службы Telnet
на порту 23.
5. Завершите сессию Telnet, введя команду exit и нажав клавишу ввода.
Шаг 4. Разрешение входящего сетевого трафика,
использующего динамический порт RPC
Многие программы используют протокол RPC для запроса соединений с хост-службой на
динамически определяемом порту. Для этого удаленный клиент подключается к серверу на
TCP-порту 125 (стандартный номер порта RPC) и указывает службу, к которой собирается
подключиться. Служба сопоставителя конечных точек порта RPC, прослушивающая этот
порт, отправляет в ответ номер порта, который клиенту надо использовать для соединения
с требуемой службой.
В более ранних версиях ОС Windows динамически назначаемые порты были средством
обратить внимание администраторов брандмауэров. Им приходилось либо создавать
правила, разрешающие большие диапазоны портов в динамически назначаемой области
(все порты с номерами больше 1024), либо ограничивать программу использованием куда
меньшего количества портов, чем предполагалось ее создателями. Создание правил,
открывающих большое количество не используемых в каждую секунду портов,
увеличивало контактную зону компьютера и его уязвимость к атакам. Ограничение
программ меньшим количеством портов сказывалось на их быстродействии. Ни то, ни
другое решение назвать удачным было нельзя.
Примечание
Для определения того, использует ли программа динамически назначаемые
службой RPC порты, обратитесь к ее документации. Другой вариант — изучить
входящий и исходящий трафик программы с помощью анализатора сетевых
протоколов, например сетевого монитора Microsoft. Загрузить его можно по адресу
http://go.microsoft.com/fwlink/?LinkID=94770.
В ОС Windows Vista и Windows Server 2008 эта проблема решена введением правил,
которые напрямую поддерживают требования программ к портам RPC. Введение такой
поддержки для программы требует создания следующих правил.
•
Правило входящих соединений, разрешающее входящий трафик службы RPC
Endpoint Mapper (сопоставителя конечных точек RPC). Это правило разрешает
компьютеру получение трафика, отправленного на порт 135. Правило должно
содержать действие «разрешить» и путь к программе службы RPC Endpoint Mapper.
51
•
Правило входящих соединений, где в качестве номера порта указано Dynamic RPC
(динамический порт RPC). Когда служба сопоставителя конечных точек порта RPC
получает входящий запрос от удаленного компьютера на порту 135 (см. предыдущее
правило), она назначает запросу динамический номер порта и передает его в ответе
удаленному компьютеру. IP-адрес этого компьютера и назначенный номер порта
хранятся во внутренней таблице. Когда компьютер посылает пакет на новый номер
порта, данное правило разрешает ОС Windows сопоставить этот номер порта и IPадрес компьютера с записями в таблице. Если обнаруживается совпадение, входящий
трафик разрешается.
Преимущество здесь состоит в том, что можно использовать любой порт в диапазоне
временных портов RPC и не заботиться о создании правила, открывающего его. Порт
доступен только для программы, назначенной сопоставителем конечных точек. Постоянно
открытых неиспользуемых портов нет вообще, что снижает уязвимость сервера.
В этом разделе мы создадим правило службы удаленного журнала событий,
использующей динамический порт RPC. Хотя в ОС Windows Vista и Windows Server 2008
есть предопределенные наборы правил, уже содержащие эту функциональность, мы
создадим правило вручную и рассмотрим требуемые для этого шаги.
Для начала убедимся в том, что на данный момент служба удаленного журнала событий
недоступна для клиента, поскольку брандмауэр компьютера MBRSVR1 блокирует ее
трафик.
Подтверждение того, что служба удаленного журнала событий недоступна
1. На компьютере CLIENT1 нажмите кнопку Start, введите команду event viewer в
поле Start Search и нажмите клавишу ввода.
2. В меню Action выберите команду Connect to another computer (подключиться к
другому компьютеру).
3. В поле Another computer (другой компьютер) введите команду MBRSVR1 и
нажмите кнопку OK.
4. Через несколько секунд попытка подключения завершится неудачей (см. рисунок),
поскольку брандмауэр ОС Windows в режиме повышенной безопасности на
компьютере MBRSVR1 блокирует необходимый сетевой трафик. Нажмите кнопку
OK.
52
Для нормальной работы службы нужно сначала создать правило, поддерживающее
входящий трафик службы сопоставителя конечных точек порта RPC.
Создание правила, разрешающего входящий трафик службы сопоставителя
конечных точек порта RPC
1. На компьютере MBRSVR1 в редакторе Group Policy Management Editor
серверного объекта GPO в области переходов щелкните правой кнопкой мыши
пункт Inbound Rules и выберите команду New rule.
2. На странице Rule Type выберите пункт Custom и нажмите кнопку Next.
3. В поле ввода This program path введите команду
%systemroot%\system32\svchost.exe.
4. Нажмите кнопку Customize, расположенную рядом с пунктом Services.
5. Выберите пункт Apply to this service, укажите службу Remote Procedure Call
(RPC) (краткое имя RpcSs), нажмите кнопку OK и затем кнопку Next.
6. Получив предупреждение о конфликте с правилами ограниченного режима работы
служб ОС Windows, нажмите кнопку Yes.
7. На странице Protocol and Ports для Protocol type укажите вариант TCP.
8. Для Local Port выберите RPC Endpoint Mapper и нажмите кнопку Next.
9. На странице Scope нажмите кнопку Next.
10. На странице Action нажмите кнопку Next.
11. На странице Profile снимите флажки Private и Public и нажмите кнопку Next.
12. На странице Name введите команду Allow RPC Endpoint Mapper и нажмите кнопку
Finish.
Теперь создадим правило, разрешающее входящий трафик удаленного клиента журнала
событий. Поскольку номер входящего порта назначается службой сопоставления конечных
точек порта RPC динамически, в качестве номера порта укажем Dynamic RPC.
53
Примечание
Служба журнала событий в нашем примере расположена в файле
%systemroot%\system32\svchost.exe. В рабочей среде всегда указывайте путь к
исполняемому файлу, содержащему службу, для которой создаются правила.
Создание правила, разрешающего входящий трафик службы, использующей порт
RPC
1. На компьютере MBRSVR1 в редакторе Group Policy Management Editor в области
переходов щелкните правой кнопкой мыши пункт Inbound Rules и выберите
команду New rule.
2. На странице Rule Type выберите пункт Custom и нажмите кнопку Next.
3. В поле This program path введите команду %systemroot%\system32\svchost.exe.
Служба удаленного журнала событий — еще одна служба, расположенная в нем.
4. Нажмите кнопку Customize, расположенную рядом с пунктом Services.
5. Выберите пункт Apply to this service, укажите службу Windows Event Log (краткое
имя Eventlog), нажмите кнопку OK и затем кнопку Next.
6. Получив предупреждение о конфликте с правилами ограниченного режима работы
служб ОС Windows, нажмите кнопку Yes.
7. На странице Protocol and Ports для Protocol type укажите вариант TCP.
8. Для раздела Local Port выберите вариант Dynamic RPC и нажмите кнопку Next.
9. На странице Scope нажмите кнопку Next.
10. На странице Action нажмите кнопку Next.
11. На странице Profile снимите флажки Private и Public и нажмите кнопку Next.
12. На странице Name введите команду Allow Remote Event Log Service и нажмите
кнопку Finish.
Теперь можно использовать этот объект GPO на компьютере MBRSVR1.
13. В командной строке от имени администратора выполните команду gpupdate /force.
Дождитесь завершения работы команды.
14. Откройте оснастку брандмауэра ОС Windows в режиме повышенной безопасности,
если она еще не открыта.
15. Разверните узел Monitoring, щелкните пункт Firewall и убедитесь в том, что новые
правила перечислены среди активных.
54
Теперь можно попытаться снова соединиться со службой удаленного журнала событий с
клиентского компьютера.
Подтверждение того, что служба удаленного журнала событий работает
1. На компьютере CLIENT1 перейдите к просмотру событий и в меню Action выберите
команду Connect to another computer.
2. В поле Another computer (другой компьютер) введите имя MBRSVR1 и нажмите кнопку
OK.
3. Попытка завершается успешно. Узел верхнего уровня в области переходов
свидетельствует о том, что программа просмотра подключена к веб-узлу
MBRSVR1.contoso.com.
4. Закройте просмотр событий.
Шаг 5. Просмотр журнала брандмауэра
Мы уже несколько раз подключались к серверу после того, как включили ведение журнала,
и несколько раз подключение было заблокировано правилами брандмауэра. На этом шаге
мы изучим имеющийся на данный момент журнал, а затем отключим его ведение.
Изучение журнала брандмауэра
1. На компьютере MBRSVR1 откройте оснастку брандмауэра ОС Windows в режиме
55
повышенной безопасности, если она еще не открыта.
2. В области переходов щелкните пункт Monitoring. В разделе Logging Settings
(параметры журнала) щелкните путь к файлу справа от надписи File name (имя
файла). Журнал будет открыт в блокноте ОС Windows.
3. Изучите отображаемые записи. Их гораздо больше, чем мы создали своими
действиями. Здесь отражены запросы службы DNS, подключения протокола
NetBIOS и т.п.
4. Найдите строки, напоминающие приведенные ниже примеры. Нажмите клавиши
CTRL+F. Откроется окно поиска, в котором следует ввести символы [пробел] 23
[пробел]. Обязательно включите пробелы, чтобы не находить число 23 внутри
других чисел.
Значения, приведенные курсивом, могут отличаться от значений в журнале.
Последний столбец здесь не отображен, но он часто представляет интерес, так как
показывает, был ли пакет входящим (RECEIVE) или исходящим (SEND).
•
Следующие записи отражают разрешенные подключения службы Telnet на
портах 23 и 25:
2007-07-18 10:10:48 ALLOW TCP 192.168.0.101 192.168.0.100 52174 23
2007-07-18 10:15:54 ALLOW TCP 192.168.0.101 192.168.0.100 52175 25
•
Следующая запись отражает заблокированное подключение службы Telnet на
порту 25:
2007-07-18 10:28:28DROP TCP 192.168.0.101 192.168.0.100 52180 25
•
Следующие записи отражают разрешенные подключения удаленного журнала
событий:
2007-07-18 10:49:59 ALLOW TCP 192.168.0.101 192.168.0.100 52191 135
2007-07-18 10:50:00 ALLOW TCP 192.168.0.101 192.168.0.100 52192 49153
5. Закройте блокнот ОС Windows.
Примечание
При выявлении неполадок в рабочей среде можно импортировать журнал в
приложение Microsoft Excel, где будет легко производить поиск, сортировку и
фильтрацию записей. При импорте укажите в качестве разделителя символ
пробела.
Включать ведение журнала следует только при необходимости, например при устранении
неполадок. Нам журнал больше не нужен, поэтому отключим его.
Отключение ведения журнала брандмауэра
1. Переключитесь в редактор Group Policy Management Editor, где мы настраивали
56
серверный объект GPO.
2. В области переходов щелкните правой кнопкой мыши пункт Windows Firewall with
Advanced Security - LDAP://cn={GUID},cn=policies,cn=system,DC=contoso,DC=com и
выберите пункт Properties.
3. На вкладке Domain Profile в разделе Logging нажмите кнопку Customize.
4. Выберите пункт No (default) в списке Log dropped packets.
5. Выберите пункт No (default) в списке Log successful connections.
6. Сохраните изменения, дважды нажав кнопку OK.
7. В командной строке от имени администратора выполните команду gpupdate /force.
Дождитесь завершения работы команды.
Создание правил, блокирующих
нежелательный исходящий трафик
По умолчанию брандмауэр ОС Windows в режиме повышенной безопасности разрешает
весь исходящий трафик. Если использование отдельных программ в организации
пользователя запрещено, можно помочь выполнению этого запрета, заблокировав сетевой
трафик, необходимый этим программам для нормальной работы.
По умолчанию входящий трафик, не удовлетворяющий ни одному правилу, блокируется,
но ничто не мешает прохождению исходящего трафика. Для блокирования трафика
запрещенных программ надо создать правило исходящего подключения, которое не дает
трафику, удовлетворяющему определенным критериям, проходить через брандмауэр ОС
Windows в режиме повышенной безопасности.
Шаги по созданию правил, запрещающих нежелательный
исходящий трафик
В этом разделе мы создадим правила брандмауэра, блокирующие отдельные виды
исходящего трафика. В качестве блокируемой программы мы будем использовать
программу службы Telnet.
Шаг 1. Блокирование трафика программы с помощью правила исходящего подключения
Шаг 2. Развертывание и тестирование созданного правила
57
Шаг 1. Блокирование трафика программы с помощью
правила исходящего подключения
На этом шаге мы создадим правило для компьютера CLIENT1, которое будет блокировать
исходящий трафик на TCP-порту 23. Можно создать правило, соотнесенное с конкретным
путем к программе и именем исполняемого файла, но поскольку программу легко
переименовать и тем самым обойти ограничение, обычно лучше просто заблокировать те
порты, с которыми программа работает.
Предупреждение
Блокирование порта приводит к тому, что никакая программа не сможет его
использовать. Следует убедиться в том, что данный порт не используется ни одной
необходимой программой.
Создание запрещающего правила исходящего подключения
1. На компьютере MBRSVR1 закройте редактор Group Policy Management Editor, если он
все еще открыт.
2. В оснастке Group Policy Management щелкните правой кнопкой мыши пункт Firewall
Settings for Vista Clients и выберите команду Edit.
3. Последовательно разверните узлы Computer Configuration, Windows Settings, Security
Settings, Windows Firewall with Advanced Security и Windows Firewall with Advanced
Security - LDAP://{GUID},cn=policies,cn=system,DC=contoso,DC=com.
4. Щелкните пункт Outbound Rules. Отметьте, что не определено ни одного правила.
5. Щелкните правой кнопкой мыши пункт Outbound Rules и выберите команду New rule.
6. На странице Rule Type выберите пункт Custom и нажмите кнопку Next.
Примечание
Тип правила Port (для порта) позволяет указать блокируемый номер локального
порта. Поскольку мы собираемся блокировать удаленный, а не локальный порт
23, мы выбрали тип правила Custom.
7. На странице Program выберите вариант All programs и нажмите кнопку Next.
8. На странице Protocol and Ports для Protocol type укажите тип TCP.
9. В списке Remote ports выберите пункт Specific Ports, введите команду 23 в поле ввода и
нажмите кнопку Next.
Примечание
Указать надо именно удаленный порт, а не локальный. В этом отличие от правил
входящих подключений — правило применяется к клиенту, а не серверу.
10. На странице Scope нажмите кнопку Next.
58
11. На странице Action выберите пункт Block the connection и нажмите кнопку Next.
12. На странице Profile снимите флажки Private и Public и нажмите кнопку Next.
13. На странице Name введите команду Block Outbound Telnet и нажмите кнопку Finish.
Шаг 2. Развертывание и тестирование созданного правила
Теперь, когда правило создано, развернем его на компьютере CLIENT1 и протестируем.
Развертывание и тестирование запрещающего правила исходящих подключений
1. На компьютере CLIENT1 в командной строке от имени администратора выполните
команду gpupdate /force. Дождитесь завершения работы команды.
2. Выполните команду telnet mbrsvr1.
3. Подключение завершится неудачей с отображением следующего сообщения:
Connecting to mbrsvr1…Could not open connection to the host, on port 23: Connect
failed
4. В следующем разделе служба Telnet нам снова понадобится, поэтому отключим наше
правило. На компьютере MBRSVR1 в редакторе Group Policy Management Editor
щелкните правой кнопкой правило Block Outbound Telnet и выберите команду Disable
Rule.
5. На компьютере CLIENT1 повторите шаги 1 и 2, чтобы убедиться в том, что служба Telnet
снова работает.
6. Введите команду exit и нажмите клавишу ввода для завершения сеанса Telnet.
Развертывание основной политики изоляции
домена
С помощью брандмауэра в режиме повышенной безопасности в ОС Windows Vista и
Windows Server 2008 можно создавать правила безопасности подключений, требующие,
чтобы трафик был защищен определенными возможностями протокола IPsec. При
изоляции домена вводится обязательное использование проверки подлинности, когда
каждый участвующий в подключении компьютер может совершенно достоверно установить
подлинность другого компьютера.
Создавая правила, требующие пройти проверку подлинности у члена домена, фактически
изолируются компьютеры-участники домена от компьютеров, не входящих в него.
59
В большинстве сетей имеются компьютеры, не способные участвовать в изоляции домена
из-за отсутствия поддержки протокола IPsec. Поддержки может не быть из-за
размещенных на них сетевых службах, различии версий операционной системы или по
иным причинам. Реализуя изоляцию домена, нужно создать освобождающие правила
входящих подключений для компьютеров, не способных использовать протокол IPsec, если
им будет нужно обращаться к тем компьютерам, которые его поддерживают.
Что касается исходящих подключений, то в большинстве примеров изоляции домена
обеспечение защиты протокола IPsec указывается как предпочтительное, но
необязательное. В этом случае компьютеры, поддерживающие протокол IPsec, могут
защищать трафик при соединениях между собой, и в то же время возвращаться к
незащищенной передаче после трех секунд попыток установить защищенное соединение с
компьютером, который не может использовать протокол IPsec. Однако у некоторых служб
срок истечения максимального времени ответа оказывается меньше трех секунд, и
подключиться к ним таким образом нельзя. В более ранних версияхОС Windows для
поддержки таких служб приходилось создавать (и иногда в очень большом количестве)
освобождающие правила исходящих соединений. Для решения этой проблемы корпорация
Майкрософт выпустила обновление Simple Policy Update для ОС Windows Server 2003 и
Windows XP. Это обновление уменьшает до половины секунды время попыток
установления защищенного соединения между компьютерами, один из которых
поддерживает протокол IPsec, а другой нет. Дополнительную информацию об этом
обновлении см. в статье «Обновление Simple Policy Update, упрощающее политики
протокола IPsec» по адресу http://go.microsoft.com/fwlink/?LinkID=94767.
Когда защита соединения помечена как предпочтительная, ОС Windows Vista и Windows
Server 2008 предпринимают одновременно две попытки подключения. Если удаленный
компьютер отвечает с использованием протокола IPsec, незащищенное соединение
обрывается. Если на запрос протокола IPsec не приходит ответа, обычное соединение
просто продолжает работу.
Такая уменьшенная задержка решает проблему не удавшихся из-за истечения времени
подключений для большинства программ. Однако существуют ситуации, когда нужно
обеспечить использование только незащищенного соединения при попытках подключения
к определенным компьютерам сети. В этом случае для клиентов создаются
освобождающие правила, и при коммуникациях с компьютерами, входящими в список
исключения, протокол IPsec применяться не будет.
Дополнительную информацию об изоляции домена см. в статье «Введение в изоляцию
серверов и доменов» по адресу http://go.microsoft.com/fwlink/?LinkID=94631 и «Описание
изоляции доменов в Microsoft ОС Windows» по адресу
http://go.microsoft.com/fwlink/?LinkID=94632.
60
Шаги по созданию правил безопасности подключения,
обеспечивающих изоляцию домена
В этом разделе мы создадим правила безопасности подключения, предписывающие
компьютерам домена требовать проверки подлинности для входящего сетевого трафика и
запрашивать такую проверку для исходящего трафика.
Шаг 1. Создание правила безопасности подключения, запрашивающего проверку
подлинности
Шаг 2. Развертывание и тестирование созданного правила
Шаг 3. Изменение правила изоляции в сторону обязательной проверки подлинности
Шаг 4. Тестирование изоляции с помощью компьютера, не имеющего правила изоляции
домена
Шаг 5. Создание освобождающего правила для компьютеров, не входящих в домен
Шаг 1. Создание правила безопасности подключения,
запрашивающего проверку подлинности
На этом шаге мы создадим правила безопасности подключения для домена contoso.com,
предписывающие компьютерам домена требовать проверки подлинности для входящего
сетевого трафика и запрашивать такую проверку для исходящего трафика. Начнем с
объекта GPO, содержащего только запрос на проверку подлинности входящего трафика, и
после того, как убедимся в его работоспособности, изменим запрос на требование.
Создание нового объекта GPO для изоляции домена
1. На компьютере MBRSV1 в оснастке Group Policy Management щелкните правой кнопкой
мыши пункт Group Policy Objects и выберите команду New.
2. В поле Name введите команду Domain Isolation и нажмите кнопку OK.
3. В области переходов щелкните правой кнопкой мыши только что созданный объект GPO
и выберите команду Edit.
4. В редакторе Group Policy Management Editor в области переходов щелкните правой
кнопкой мыши верхний узел объекта GPO и выберите пункт Properties.
5. Установите флажок Disable User Configuration settings, так как этот объект GPO
предназначен только компьютерам.
6. В диалоговом окне Confirm Disable (подтвердить отключение) щелкните вариант Yes и
нажмите кнопку OK.
7. В области переходов последовательно разверните узлы Computer Configuration,
Windows Settings, Security Settings, Windows Firewall with Advanced Security и
Windows Firewall with Advanced Security 61
LDAP://{GUID},cn=policies,cn=system,DC=contoso,DC=com.
8. Щелкните правой кнопкой мыши пункт Connection Security Rules (правила безопасности
подключения) и выберите команду New rule.
9. На странице Rule Type выберите пункт Isolation (изоляция) и нажмите кнопку Next.
10. На странице Requirements (требования) должен быть выбран пункт Request
authentication for inbound and outbound connections (запрашивать проверку
подлинности для входящих и исходящих подключений). Нажмите кнопку Next.
Предупреждение
В рабочей среде рекомендуется сначала указать режим запроса и
распространить объект GPO по всей сети. Так можно убедиться в том, что все
компьютеры могут успешно использовать протокол IPsec, прежде чем вводить на
него обязательное требование. Если сразу использовать режим обязательной
проверки подлинности, то это может привести к тому, что компьютеры не смогут
устанавливать подключения между собой до тех пор, пока каждый из них не
получит и не введет в действие объект GPO. В рамках следующих шагов мы
изменим наше правило в сторону обязательности требования проверки
подлинности.
11. На странице Authentication Method (метод проверки подлинности) выберите пункт
Computer (Kerberos V5) и нажмите кнопку Next.
12. На странице Profile снимите флажки Private и Public и нажмите кнопку Next.
13. На странице Name введите команду Request Inbound Request Outbound и нажмите
кнопку Finish.
Шаг 2. Развертывание и тестирование созданного правила
На этом шаге мы развернем и проверим наше правило изоляции домена. Мы свяжем
содержащий его объект групповой политики с подразделением, содержащим учетные
записи компьютеров, а потом проверим их способность к установлению подключений и
просмотрим сопоставления безопасности (SA) протокола IPsec, создаваемые для их
поддержки.
Начнем со связывания объекта GPO с подразделением, содержащим компьютеры,
которым адресовано правило.
Связывание объекта GPO с нужными подразделениями
1. На компьютере MBRSVR1 запустите оснастку управления групповой политикой.
2. Щелкните правой кнопкой мыши пункт MyClientComputers и выберите команду
62
Link an Existing GPO.
3. В списке Group Policy objects выберите пункт Domain Isolation и нажмите кнопку
OK.
4. Щелкните правой кнопкой мыши пункт MyMemberServers и выберите команду Link
an Existing GPO.
5. В списке Group Policy objects выберите пункт Domain Isolation и нажмите кнопку
OK.
Теперь список подразделений должен выглядеть следующим образом:
Убедимся в том, что оба компьютера получили и ввели в действие новый объект GPO.
Тестирование нового объекта GPO на компьютерах
1. На компьютерах CLIENT1 и MBRSVR1 в командной строке от имени администратора
выполните команду gpupdate /force. Дождитесь завершения работы команды.
2. На компьютере CLIENT1 в командной строке выполните команду telnet mbrsvr1.
Подключение успешно устанавливается. Пока не завершайте сессию Telnet.
3. Откройте оснастку брандмауэра ОС Windows в режиме повышенной безопасности.
4. Раскройте узлы Monitoring и Security Associations (сопоставления безопасности), после
чего щелкните пункт Main Mode (основной режим).
5. В области Main Mode дважды щелкните имеющееся сопоставление безопасности.
6. Изучите его параметры, приведенные также на рисунке. Из них видно, что локальный
компьютер (CLIENT1) прошел проверку подлинности удаленного (MBRSVR1).
63
7. Нажмите кнопку OK.
8. В области перехода щелкните пункт Quick Mode (быстрый режим) и дважды щелкните
имеющееся сопоставление безопасности.
9. Изучите его настройки, из которых видно, что весь трафик, проходящий между этими
двумя компьютерами и принадлежащий любому протоколу, защищается алгоритмом
проверки целостности SHA1 протокола ESP. Проверка целостности протокола ESP
подразумевает создание криптографически защищенной контрольной суммы, с помощью
которой можно убедиться в том, что пакет не был изменен после отправки. Все пакеты, не
проходящие проверку целостности, автоматически отбрасываются.
Примечание
Срок существования сопоставлений безопасности ограничен. Если подключение
достаточно долго не используется, этот срок может истечь, и сопоставление
будет удалено из списка. При отправке очередной порции трафика оно вновь
64
будет создано и появится в списке.
10. Завершите сессию Telnet, введя команду exit в командной строке.
Шаг 3. Изменение правила изоляции в сторону обязательной
проверки подлинности
На этом шаге мы изменим созданное правило так, чтобы проверка подлинности из
предпочтительной стала обязательной. Клиенты, которые не могут ее пройти, или у
которых нет правила безопасности подключения о проверке подлинности трафика, не
смогут установить соединение с компьютерами, входящими в домен.
Изменение политики с запроса проверки подлинности на требование
1. На компьютере MBRSVR1 обратитесь к редактору Group Policy Management
Editor.
2. В области сведений щелкните правой кнопкой мыши пункт Request Inbound
Request Outbound и выберите пункт Properties.
3. В поле Name измените текст на Require Inbound Request Outbound, чтобы
отразить будущее поведение правила.
4. Перейдите на вкладку Authentication.
5. В разделе Requirements (требования) измените значение Authentication mode на
Require inbound and request outbound (требовать для входящих и запрашивать
для исходящих) и нажмите кнопку OK.
Примечание
Значение Require inbound and outbound (требовать для входящих и
исходящих) сработало бы для целей этого руководства, но в
производственной среде обычно нет смысла требовать проверки
подлинности исходящих соединений. Компьютерам, входящим в домен,
часто нужно устанавливать подключения к компьютерам вне домена,
например к веб-узлам.
Проверим, что компьютеры, несмотря на обязательную проверку подлинности, не потеряли
способности устанавливать сетевые подключения.
Проверка измененного объекта GPO, требующего обязательной проверки
подлинности
1. На компьютерах CLIENT1 и MBRSVR1 в командной строке от имени администратора
выполните команду gpupdate /force.
65
2. На компьютере CLIENT1 в командной строке выполните команду telnet mbrsvr1.
Подключение успешно устанавливается.
3. Завершите сессию Telnet командой exit.
Шаг 4. Тестирование изоляции с помощью компьютера, не
имеющего правила изоляции домена
Для имитации компьютера, не входящего в домен, удалите объект GPO с компьютера
CLIENT1 и снова попытайтесь подключиться.
Удаление объекта GPO с компьютера CLIENT1
1. На компьютере MBRSVR1 обратитесь к оснастке Group Policy Management.
2. Раскрыв список MyClientComputers, щелкните правой кнопкой мыши пункт Domain
Isolation и выберите вариант Link Enabled (связь включена) для отключения связи.
Далее мы обновим объект GPO на компьютере CLIENT1 и попробуем подключиться к
компьютеру MBRSVR1.
Проверка измененного объекта GPO на компьютере CLIENT1
1. На компьютере CLIENT1 в командной строке от имени администратора выполните
команду gpupdate /force. Дождитесь завершения работы команды.
2. В командной строке выполните команду telnet mbrsvr1. Подключение не
устанавливается, поскольку не может получить ответа на запрос. Сервер
MBRSVR1 требует проверки подлинности, а компьютер CLIENT1 не может ее
обеспечить, так что все входящие пакеты отбрасываются.
3. Введите команду exit и нажмите клавишу ввода для завершения сеанса Telnet.
Теперь мы восстановим объект GPO клиента, вернув нужные для следующих шагов
правила.
Повторное использование объекта GPO на компьютере CLIENT1
1. На компьютере MBRSVR1, раскрыв список MyClientComputers, щелкните правой кнопкой
мыши пункт Domain Isolation и выберите вариантLink Enabled.
2. При желании можно повторить предыдущую процедуру «Проверка измененного объекта
GPO на компьютере CLIENT1» и убедиться в том, что подключение вновь возможно. На
этот раз подключение завершается успехом.
66
Шаг 5. Создание освобождающего правила для
компьютеров, не входящих в домен
На этом шаге мы добавим в объект GPO изоляции домена правило, освобождающее все
DNS-серверы сети от требований проверки подлинности изолированного домена.
Примечание
Если компьютеры сети работают под управлением ОС Windows Vista или Windows
Server 2008 или если возможно выполнить обновление Simple Policy Update для ОС
Windows Server 2003 и Windows XP (http://go.microsoft.com/fwlink/?LinkID=94767), то
описанные здесь освобождающие правила, скорее всего, не нужны. Избавившись
от них, можно снизить сложность объектов групповой политики брандмауэра и
безопасности подключений.
Включение освобождения DNS-серверов в объект GPO изоляции домена
1. На компьютере MBRSVR1 перейдите в редактор Group Policy Management Editor, где
открыт объект GPO Domain Isolation.
2. В области переходов щелкните правой кнопкой мыши пункт Connection Security Rules и
выберите команду New rule.
3. На странице Rule Type выберите пункт Authentication exemption (освобождение от
проверки подлинности) и нажмите кнопку Next.
4. На странице Exempt Computers (исключить компьютеры) нажмите кнопку Add.
5. В диалоговом окне IP Address (IP-адрес) выберите пункт Predefined set of computers
(заранее заданный набор компьютеров).
6. Выберите из списка пункт DNS servers и нажмите кнопку OK.
7. На странице Exempt Computers нажмите кнопку Next.
8. На странице Profile снимите флажки Private и Public и нажмите кнопку Next.
9. На странице Name введите команду Exempt DNS servers from domain isolation и
нажмите кнопку Finish.
В объекте GPO появилось новое правило.
Примечание
Используя анализатор сетевого трафика, например сетевой монитор Microsoft,
для просмотра пакетов до и после применения правила, можно убедиться в том,
что попытки установить подключение по протоколу IPsec в отношении DNSсерверов после введения правила в силу не предпринимаются. Загрузить сетевой
монитор Microsoft можно по адресу http://go.microsoft.com/fwlink/?LinkID=94770.
67
Изолирование сервера обязательным
шифрованием и членством в группе
При изоляции домена компьютеры, входящие в него, могут устанавливать подключения
только между собой. Некоторые серверы содержат конфиденциальные данные — личные
сведения, медицинские карты, данные о кредитных картах, и защитить их нужно еще
надежнее. Изоляция сервера — это дополнительный слой безопасности,
предоставляющий доступ к конфиденциальным данным только тем пользователям, кому
это действительно необходимо по роду службы. Часто такие данные должны шифроваться
при передаче во избежание перехвата.
С помощью брандмауэра в режиме повышенной безопасности в ОС Windows Vista и
Windows Server 2008 можно указать, что отдельные сетевые подключения доступны лишь
пользователям, входящим в указанные группы. Также можно разрешить доступ только с
компьютеров, чьи учетные записи входят в нужные группы. Оба типа ограничений
основаны на методах проверки подлинности, рассмотренных в предыдущем разделе.
Наконец, можно установить шифрование этих подключений одним из нескольких
алгоритмов.
Дополнительную информацию об изоляции сервера см. в статьях:
•
«Введение в изоляцию серверов и доменов»
(http://go.microsoft.com/fwlink/?linkid=94631);
•
«Описание изоляции серверов в ОС Windows»
(http://go.microsoft.com/fwlink/?LinkID=94793).
Шаги по созданию правил безопасности подключения,
обеспечивающих изоляцию сервера
В этом разделе мы создадим правила входящего трафика брандмауэра, предписывающие,
что получать доступ к серверу MBRSVR1 могут только компьютеры, входящие в указанную
группу. Мы также настроим правила, требующие обязательного шифрования всех
подключений к этому серверу.
Шаг 1. Создание группы безопасности
Шаг 2. Включение в правило брандмауэра требования членства в группе и шифрования
Шаг 3. Создание клиентского правила брандмауэра для поддержки шифрования
Шаг 4. Тестирование правила, когда клиентский компьютер не входит в группу
Шаг 5. Добавление клиентского компьютера в группу и повторное тестирование
68
Шаг 1. Создание группы безопасности
На этом шаге мы создадим группу безопасности в службе Active Directory. На нее мы
впоследствии будем ссылаться из правила брандмауэра, определяя, каким компьютерам
разрешается подключаться к серверу.
Создание группы безопасности
1. На компьютере DC1 нажмите кнопку Start и выберите пункт Server Manager
(диспетчер сервера).
2. В области переходов последовательно раскройте узлы Roles (роли), Active
Directory Domain Services (доменные службы Active Directory), Active Directory
Users and Computers (пользователи и компьютеры Active Directory) и contoso.com,
щелкните правой кнопкой мыши пункт Computers, укажите вариант New и
выберите пункт Group (группа).
3. В диалоговом окне New Object - Group (создание объекта – группа) введите
команду Access to MBRSVR1 и нажмите кнопку OK.
4. Оставьте диспетчер открытым, с содержимым контейнера Computers в области
сведений.
Пока не включайте в группу никакие компьютеры.
Шаг 2. Включение в правило брандмауэра требования
членства в группе и шифрования
На этом шаге мы изменим наше правило брандмауэра для службы Telnet, разрешив
трафик этой службы только с компьютеров, входящих в группу, которую мы только что
создали.
Изменение правила брандмауэра для службы Telnet на компьютере MBRSVR1
1. На компьютере MBRSVR1 обратитесь к оснастке Group Policy Management.
2. В области переходов, раскрыв узел Group Policy Objects, щелкните правой кнопкой
мыши пункт Firewall Settings for WS2008 Servers и выберите команду Edit.
3. В редакторе Group Policy Management Editor последовательно разверните узлы
Windows Settings, Security Settings, Windows Firewall with Advanced Security и
Windows Firewall with Advanced Security LDAP://{GUID},cn=policies,cn=system,DC=contoso,DC=com, после чего щелкните пункт
Inbound Rules.
4. В области сведений щелкните правой кнопкой мыши пункт Allow Inbound Telnet и
выберите пункт Properties.
69
5. Смените имя, введя новое Allow Encrypted Inbound Telnet to Group Members Only.
6. Выберите пункт Allow only secure connections (разрешить только безопасные
подключения) и установите флажок Require encryption (шифрование обязательно).
7. Перейдите на вкладку Users and Computers.
8. В разделе Authorized computers (авторизованные компьютеры) установите флажок Only
allow connections from these computers (разрешить подключение только следующим) и
нажмите кнопку Add.
9. В диалоговом окне Select Computers or Groups (выбор: компьютеры и группы) введите
команду Access to MBRSVR1, нажмите кнопку Check Names (проверить имена), чтобы
убедиться в распознаваемости имени, и нажмите кнопку OK.
Важно
В этом руководстве рассмотрено использование только группы компьютеров, но
тем же способом можно указать в качестве требования и членство пользователя в
некоей группе, если используемый метод проверки подлинности включает
проверку подлинности пользователя наряду с проверкой подлинности
компьютера. Так, можно указать, что подключаться к защищенному серверу могут
только пользователи, входящие в группу X, причем только когда они используют
компьютер, входящий в группу Y. Авторизованные пользователи, использующие
неавторизованный компьютер, не смогут получить доступ к серверу, равно как не
получат его неавторизованные пользователи, работающие на авторизованном
компьютере.
10. Закройте страницу Allow Inbound Telnet Properties, нажав кнопку OK.
11. Закройте редактор Group Policy Management Editor.
Шаг 3. Создание клиентского правила брандмауэра для
поддержки шифрования
На этом шаге мы создадим новое правило брандмауэра, применяющееся к клиентскому
компьютеру и дающее ему возможность зашифровать соединение, как того требует
сервер.
Изменение клиентского правила брандмауэра для службы Telnet
1. На компьютере MBRSVR1 в оснастке Group Policy Management, развернув узел Group
Policy Objects, щелкните правой кнопкой пункт Firewall Settings for Vista Clients и
выберите команду Edit.
2. В редакторе Group Policy Management Editor последовательно разверните узлы
Windows Settings, Security Settings, Windows Firewall with Advanced Security и
70
Windows Firewall with Advanced Security LDAP://{GUID},cn=policies,cn=system,DC=contoso,DC=com, после чего щелкните
правой кнопкой мыши пункт Outbound Rules и выберите команду New Rule.
3. На странице Rule Type выберите пункт Custom и нажмите кнопку Next.
4. На странице Program укажите вариант All programs и нажмите кнопку Next.
Примечание
Ограничив правило на следующем шаге только номером порта службы Telnet, а
не именем программы, мы обеспечим возможность использования любого
правильно настроенного клиента службы Telnet. Если указать программу с
помощью пути и имени файла, сможет работать только она, а остальные
программы клиентов службы Telnet не смогут. Такая конфигурация рекомендуется
только для правил исходящих соединений. Для входящих соединений стоит
использовать ограничение и по номеру порта, и по имени программы. Тогда порт
будет открыт только в том случае, когда программа запущена. Без указания имени
программы порт будет открыт все время.
5. На странице Protocol and Ports для пункта Protocol type укажите тип TCP.
6. В списке Remote ports выберите пункт Specific Ports, введите команду 23 в поле ввода и
нажмите кнопку Next.
7. На странице в разделе Which remote IP addresses does this rule match (каким
удаленным IP-адресам соответствует данное правило) выберите пункт These IP
addresses (указанные IP-адреса). Не перепутайте разделы, мы работаем с удаленными
адресами.
8. Нажмите кнопку Add в правой части раздела Remote address.
9. В диалоговом окне IP Address введите в верхнее текстовое поле адрес 192.168.0.100 (IPадрес компьютера MBRSVR1), нажмите кнопку OK и затем кнопку Next.
10. На странице Action выберите вариант Allow the connection if it is secure (разрешить
безопасное подключение), установите флажок Require the connections to be encrypted
(обязательное шифрование подключений) и нажмите кнопку Next.
11. На странице Computers нажмите кнопку Next.
12. На странице Profile снимите флажки Private и Public и нажмите кнопку Next.
13. Назовите правило именем Allow only encrypted Telnet to MBRSVR1 и нажмите кнопку
Finish.
14. В командной строке от имени администратора выполните команду gpupdate /force.
Дождитесь завершения работы команды.
71
Шаг 4. Тестирование правила, когда клиентский компьютер
не входит в группу
Теперь у клиентского компьютера CLIENT1 есть правило брандмауэра и правило
безопасности подключения, удовлетворяющие требованиям сервера MBRSVR1, но
компьютер CLIENT1 пока еще не был добавлен в группу компьютеров, на которую
ссылается правило входящих подключений этого сервера. На этом шаге мы попробуем
подключиться к службе удаленного журнала событий и к службе Telnet сервера MBRSVR1.
Попытка подключения к службе удаленного журнала на компьютере MBRSVR1
1. На компьютере CLIENT1 в командной строке от имени администратора выполните
команду gpupdate /force. Дождитесь завершения работы команды.
2. Нажмите кнопку Start, введите команду event viewer в поле Start Search и нажмите
клавишу ввода.
3. В области переходов просмотра событий щелкните правой кнопкой узел Event
Viewer (Local) и выберите команду Connect to another computer.
4. В диалоговом окне Select Computer введите имя MBRSVR1 и нажмите кнопку OK.
Попытка завершилась успехом, поскольку имеющиеся правила не требуют
членства в группе или шифрования для доступа к просмотру событий.
Теперь проверим действие новых правил, подключившись к службе Telnet сервера.
Попытка подключения к службе Telnet сервера MBRSVR1
•
На компьютере CLIENT1 в командной строке от имени администратора выполните
команду telnet mbrsvr1.
Попытка завершается неудачей, поскольку компьютер еще не входит в группу Access to
MBRSVR1, тогда как только ее участникам разрешено отправлять этому серверу трафик
на порту 23.
Шаг 5. Добавление клиентского компьютера в группу и
повторное тестирование
На этом шаге мы добавим компьютер CLIENT1 в группу безопасности Access to MBRSVR1
и убедимся в том, что это дает ему доступ к службе Telnet.
Добавление компьютера в группу
1. На компьютере DC1 в контейнере Computers дважды щелкните группу Access to
MBRSVR1 и перейдите на вкладку Members.
72
2. Нажмите кнопку Add.
3. В диалоговом окне Select Users, Contacts, Computers, or Groups (выбор:
«Пользователи, Контакты, Компьютеры, или Группы») нажмите кнопку Object
Types.
4. Отметьте вариант Computers и нажмите кнопку OK.
5. В текстовое поле введите команду client1 и нажмите кнопку OK.
6. Закройте страницу Properties, нажав кнопку OK.
Проверка доступа к службе Telnet сервера MBRSVR1 с компьютера CLIENT1
1. Поскольку нужно обновить членство в группах, перезапустите компьютер CLIENT1.
2. После перезапуска войдите в систему под именем contoso\admin1.
3. Запустите командную строку от имени администратора и выполните команду
telnet mbrsvr1.
Команда срабатывает, поскольку все требования теперь выполняются. Доступ к службе
Telnet сервера MBRSVR1 имеют только компьютеры, входящие в домен и имеющие
подтвержденное членство в указанной группе.
4. Откройте оснастку брандмауэра ОС Windows в режиме повышенной безопасности.
5. Раскройте узлы Monitoring и Security Associations, после чего щелкните пункт Quick
Mode.
6. Дважды щелкните сопоставление безопасности и просмотрите его параметры. Теперь в
них присутствует новый протокол, идущий вслед за протоколом ESP. Это — алгоритм
шифрования, используемый данным подключением.
7. Нажмите кнопку OK и закройте брандмауэр ОС Windows в режиме повышенной
безопасности.
8. В окне Telnet введите команду exit и нажмите клавишу ввода, завершив этим сеанс.
Создание правил, позволяющих отдельным
компьютерам или пользователям обходить
запрещающие правила брандмауэра
В типовой сети обычно требуется запрещать весь трафик, кроме необходимого.
По умолчанию запрещающие правила имеют больший приоритет, чем разрешающие. Если
входящий или исходящий трафик подпадает и под разрешающее, и под запрещающее
правило, он запрещается.
73
Однако бывают случаи, когда требуется разрешить для компьютера трафик, который
обычно блокируется. К примеру, группе устранения сетевых неполадок может
потребоваться использовать анализаторы сетевых протоколов или иные средства поиска и
устранения сетевых проблем, способ действия которых оказывается под запретом
брандмауэра. В этом случае можно создать привязанное к компьютеру и, возможно, к
пользователю исключение из некоторых или из всех правил брандмауэра.
Поскольку протоколы проверки подлинности протокола IPsec требуют обмена учетными
данными пользователя или компьютера, то их можно сопоставлять со списком
компьютеров или пользователей, более полно ограничивая сетевой трафик. Включив у
правила параметр Override block rules (переопределить правила блокировки), мы
добьемся того, что прошедший проверку подлинности трафик, удовлетворяющий условиям
правила, будет разрешен, даже если другое правило блокирует его. В результате
получится набор правил, как бы говорящий: «Трафик блокируется, если только не исходит
от компьютера или пользователя, прошедшего проверку подлинности».
Шаги по созданию правил, разрешающих отдельным
пользователям или компьютерам обходить брандмауэр
В этом разделе руководства мы создадим правило брандмауэра, блокирующее весь
трафик службы Telnet, а потом протестируем его вместе с разрешающим правилом,
созданном в предыдущем разделе. Затем мы изменим существующее правило для службы
Telnet и включим в него настройку Override Block Rules, после чего убедимся в
возможности установления подключения.
Шаг 1. Добавление и тестирование правила брандмауэра, блокирующего весь трафик
службы Telnet
Шаг 2. Включение в разрешающее правило службы Telnet параметра Override Block Rules
Шаг 1. Добавление и тестирование правила брандмауэра,
блокирующего весь трафик службы Telnet
Создадим правило, блокирующее весь трафик службы Telnet, и убедимся в том, что
суммарный эффект от него и уже существующего разрешающего правила — блокировка.
Создание запрещающего правила службы Telnet
1. На компьютере MBRSVR1 в оснастке Group Policy Management щелкните пункт
Group Policy Objects, щелкните правой кнопкой мыши пункт Firewall Settings for
WS2008 Servers и выберите команду Edit.
2. В редакторе Group Policy Object Editor в области переходов последовательно
разверните узлы Computer Configuration, Windows Settings, Security Settings,
Windows Firewall with Advanced Security и Windows Firewall with Advanced
74
Security - LDAP://{GUID},cn=policies,cn=system,DC=contoso,DC=com.
3. Щелкните правой кнопкой мыши пункт Inbound Rules и выберите команду New
rule.
4. На странице Rule Type выберите пункт Custom и нажмите кнопку Next.
5. На странице Program укажите This program path и введите команду
%systemroot%\system32\tlntsvr.exe.
6. Нажмите кнопку Customize, выберите вариант Apply to this service, укажите строку
Telnet с кратким именем TlntSvr, нажмите кнопку OK и затем кнопку Next.
7. На странице Protocol and Ports выберите вариант TCP для типа протокола
Protocol type, смените значение Local port на Specific Ports, введите в текстовое
поле число 23 и нажмите кнопку Next.
8. На странице Scope нажмите кнопку Next.
9. На странице Action выберите вариант Block the connection и нажмите кнопку
Next.
10. На странице Profile снимите флажки Private и Public и нажмите кнопку Next.
11. На странице Name введите команду Block All Telnet и нажмите кнопку Finish.
Теперь у нас есть два конфликтующих правила. Одно предписывает разрешить трафик
службы Telnet, если он зашифрован и исходит от компьютеров группы Access to
MBRSVR1. Другое предписывает запретить весь трафик службы Telnet. Сейчас мы увидим,
можно ли создать подключение к этой службе, когда активны об этих правила.
Проверка доступности службы Telnet при двух конфликтующих правилах
1. На компьютере MBRSVR1 в командной строке от имени администратора выполните
команду gpupdate /force. Дождитесь завершения работы команды.
2. На компьютере CLIENT1 в командной строке выполните команду telnet mbrsvr1.
Попытка завершается неудачей. По умолчанию у запрещающего правила больший
приоритет, чем у разрешающего.
Шаг 2. Включение в разрешающее правило службы Telnet
параметра Override Block Rules
На этом шаге мы изменим существующее разрешающее правило службы Telnet, включив в
него параметр Override Block Rule, а потом проверим поведение службы с этим новым
правилом.
75
Добавление параметра Override Block Rule к правилу
1. На компьютере MBRSVR1 в редакторе Group Policy Management Editor щелкните
узел Inbound Rules.
2. Щелкните правой кнопкой мыши пункт Allow Encrypted Inbound Telnet to Group
Members Only и выберите пункт Properties.
3. На вкладке General в разделе Action установите флажок Override block rules и
нажмите кнопку OK.
Снова протестируем два конфликтующих правила.
Проверка доступности службы Telnet при текущем состоянии правил
1. На компьютере MBRSVR1 в командной строке от имени администратора выполните
команду gpupdate /force. Дождитесь завершения работы команды.
2. На компьютере CLIENT1 в командной строке выполните команду telnet mbrsvr1.
Попытка завершается успехом, поскольку теперь разрешающее правило службы Telnet
перекрывает запрещающее. Обойти запрещающее правило теперь может только трафик,
удовлетворяющий условиям разрешающего правила с включенным параметром Override
block rule. Это правило предписывает, что трафик должен пройти проверку подлинности
и, в нашем случае, быть зашифрованным.
3. Введите команду exit и нажмите клавишу ввода для завершения сеанса Telnet.
Заключение
Брандмауэр ОС Windows в режиме повышенной безопасности — важный элемент
стратегии глубокой обороны, помогающий обезопасить компьютеры предприятия и
противостоять угрозам, способным обойти брандмауэр сетевого периметра, или
исходящим изнутри организации.
В этом руководстве мы познакомились с возможностями нового брандмауэра в режиме
повышенной безопасности, входящего в состав ОС Windows Vista и Windows Server 2008:
•
мы использовали брандмауэр ОС Windows в режиме повышенной безопасности для
создания основных правил входящего и исходящего трафика;
•
мы создали объекты групповой политики, устанавливающие параметры всех
компьютеров домена, и обеспечили невозможность их изменения пользователями;
•
мы создали набор основных правил изоляции домена, благодаря которому
компьютеры-участники домена были ограничены в приеме трафика от компьютеров
вне его;
76
•
мы создали правило безопасности подключения, изолирующее сервер с
конфиденциальной информацией, разрешая доступ к нему только компьютерам,
входящим в доверенные группы;
•
наконец, мы создали правила, благодаря которым доверенные компьютеры смогли
обойти ограничения брандмауэра.
Дополнительные источники
Дополнительную информацию о технологиях, рассмотренных в этом руководстве, можно
узнать из следующих источников.
Брандмауэр ОС Windows в режиме повышенной
безопасности
•
Брандмауэр ОС Windows (http://go.microsoft.com/fwlink/?linkid=95393)
Здесь содержатся ссылки на документацию, доступную в настоящий момент для
брандмауэра ОС Windows — как для версии, включенной в операционные системы
Windows XP с пакетом обновления 2 (SP2) и Windows Server 2003 с пакетом
обновления 2 (SP2), так и для версии, входящей в ОС Windows Vista и Windows
Server 2008.
•
Брандмауэр ОС Windows в режиме повышенной безопасности – диагностика и
устранение неполадок (http://go.microsoft.com/fwlink/?linkid=95372)
Статья описывает работу брандмауэра ОС Windows в режиме повышенной
безопасности, основные пути устранения неполадок и используемые при этом
средства.
Протокол IPsec
•
Протокол IPsec (http://go.microsoft.com/fwlink/?linkid=95394)
Здесь содержатся ссылки на документацию, доступную в настоящий момент для
протокола IPsec — как для версии, включенной в ОС Windows XP с пакетом
обновления 2 (SP2) и Windows Server 2003 с пакетом обновления 2 (SP2), так и для
версии, входящей в операционные системы Windows Vista и Windows Server 2008 в
виде правил безопасности подключения брандмауэра ОС Windows в режиме
повышенной безопасности.
•
Обновление Simple Policy Update, упрощающее политики протокола IPsec
(http://go.microsoft.com/fwlink/?linkid=94767)
Статья описывает загружаемое обновление, доступное для ОС Windows XP с пакетом
обновления 2 (SP2) и Windows Server 2003 с пакетом обновления 1 (SP1). (В ОС
77
Windows Server 2003 с пакетом обновления 2 это обновление уже устроено.)
Обновление изменяет поведение согласования протокола IPsec так, что правила
политик этого протокола становится возможным упростить, иногда весьма значительно,
сократив число требуемых IP-фильтров и объем их поддержки.
Изоляция серверов и доменов
•
Изоляция серверов и доменов (http://go.microsoft.com/fwlink/?linkid=95395)
Здесь содержатся ссылки на документацию о наиболее распространенном
использовании протокола IPsec — изоляции серверов и доменов. Доступна
документация для обеих версий протокола IPsec, доступных в ОС Windows XP с
пакетом обновления 2 (SP2) и Windows Server 2003 с пакетом обновления 2 (SP2).
Групповая политика
•
Групповая политика (http://go.microsoft.com/fwlink/?linkid=93542)
Здесь содержатся ссылки на документацию, доступную в настоящий момент по
групповой политике — как для версии, включенной в операционные системы
Windows XP с пакетом обновления 2 (SP2) и Windows Server 2003 с пакетом
обновления 2 (SP2), так и для версии, входящей в ОС Windows Vista и Windows
Server 2008.
•
Инструкции по распространению групповых политик с помощью фильтров WMI
(http://go.microsoft.com/fwlink/?linkid=93760)
Статья описывает создание фильтров WMI для указания области действия объектов
GPO в зависимости от характеристик компьютера, например версии операционной
системы.
78